檢閱 Azure 儲存體安全性策略
系統管理員會使用不同的策略來確保資料安全。 常見的方法包括加密、驗證、授權,以及具有認證、檔案權限和私人簽章的使用者存取控制。 Azure 儲存體會根據常見策略提供一套安全性功能,以協助您保護資料的安全。
備註
影片提到的 Active Directory 現在被稱為 Microsoft Entra ID。
關於 Azure 儲存體安全性策略的須知事項
讓我們看看 Azure 儲存體安全性的一些特性。 當您完成本課程模組時,請考慮深入防禦。 如何將記憶體安全性功能套用至此概念?
待用加密。 使用 256 位元進階加密標準 (AES) 加密的儲存體服務加密 (SSE) 會加密寫入 Azure 儲存體的所有資料。 當您從 Azure 儲存體讀取資料時,Azure 儲存體會先解密資料,再將它傳回。 此流程不會產生額外的費用,也不會造成效能降低。 靜態加密包括使用 Azure 磁碟加密工具來加密虛擬硬碟(VHD)。 這項加密會針對 Windows 映像使用 BitLocker,並針對 Linux 使用 dm-crypt。
傳輸中加密。 透過啟用 Azure 和用戶端之間的「傳輸層級安全性」來保護您的資料。 請一律使用 HTTPS 來保護透過公用網際網路進行的通訊。 當您呼叫 REST API 存取儲存體帳戶中的物件時,您可以透過要求針對儲存體帳戶進行安全傳輸,來強制使用 HTTPS。 在您啟用安全傳輸後,使用 HTTP 的連線便會遭到拒絕。 此旗標也會透過要求將 SMB 3.0 用於所有檔案共用掛接,來施行透過 SMB 的安全傳輸。
加密模型。 Azure 支援各種加密模型,包括伺服器端加密,其使用服務管理的密鑰、Key Vault 中的客戶自控密鑰,或客戶控制硬體上的客戶自控密鑰。 使用用戶端加密,您可以在內部部署或另一個安全位置管理及儲存金鑰。
授權要求。 為了獲得最佳安全性,Microsoft 建議盡可能使用具有受管理的身分的 Microsoft Entra ID 來授權存取至 Blob 儲存體、佇列儲存體和表格儲存體的資料。 具有Microsoft Entra標識符和受控識別的授權,提供優於共用密鑰授權的安全性和使用便利性。
RBAC。 RBAC 可確保記憶體帳戶中的資源只有在您想要時才能存取,而且只有您授與存取權的使用者或應用程式才能存取。 在 Azure 儲存體帳戶範圍內指派 RBAC 角色。
記憶體分析。 Azure 儲存體分析會執行儲存體帳戶的記錄。 您可以使用此資料來追蹤要求、分析使用趨勢,以及診斷儲存體帳戶的問題。
小提示
Microsoft 記憶體雲端安全性效能評定 提供如何保護您的雲端記憶體解決方案的建議。
使用授權安全性時需要考量的事項
檢閱下列授權 Azure 儲存體要求的策略。 請思考哪些安全性策略適用於您的 Azure 儲存體。
| 授權策略 | 描述 |
|---|---|
| Microsoft Entra 身份識別 | Microsoft Entra ID 是 Microsoft 的雲端式身分識別與存取管理服務。 透過使用 Microsoft Entra ID,您可以使用角色型存取控制為使用者、群組或應用程式指派精細的存取權。 |
| 共用金鑰 | 共用金鑰授權仰賴您的 Azure 儲存體帳戶存取金鑰和其他參數,以產生加密的簽章字串。 字串會在授權標頭中的要求上傳遞。 |
| 共用存取簽章 | SAS 會委派您 Azure 儲存體帳戶中特定資源的存取權,委派時會一併指定權限和時間間隔。 |
| 針對容器和 Blob 的匿名存取 | 您可以選擇性地在容器或 Blob 層級公開 Blob 資源。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。 |