总结
在本模块中,你学习了如何规划和实施 Azure 存储的安全措施,使其符合零信任原则和深度防御策略。
涵盖的关键概念
身份验证和授权:你探索了 Azure 存储的现代身份认证方法,重点介绍优先使用 Microsoft Entra ID,而不是共享访问密钥。 你已了解如何为 Blob、队列和表存储实现 Azure RBAC,理解何时为应用程序使用托管标识而非其他身份验证方法。 你还了解了对存储帐户访问密钥的适当管理,包括 Azure Key Vault 中的安全存储以及轮换策略,以最大程度地降低安全风险。
服务特定的安全性:您检查了适用于每个 Azure 存储服务的授权方法:
- Azure 文件:使用 Microsoft Entra 域服务或 Active Directory 域服务配置基于标识的身份验证,并实现共享级别和文件级权限
- Blob 存储:利用 Microsoft Entra ID,通过适当的内置和自定义 RBAC 角色实现安全访问
- 表存储:通过适当的角色分配来实现 Microsoft Entra ID 授权
- 队列存储:通过 Azure 门户以及使用 Microsoft Entra ID 凭据以编程方式授权访问
数据保护和恢复:你了解了全面的数据保护策略,包括容器和 Blob 的软删除、用于跟踪更改的 Blob 版本控制、时间点还原功能和不可变存储策略,以满足合规性要求。 这些保护机制提供深度防御,防止意外删除、恶意修改和勒索软件攻击。
高级加密选项:你探索了针对受管制和高安全性环境的高级加密功能:
- 自带密钥(BYOK):通过将密钥从本地 HSM 安全导入 Azure Key Vault 来保持对加密密钥生命周期的控制
- 基础结构加密:为符合性要求严格的组织启用服务和基础结构级别的双重加密
强调安全原则
在本模块中,强化了几个关键安全原则:
- 零信任方法:从不信任,始终验证 — 首选基于标识的身份验证而不是访问密钥和令牌
- 深度防御:实施多层安全控制,包括身份验证、授权、加密和数据保护
- 最小特权访问权限:仅授予用户和应用程序执行其所需任务所需的最低权限
- 职责分离:在不同的加密层使用不同的密钥和机制来最大程度地降低泄露风险
- 符合性就绪性:利用内置功能(如不可变性策略、BYOK 和基础结构加密)来满足法规要求
通过应用这些概念和最佳做法,可以为 Azure 存储设计和实施可靠的安全体系结构,以在整个生命周期内保护数据,同时保持运营效率并履行合规性义务。