建立 Azure 儲存體帳戶基準

  • 5 分鐘

Azure 儲存體帳戶提供唯一的命名空間,供您儲存及存取 Azure 儲存體資料物件。

Azure 儲存體帳戶安全性建議

下列各節說明《CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0》中的 Azure 儲存體建議。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。 請記住,層級 2 選項可能會限制一些功能或活動,因此請仔細考慮您要強制執行哪一些安全性選項。

要求強化安全性的傳輸 - 層級 1

為確保 Azure 儲存體資料的安全性,需採取在用戶端和 Azure 儲存體之間加密資料的步驟。 第一個建議是一律使用 HTTPS 通訊協定。 使用 HTTPS 可確保透過公用網際網路進行安全通訊。 請為儲存體帳戶開啟 [需要安全傳輸] 選項,以在呼叫 REST API 存取儲存體帳戶中的物件時,強制使用 HTTPS。 開啟此控制項之後,即會拒絕使用 HTTP 的連線。 為訂閱中的每個儲存體帳戶完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [儲存體帳戶]

  2. 在 [儲存體帳戶] 窗格中,選取儲存體帳戶。

  3. 在左側功能表的 [設定] 底下,選取 [設定]。

  4. 在 [設定] 窗格中,確定 [需要安全傳輸] 設為 [啟用]

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows the secure transfer storage setting in the Azure portal.

啟用二進位大型物件 (Blob) 加密 - 層級 1

Azure Blob 儲存體是 Microsoft 針對雲端推出的物件儲存體解決方案。 Blob 儲存體已最佳化,可儲存大量的非結構化資料。 非結構化資料是指不符合特定資料模型或定義的資料。 例如文字和二進位資料都屬於非結構化資料。 儲存體服務加密可保護您的待用資料。 Azure 儲存體會在將資料寫入資料中心時加密,並會在您存取該資料時自動解密資料。

  1. 登入 Azure 入口網站。 搜尋並選取 [儲存體帳戶]

  2. 在 [儲存體帳戶] 窗格中,選取儲存體帳戶。

  3. 在左側功能表的 [安全性 + 網路] 下,選取 [加密]

  4. 在 [加密] 窗格中可以看到,所有全新和現有的儲存體帳戶都已啟用 Azure 儲存體加密,且無法停用。

Screenshot that shows secure storage encryption is automatically enabled.

定期重新產生存取金鑰 - 層級 1

在 Azure 中建立儲存體帳戶時,Azure 會產生兩個 512 位元的儲存體存取金鑰。 這些金鑰可在您存取儲存體帳戶時用於驗證。 定期輪替這些金鑰,即可確保利用時間來減少意外存取或暴露金鑰的可能性。 為 Azure 訂閱中的每個儲存體帳戶完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [儲存體帳戶]

  2. 在 [儲存體帳戶] 窗格中,選取儲存體帳戶。

  3. 請在左側功能表中,選取 [活動記錄]

  4. 在 [活動記錄] 的 [時間範圍] 下拉式清單中選取 [自訂]。 選取 [開始時間] 和 [結束時間] 以建立 90 天或以下的範圍。

  5. 選取套用

    Screenshot that shows the storage account timespan setting.

    如不使用 Azure Key Vault 搭配金鑰輪替,請使用您的訂閱資訊執行下列命令,以重新產生特定儲存體帳戶的儲存體存取金鑰:

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/regenerateKey?api-version=2019-04-01

  6. 如果要變更任何設定,請在功能表列中選取 [儲存]

要求共用存取簽章權杖在一小時內到期 - 層級 1

共用存取簽章是能授與 Azure 儲存體資源有限存取權的 URI。 針對要委派特定儲存體帳戶資源存取權,卻無法信任對方使用儲存體帳戶金鑰的客戶,您可以提供共用存取簽章。 藉由將共用存取簽章 URI 提供給這些客戶,您便可以搭配一組指定的權限,授與他們在一段指定時間內針對某個資源的存取權。

注意

針對《CIS Microsoft Azure Foundations Security Benchmark v.1.3.0》中的建議,無法自動驗證共用存取簽章權杖的到期時間。 建議需要手動驗證。

要求共用存取簽章權杖只能透過 HTTPS 共用 - 層級 1

共用存取簽章權杖應該僅允許透過 HTTPS 通訊協定傳遞。 為 Azure 訂閱中的每個儲存體帳戶完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [儲存體帳戶]

  2. 在 [儲存體帳戶] 窗格中,選取儲存體帳戶。

  3. 在功能表的 [安全性 + 網路] 下,選取 [共用存取簽章]

  4. 在 [共用存取簽章] 窗格的 [開始及到期日期/時間] 下,設定 [開始] 和 [結束] 日期和時間。

  5. 在 [允許的通訊協定] 底下,選取 [僅限 HTTPS]

  6. 如果變更任何設定,請在功能表列中選取 [產生 SAS 與連接字串]

Screenshot of a shared access signature in a storage account settings and H T T P S only protocol allowed.

在後續區段中設定共用存取簽章功能。

啟用 Azure 檔案儲存體加密 - 層級 1

Azure 磁碟加密可加密 IaaS VM 中的 OS 和資料磁碟。 用戶端加密和伺服器端加密 (SSE) 是加密 Azure 儲存體資料所用的兩種方法。 為 Azure 訂閱中的每個儲存體帳戶完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [儲存體帳戶]

  2. 在 [儲存體帳戶] 窗格中,選取儲存體帳戶。

  3. 在左側功能表的 [安全性 + 網路] 下,選取 [加密]

  4. 在 [加密] 窗格中可以看到,所有全新和現有的 Blob 儲存體和檔案儲存體都已啟用 Azure 儲存體加密,且無法停用。

Screenshot that shows encryption is automatically enabled for all blobs and files in storage accounts.

要求針對 Blob 容器僅使用私人存取 - 層級 1

您可以對 Azure Blob 儲存體中的容器和其 Blob 啟用匿名的公用讀取權限。 開啟匿名的公用讀取權限,即可將這些資源的唯讀存取權限授與他人,而無須共用您的帳戶金鑰,也無須要求共用存取簽章。 根據預設,只有被授與適當權限的使用者方可存取容器及其所有 Blob。 若要為匿名使用者授與容器及其 Blob 的讀取權限,您可將容器存取層級設為公開

但當您授與容器的公開存取權時,匿名使用者便可讀取可公開存取容器內的 Blob,而無需為要求取得授權。 安全性建議是改將儲存體容器的存取權設定為私人。 為 Azure 訂閱中的每個儲存體帳戶完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [儲存體帳戶]

  2. 在 [儲存體帳戶] 窗格中,選取儲存體帳戶。

  3. 在左側功能表中選取 [資料儲存體]下的 [容器]

  4. 在 [容器] 窗格中,確認 [公用存取層級] 設為 [私人]

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows a storage container with access level set to private.