適用於 Blob 儲存體的安全性建議
本文內容
本文包含 Blob 儲存體的安全性建議。 依照我們的共同責任模型所述,執行這些建議有助於您履行安全性義務。 如需 Microsoft 如何履行服務提供者責任的詳細資訊,請參閱雲端中的共同責任 。
適用於雲端的 Microsoft Defender 可以自動監視本文中包含的一些建議,這是保護 Azure 中資源的第一道防線。 如需適用於雲端的 Microsoft Defender 資訊,請參閱什麼是適用於雲端的 Microsoft Defender?
適用於雲端的 Microsoft Defender 會定期分析 Azure 資源的安全性狀態,以找出潛在的資訊安全弱點。 然後它會提供您如何補救這些問題的建議。 如需適用於雲端的 Microsoft Defender 的詳細資訊,請參閱檢閱您的安全性建議 。
資料保護
建議
註解
Defender for Cloud
使用 Azure Resource Manager 部署模型
使用 Azure Resource Manager 部署模型建立新的儲存體帳戶,以取得重要的安全性強化功能,包含優異的 Azure 角色型存取控制 (Azure RBAC) 及稽核;以 Resource Manager 為基礎的部署和治理;存取受控識別;存取 Azure Key Vault 以取得祕密;以及使用 Microsoft Entra 驗證與授權存取 Azure 儲存體資料與資源。 若可行,請將使用傳統部署模型的現有儲存體帳戶改為使用 Azure Resource Manager。 如需 Azure Resource Manager 的詳細資訊,請參閱 Azure Resource Manager 概觀 。
-
為所有的儲存體帳戶啟用 Microsoft Defender
適用於儲存體的 Microsoft Defender 會額外提供一層安全情報,可偵測嘗試存取或惡意探索儲存體帳戶的異常與潛在有害威脅。 發生異常活動時,會在適用於雲端的 Microsoft Defender 中觸發安全性警示,並會傳送電子郵件給訂閱管理員,提供可疑活動的詳細資料以及如何調查與補救威脅的建議。 如需詳細資訊,請參閱設定適用於儲存體的 Microsoft Defender 。
是
為 Blob 開啟虛刪除
對 Blob 進行虛刪除可讓您復原已刪除的 Blob 資料。 如需 Blob 的虛刪除詳細資訊,請參閱 Azure 儲存體 Blob 的虛刪除 。
-
為容器開啟虛刪除
對容器進行虛刪除可讓您復原已刪除的容器。 如需容器的虛刪除詳細資訊,請參閱容器的虛刪除 。
-
鎖定儲存體帳戶,以防止意外/惡意刪除或設定變更
將 Azure Resource Manager 鎖定套用至儲存體帳戶,以防止帳戶遭到意外或惡意刪除或是設定變更。 鎖定儲存體帳戶無法防止該帳戶中的資料遭到刪除。 只能防止帳戶本身遭到刪除。 如需詳細資訊,請參閱將 Azure Resource Manager 鎖定套用至儲存體帳戶 。
在不可變的 Blob 中儲存業務關鍵資料
設定合法保存及以時間為基礎的保留原則,將 Blob 資料儲存為 WORM (單寫多讀) 狀態。 在保留間隔的持續時間內可以讀取永久儲存的 Blob,但無法加以修改或刪除。 如需詳細資訊,請參閱使用不可變儲存體儲存業務關鍵 Blob 資料 。
-
要求對儲存體帳戶進行安全傳輸 (HTTPS)
當您要求儲存體帳戶使用安全傳輸時,對儲存體帳戶的所有要求都必須透過 HTTPS 提出。 任何透過 HTTP 提出的要求都會遭到拒絕。 Microsoft 建議您一律要求所有儲存體帳戶使用安全傳輸。 如需詳細資訊,請參閱要求安全傳輸以確保安全連線 。
-
僅將共用存取簽章 (SAS) 權杖限制為 HTTPS 連線
當用戶端使用 SAS 權杖來存取 Blob 資料時,要求使用 HTTPS 以將竊聽的風險降至最低。 如需詳細資訊,請參閱使用共用存取簽章 (SAS) 對 Azure 儲存體資源授與有限存取權 。
-
不允許跨租用戶物件複寫
根據預設,獲得授權的使用者可以設定物件複寫原則,其中來源帳戶會位在一個 Microsoft Entra 租用戶,而目的地帳戶則會位在其他租用戶。 不允許跨租用戶物件複寫,以要求參與物件複寫原則的來源和目的地帳戶位於相同的租用戶中。 如需詳細資訊,請參閱防止跨 Microsoft Entra 租用戶進行物件複寫 。
-
身分識別和存取管理
建議
註解
Defender for Cloud
使用 Microsoft Entra ID 來授權 Blob 資料的存取權
Microsoft Entra ID 提供比共用金鑰更高的安全性和易用性,以授權對 Blob 儲存體提出的要求。 如需詳細資訊,請參閱授權存取 Azure 儲存體中的資料 。
-
透過 Azure RBAC 將權限指派給 Microsoft Entra 安全性主體時,請注意最低權限原則
指派角色給使用者、群組或應用程式時,請僅授與安全性主體執行工作的必要權限。 限制對資源的存取權,有助於防止您的資料遭到不慎和惡意誤用。
