Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera zalecenia dotyczące zabezpieczeń usługi Blob Storage. Wdrożenie tych zaleceń pomoże Ci spełnić twoje zobowiązania dotyczące zabezpieczeń zgodnie z opisem w naszym modelu wspólnej odpowiedzialności. Aby uzyskać więcej informacji na temat sposobu, w jaki firma Microsoft spełnia obowiązki dostawcy usług, zobacz Wspólna odpowiedzialność w chmurze.
Niektóre zalecenia zawarte w tym artykule mogą być automatycznie monitorowane przez Microsoft Defender dla Chmury, co jest pierwszą linią obrony w ochronie zasobów na platformie Azure. Aby uzyskać informacje na temat Microsoft Defender dla Chmury, zobacz Co to jest Microsoft Defender dla Chmury?
Microsoft Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu ich rozwiązywania. Aby uzyskać więcej informacji na temat zaleceń dotyczących Microsoft Defender for Cloud, zobacz Przejrzyj swoje rekomendacje dotyczące zabezpieczeń.
Ochrona danych
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Korzystanie z modelu wdrażania usługi Azure Resource Manager | Utwórz nowe konta magazynu przy użyciu modelu wdrażania usługi Azure Resource Manager, aby uzyskać ważne ulepszenia zabezpieczeń, w tym lepszą kontrolę dostępu opartą na rolach platformy Azure (Azure RBAC) i audyt, wdrażanie oraz zarządzanie oparte na usłudze Resource Manager, dostęp do zarządzanych tożsamości, dostęp do usługi Azure Key Vault dla tajemnic oraz uwierzytelnianie i autoryzację Microsoft Entra w celu uzyskania dostępu do danych i zasobów usługi Azure Storage. Przeprowadź migrację wszystkich istniejących kont magazynu, które używają klasycznego modelu wdrażania do korzystania z usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat usługi Azure Resource Manager, zobacz Omówienie usługi Azure Resource Manager. | - |
| Włącz usługę Microsoft Defender dla wszystkich kont przechowywania | Usługa Microsoft Defender for Storage udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane w Microsoft Defender dla Chmury, gdy wystąpią anomalie w działaniu, a także są wysyłane pocztą e-mail do administratorów subskrypcji, ze szczegółami podejrzanych działań i zaleceń dotyczących sposobu badania i korygowania zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Microsoft Defender for Storage. | Tak |
| Włącz funkcję miękkiego usuwania dla blobów | Miękkie usuwanie dla obiektów blob umożliwia odzyskanie danych blob po ich usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla obiektów blob, zobacz Usuwanie nietrwałe dla obiektów blob usługi Azure Storage. | - |
| Włącz miękkie usuwanie dla kontenerów | Logiczne usuwanie dla kontenerów umożliwia odzyskanie kontenera po jego usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla kontenerów, zobacz Usuwanie nietrwałe dla kontenerów. | - |
| Zablokuj konto magazynu, aby zapobiec przypadkowemu lub złośliwemu usunięciu lub zmianom konfiguracji | Zastosuj blokadę usługi Azure Resource Manager na koncie magazynu, aby chronić konto przed przypadkowym lub złośliwym usunięciem lub zmianą konfiguracji. Blokowanie konta magazynu nie zapobiega usunięciu danych na tym koncie. Uniemożliwia to usunięcie samego konta. Aby uzyskać więcej informacji, zobacz Stosowanie blokady usługi Azure Resource Manager do konta magazynu. | |
| Przechowywanie danych krytycznych dla działania firmy w niezmiennych obiektach blob | Skonfiguruj zasady blokad prawnych i okresowego przechowywania, aby przechowywać dane blob w stanie WORM (zapis raz, odczyt wielu). Obiekty blob przechowywane niezmiennie mogą być odczytywane, ale nie można ich modyfikować ani usuwać przez czas trwania interwału przechowywania. Aby uzyskać więcej informacji, zobacz Przechowywanie danych obiektów blob krytycznych dla działania firmy przy użyciu niezmiennego magazynu. | - |
| Używanie szyfrowania do ochrony danych | Usługa Azure Storage domyślnie szyfruje wszystkie dane magazynowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać rozszerzoną kontrolę, skonfiguruj klucze zarządzane przez klienta za pomocą usługi Azure Key Vault, aby zarządzać kluczami szyfrowania bezpośrednio. Aby jeszcze bardziej zwiększyć bezpieczeństwo, przed przekazaniem danych zaimplementuj szyfrowanie po stronie klienta . | - |
| Wymaganie bezpiecznego transferu (HTTPS) do konta magazynu | Jeśli wymagasz bezpiecznego transferu dla konta magazynu, wszystkie żądania do konta magazynu muszą zostać wykonane za pośrednictwem protokołu HTTPS. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP są odrzucane. Firma Microsoft zaleca, aby zawsze wymagać bezpiecznego transferu dla wszystkich kont magazynowych. Aby uzyskać więcej informacji, zobacz Wymagaj bezpiecznego transferu w celu zapewnienia bezpiecznych połączeń. | - |
