總結
在本單元中,你學會了如何規劃並實施 Azure Storage 的安全措施,並結合零信任原則與防禦深度策略。
涵蓋的關鍵概念
認證與授權:您探討了 Azure Storage 的現代認證方法,特別強調 Microsoft Entra ID 是首選方式,勝過共用存取金鑰。 你學會了如何實作 Azure RBAC 來處理 blob、隊列和資料表儲存,並了解何時該為應用程式使用受管理身份,而非其他認證方法。 你也學會了如何妥善管理儲存帳號存取金鑰,包括 Azure Key Vault 中的安全儲存,以及輪替策略以降低安全風險。
Service-Specific 安全性:你檢視了針對每個 Azure 儲存服務量身打造的授權方法:
- Azure Files:透過 Microsoft Entra 網域服務或 Active Directory 網域服務設定基於身份的認證,並實作共享層級與檔案層級權限
- Blob 儲存體:利用 Microsoft Entra ID 提供安全存取,並具備適當的內建及自訂 RBAC 角色
- 資料表儲存:以適當角色指派實作 Microsoft Entra ID 授權
- 佇列儲存:透過 Azure 入口網站授權存取,並以程式化方式使用 Microsoft Entra ID 憑證
資料保護與復原:你學會了完整的資料保護策略,包括容器與 blob 的軟刪除、用於追蹤變更的 blob 版本管理、點點還原功能,以及符合法規要求的不可更改儲存政策。 這些保護機制提供深入防禦,防止意外刪除、惡意修改及勒索軟體攻擊。
進階加密選項:您探討了針對受管制及高安全性環境的先進加密能力:
- 自帶金鑰(BYOK):透過安全將本地 HSM 的金鑰匯入 Azure Key Vault 來維持對加密金鑰生命週期的控制
- 基礎設施加密:為符合嚴格合規要求的組織,在服務層級與基礎設施層級實現雙重加密
強調安全原則
在本單元中,幾項關鍵安全原則被強化:
- 零信任策略:永不信任,永遠驗證——偏好基於身份的認證,而非存取金鑰與令牌
- 縱深防禦:實施多層安全控管,包括認證、授權、加密及資料保護
- 最低權限存取:僅授予使用者與應用程式執行所需任務所需的最低權限
- 職責分工:在不同加密層使用不同的金鑰與機制,以降低被入侵的風險
- 合規準備:善用內建功能如不可篡改政策、自帶設備(BYOK)及基礎設施加密,以符合法規要求
透過應用這些概念與最佳實務,您可以設計並實作強大的 Azure Storage 安全架構,保護您的資料在整個生命週期中的安全,同時維持營運效率並符合合規義務。