-
使用使用者委派 SAS 將 Blob 資料的有限存取權授與用戶端
使用者委派 SAS 會使用 Microsoft Entra 認證,以及透過為 SAS 指定的權限來加以保護。 使用者委派 SAS 在範圍和功能方面類似於服務 SAS,但提供高於服務 SAS 的安全性優點。 如需詳細資訊,請參閱使用共用存取簽章 (SAS) 對 Azure 儲存體資源授與有限存取權 。
-
使用 Azure Key Vault 保護帳戶存取金鑰
Microsoft 建議使用 Microsoft Entra ID 來授權對 Azure 儲存體的要求。 但若您一定要使用共用金鑰授權,則請使用 Azure Key Vault 保護您的帳戶金鑰。 您可以在執行階段從金鑰保存庫中擷取金鑰,而不是將金鑰與應用程式一同儲存。 如需 Azure Key Vault 的詳細資訊,請參閱 Azure Key Vault 概觀 。
-
定期重新產生帳戶金鑰
定期輪替帳戶金鑰可減少資料暴露於惡意執行者的風險。
-
不允許使用共用金鑰授權
如果您不允許儲存體帳戶使用共用金鑰授權,則 Azure 儲存體會拒絕對該帳戶所提出使用帳戶存取金鑰授權的所有後續要求。 只有使用 Microsoft Entra ID 授權的安全要求才會成功。 如需詳細資訊,請參閱防止 Azure 儲存體帳戶使用共用金鑰授權 。
-
將權限指派給 SAS 時,請注意最低權限原則
建立 SAS 時,請僅指定用戶端執行功能的必要權限。 限制對資源的存取權,有助於防止您的資料遭到不慎和惡意誤用。
-
為您發給用戶端的任何 SAS 準備好撤銷計劃
若 SAS 洩漏,您會想要盡快撤銷該 SAS。 若要撤銷使用者委派 SAS,請撤銷使用者委派金鑰,以快速使與該金鑰相關聯的所有簽章失效。 若要撤銷與預存存取原則建立關聯的服務 SAS,您可以刪除該預存存取原則、重新命名原則,或將其到期時間變更為過去的某個時間點。 如需詳細資訊,請參閱使用共用存取簽章 (SAS) 對 Azure 儲存體資源授與有限存取權 。
-
若服務 SAS 未與預存存取原則建立關聯,則請將到期時間設定為一小時或一小時以內
您無法撤銷未與預存存取原則建立關聯的服務 SAS, 基於這個原因,建議將到期時間限制為一小時或一小時以內,讓 SAS 僅於這段期間內有效。
-
停用對容器與 Blob 的匿名讀取存取
對容器及其 Blob 的匿名讀取存取,會將這些資源的唯讀存取權授與任何用戶端。 除非案例需要,否則請避免啟用匿名讀取存取。 若要了解如何停用儲存體帳戶的匿名存取,請參閱概觀:補救 Blob 資料的匿名讀取存取 。
-
網路
建議
註解
Defender for Cloud
為儲存體帳戶設定傳輸層安全性 (TLS) 的最低必要版本。
為 Azure 儲存體帳戶設定 TLS 的最低版本,以要求用戶端使用更安全的 TLS 版本來對該帳戶提出要求。 如需詳細資訊,請參閱為儲存體帳戶設定傳輸層安全性 (TLS) 的最低必要版本
-
在所有儲存體帳戶上啟用 [需要安全傳輸]
當您啟用 [需要安全傳輸]在 Azure 儲存體中要求使用安全傳輸 。
是
啟用防火牆規則
您可以限制只有來自指定 IP 位址、IP 範圍或 Azure 虛擬網路 (VNet) 子網路清單的要求,才能存取您的儲存體帳戶。 如需設定防火牆規則的詳細資訊,請參閱設定 Azure 儲存體防火牆和虛擬網路 。
-
允許受信任的 Microsoft 服務存取儲存體帳戶
開啟儲存體帳戶的防火牆規則會預設封鎖傳入的資料要求,除非要求源自 Azure 虛擬網路 (VNet) 內運作的服務或源自允許的公用 IP位址。 封鎖的要求包括來自其他 Azure 服務、Azure 入口網站及記錄與計量服務等等的要求。 您可以藉由新增例外狀況來允許受信任的 Microsoft 服務存取儲存體帳戶,以允許來自其他 Azure 服務的要求。 如需為受信任 Microsoft 服務新增例外的詳細資訊,請參閱設定 Azure 儲存體防火牆及虛擬網路 。
-
使用私人端點
私人端點可將私人 IP 位址從 Azure 虛擬網路 (VNet) 指派給儲存體帳戶, 以透過私人連結保護 VNet 與儲存體帳戶之間的所有流量。 如需私人端點的詳細資訊,請參閱使用 Azure 私人端點私下連線至儲存體帳戶 。
-
使用 VNet 服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤。 如需 Azure 儲存體所支援服務標籤的詳細資訊,請參閱 Azure 服務標籤概觀 。 如需示範如何使用服務標籤建立輸出網路規則的教學課程,請參閱限制對 PaaS 資源的存取 。
-
限制對特定網路的網路存取
對裝載需要存取權之用戶端的網路限制網路存取,可降低您的資源暴露於網路攻擊的風險。
是
設定網路路由喜好設定
您可以使用 Microsoft 全球網路或網際網路路由來設定 Azure 儲存體帳戶的網路路由喜好設定,指定如何透過網際網路將網路流量從用戶端路由至帳戶。 如需詳細資訊,請參閱設定 Azure 儲存體的網路路由喜好設定 。
-
記錄/監視
下一步