| Ogranicz tokeny sygnatury dostępu współdzielonego tylko do połączeń HTTPS | Wymaganie protokołu HTTPS, gdy klient używa tokenu SAS do uzyskiwania dostępu do danych obiektów blob, pomaga zminimalizować ryzyko podsłuchiwania. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). | - |
| Nie zezwalaj na replikację obiektów między dzierżawami | Domyślnie autoryzowany użytkownik może skonfigurować zasady replikacji obiektów, w których konto źródłowe znajduje się w jednej dzierżawie usługi Microsoft Entra, a konto docelowe znajduje się w innej dzierżawie. Nie zezwalaj na replikację obiektów między dzierżawami w celu zapewnienia, że konta źródłowe i docelowe biorące udział w polityce replikacji obiektów znajdują się w tej samej dzierżawie. Aby uzyskać więcej informacji, zobacz Jak zapobiegać replikacji obiektów w dzierżawach Microsoft Entra. | - |
Zarządzanie tożsamościami i dostępem
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Używanie identyfikatora Entra firmy Microsoft do autoryzowania dostępu do danych obiektów blob | Identyfikator Entra firmy Microsoft zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego na potrzeby autoryzowania żądań do usługi Blob Storage. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage. | - |
| Należy pamiętać o zasadzie najmniejszych przywilejów podczas przypisywania uprawnień do podmiotu zabezpieczeń Microsoft Entra za pośrednictwem Azure RBAC. | Podczas przypisywania roli do użytkownika, grupy lub aplikacji przyznaj temu podmiotowi zabezpieczeń tylko te uprawnienia, które są niezbędne do wykonywania zadań. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. | - |
| Użyj sygnatury dostępu delegacji użytkownika, aby przyznać klientom ograniczony dostęp do danych obiektów blob. | Delegacja użytkownika SAS jest zabezpieczana przy użyciu poświadczeń Microsoft Entra oraz przez uprawnienia określone dla SAS. Delegacja użytkownika SAS jest analogiczna do sygnatury dostępu współdzielonego usługi pod względem zakresu i funkcji, ale zapewnia lepsze zabezpieczenia niż sygnatura dostępu współdzielonego usługi. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). | - |
| Zabezpieczanie kluczy dostępu do konta za pomocą usługi Azure Key Vault | Firma Microsoft zaleca używanie identyfikatora Entra firmy Microsoft do autoryzowania żądań do usługi Azure Storage. Jeśli jednak musisz użyć autoryzacji klucza współdzielonego, zabezpiecz klucze konta za pomocą usługi Azure Key Vault. Klucze można pobrać z magazynu kluczy w czasie wykonywania, zamiast zapisywać je w aplikacji. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Omówienie usługi Azure Key Vault. | - |
| Okresowe ponowne generowanie kluczy konta | Rotacja kluczy kont okresowo zmniejsza ryzyko ujawnienia danych złośliwym podmiotom. | - |
| Nie zezwalaj na autoryzację klucza współdzielonego | Jeśli nie zezwalasz na autoryzację klucza wspólnego dla konta magazynu, usługa Azure Storage odrzuca wszystkie kolejne żądania do tego konta, które są autoryzowane przy użyciu kluczy dostępu do konta. Pomyślnie powiedzie się tylko zabezpieczone żądania autoryzowane za pomocą identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage. | - |
| Należy pamiętać o zasadzie najniższych uprawnień podczas przypisywania uprawnień do sygnatury dostępu współdzielonego | Podczas tworzenia SAS, określ tylko te uprawnienia, które są wymagane przez klienta do realizacji jego funkcji. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. | - |
| Miej plan odwołania dla każdej sygnatury dostępu współdzielonego, którą wystawiasz klientom. | W przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego należy jak najszybciej odwołać tę sygnaturę dostępu współdzielonego. Aby unieważnić token delegowania użytkownika SAS, unieważnij odpowiedni klucz delegowania, aby szybko unieważnić wszystkie sygnatury skojarzone z tym kluczem. Aby odwołać sygnaturę dostępu współdzielonego usługi (service SAS) skojarzoną z zapisanymi zasadami dostępu, można usunąć zapisane zasady dostępu, zmienić nazwę zasad lub zmienić czas wygaśnięcia na przeszły. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). | - |
| Jeśli usługowy SAS nie jest skojarzony z zapisanymi zasadami dostępu, ustaw czas wygaśnięcia na maksymalnie godzinę. | Nie można odwołać sygnatury dostępu współdzielonego usługi, która nie jest skojarzona z zapisanymi zasadami dostępu. Z tego powodu zaleca się ograniczenie czasu wygaśnięcia, aby sygnatura dostępu współdzielonego obowiązywała przez jedną godzinę lub mniej. | - |
| Wyłącz anonimowy dostęp do odczytu do kontenerów i obiektów blob | anonimowy dostęp do odczytu do kontenera i jego obiektów blob przyznaje dostęp tylko do odczytu do tych zasobów każdemu klientowi. Unikaj włączania anonimowego dostępu do odczytu, chyba że twój scenariusz tego wymaga. Aby dowiedzieć się, jak wyłączyć dostęp anonimowy dla konta magazynu, zobacz Omówienie: korygowanie anonimowego dostępu do odczytu dla danych obiektów blob. | - |
Sieciowanie
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Skonfiguruj minimalną wymaganą wersję protokołu Transport Layer Security (TLS) dla konta magazynu. | Wymagaj, aby klienci używali bezpieczniejszej wersji protokołu TLS do tworzenia żądań względem konta usługi Azure Storage, konfigurując minimalną wersję protokołu TLS dla tego konta. Aby uzyskać więcej informacji, zobacz Konfigurowanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla konta magazynu | - |
| Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynowych | Po włączeniu opcji Wymagany bezpieczny transfer, wszystkie żądania kierowane do konta magazynu muszą być realizowane za pomocą bezpiecznych połączeń. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP kończą się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Wymaganie bezpiecznego transferu w usłudze Azure Storage. | Tak |
| Włącz reguły zapory | Skonfiguruj reguły zapory, aby ograniczyć dostęp do konta magazynu do żądań pochodzących z określonych adresów IP lub zakresów albo z listy podsieci w sieci wirtualnej Azure. Aby uzyskać więcej informacji na temat konfigurowania reguł zapory, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. | - |
| Zezwalaj zaufanym usługom firmy Microsoft na dostęp do konta magazynowego | Włączenie reguł zapory dla konta magazynu domyślnie blokuje przychodzące żądania dotyczące danych, chyba że żądania pochodzą z usługi działającej w sieci wirtualnej platformy Azure lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal, z usług rejestrowania i metryk itd. Możesz zezwolić na żądania z innych usług platformy Azure, dodając wyjątek umożliwiający zaufanym usługom firmy Microsoft dostęp do konta magazynowego. Aby uzyskać więcej informacji na temat dodawania wyjątku dla zaufanych usługi firmy Microsoft, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. | - |
| Używanie prywatnych punktów końcowych | Prywatny punkt końcowy przypisuje prywatny adres IP z sieci wirtualnej Azure do konta magazynowego. Zabezpiecza cały ruch między Twoją siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych, zobacz Łączenie się prywatnie z kontem magazynu przy użyciu prywatnego punktu końcowego platformy Azure. | - |
| Używanie tagów usługi VNet | Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji na temat tagów usług obsługiwanych przez usługę Azure Storage, zobacz Omówienie tagów usługi platformy Azure. Aby zapoznać się z samouczkiem pokazującym, jak używać tagów usługi do tworzenia reguł sieci wychodzących, zobacz Ograniczanie dostępu do zasobów PaaS. | - |
| Ograniczanie dostępu sieciowego do określonych sieci | Ograniczenie dostępu sieciowego do sieci hostujących klientów wymagających dostępu zmniejsza narażenie zasobów na ataki sieciowe. | Tak |
| Konfigurowanie preferencji routingu sieciowego | Możesz skonfigurować preferencję routingu sieciowego dla konta usługi Azure Storage, aby określić sposób kierowania ruchu sieciowego do konta z klientów przez Internet przy użyciu globalnej sieci firmy Microsoft lub routingu internetowego. Aby uzyskać więcej informacji, zobacz Konfigurowanie preferencji routingu sieciowego dla usługi Azure Storage. | - |
Rejestrowanie/monitorowanie
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Śledzenie autoryzowania żądań | Włącz rejestrowanie dla usługi Azure Storage, aby śledzić, jak żądania do usługi są autoryzowane. Dzienniki wskazują, czy żądanie zostało wykonane anonimowo przy użyciu tokenu OAuth 2.0, przy użyciu klucza współdzielonego, czy przy użyciu sygnatury dostępu współdzielonego (SAS). Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure Blob Storage przy użyciu usługi Azure Monitor lub analizę dzienników usługi Azure Storage w klasycznym monitorowaniu. | - |
| Konfigurowanie alertów w usłudze Azure Monitor | Skonfiguruj alerty dzienników, aby oceniać dzienniki zasobów z ustawioną częstotliwością i uruchamiać alert na podstawie wyników. Aby uzyskać więcej informacji, zobacz Rejestrowanie alertów w usłudze Azure Monitor. | - |
Następne kroki
- Dokumentacja zabezpieczeń platformy Azure
- Bezpieczna dokumentacja programowania.