Поделиться через


Рекомендации по обеспечению безопасности для объектного хранилища Blob

В этой статье представлены рекомендации по безопасности для хранилища BLOB. Реализация этих рекомендаций поможет вам выполнить обязательства по обеспечению безопасности, которые описаны в нашей модели общей ответственности. Дополнительные сведения о том, как корпорация Майкрософт выполняет обязанности поставщиков услуг, см. в разделе Общая ответственность в облаке.

Некоторые рекомендации, включенные в эту статью, можно автоматически отслеживать с помощью Microsoft Defender для облака, который является первой линией защиты ресурсов в Azure. Дополнительные сведения о Microsoft Defender для облака см. в статье Что такое Microsoft Defender для облака?

Microsoft Defender для облака периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости. Затем он предоставляет рекомендации по их устранению. Дополнительные сведения о рекомендациях Microsoft Defender для облака см. в статье Проверка рекомендаций по безопасности.

Защита данных

Рекомендация Комментарии Defender для облака
Использование модели развертывания с помощью Azure Resource Manager Создайте новые учетные записи хранилища с помощью модели развертывания Azure Resource Manager для важных улучшений безопасности, включая более высокий контроль доступа на основе ролей Azure (Azure RBAC) и аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям, доступ к Azure Key Vault для секретов, а также аутентификацию и авторизацию Microsoft Entra для доступа к данным и ресурсам службы хранилища Azure. Перенос всех существующих учетных записей хранения, использующих классическую модель развертывания для использования Azure Resource Manager. Дополнительные сведения см. в статье Общие сведения об Azure Resource Manager. -
Включение Microsoft Defender для всех учетных записей хранения Microsoft Defender для хранилища предоставляет дополнительный уровень обнаружения угроз, который отслеживает необычные и потенциально опасные попытки доступа или использования учетных записей хранения. Оповещения системы безопасности активируются в Microsoft Defender для облака при возникновении аномальной активности. Кроме того они отправляются по электронной почте администраторам подписок и сопровождаются подробными сведениями о подозрительных действиях, а также рекомендациями по изучению и устранению угроз. Дополнительные сведения см. в статье Настройка Microsoft Defender для службы хранилища Azure. Да
Включить мягкое удаление для BLOB-объектов Мягкое удаление для BLOB позволяет восстанавливать данные после их удаления. Дополнительные сведения о механизме "мягкого удаления" BLOB-объектов см. в статье Мягкое удаление для BLOB-объектов службы хранилища Azure. -
Включить мягкое удаление для контейнеров Обратимое удаление для контейнеров позволяет восстановить контейнер после его удаления. Дополнительные сведения о мягком удалении для контейнеров см. в статье Мягкое удаление для контейнеров. -
Блокировка учетной записи хранения для предотвращения случайного или злонамеренного удаления либо изменения конфигурации Примените блокировку Azure Resource Manager к учетной записи хранения, чтобы защитить учетную запись от случайного или злонамеренного удаления либо изменения конфигурации. Блокировка учетной записи хранения не предотвращает удаления данных в этой учетной записи. Это защищает от удаления только саму учетную запись. Дополнительные сведения см. в статье Применение блокировки Azure Resource Manager к учетной записи хранения.
Хранение критически важных для бизнеса данных в неизменяемых BLOB-объектах Настройте правовые удержания и временные политики хранения для хранения данных блобов в состоянии WORM (Write Once, Read Many — однократная запись, многократное считывание). Объекты BLOB, которые хранятся в неизменяемом виде, можно читать, но нельзя изменять или удалять в течение периода хранения. Дополнительные сведения см. в статье Хранение критически важных для бизнеса данных BLOB-объектов с помощью неизменяемого хранилища. -
Использование шифрования для защиты данных Служба хранилища Azure шифрует все неактивные данные по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт. Для расширенного управления настройте управляемые клиентом ключи с помощью Azure Key Vault для управления ключами шифрования напрямую. Для дальнейшего укрепления безопасности необходимо реализовать шифрование на стороне клиента перед отправкой данных. -
Требование безопасной передачи данных (HTTPS) в учетную запись хранения При необходимости безопасной передачи для учетной записи хранения все запросы к учетной записи хранения следует выполнять по протоколу HTTPS. Любые запросы, выполненные по протоколу HTTP, отклоняются. Корпорация Майкрософт рекомендует установить постоянное требование безопасной передачи данных для всех учетных записей хранения. Дополнительные сведения см. в статье Требование безопасной передачи данных для обеспечения безопасных соединений. -
Ограничить токены общего доступа SAS только для подключений HTTPS Требование HTTPS при использовании клиентом маркера SAS для доступа к данным BLOB помогает минимизировать риск перехвата. Дополнительные сведения см. в статье Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS). -
Запрет репликации объектов между клиентами По умолчанию авторизованный пользователь может настроить политику репликации объектов, в которой исходная учетная запись находится в одном клиенте Microsoft Entra, а целевая учетная запись находится в другом клиенте. Запретить репликацию объектов между клиентами, чтобы требовать, чтобы исходные и целевые учетные записи, участвующие в политике репликации объектов, находятся в одном клиенте. Дополнительные сведения см. в разделе "Запрет репликации объектов в клиентах Microsoft Entra". -

Управление удостоверениями и доступом

Рекомендация Комментарии Defender для облака
Используйте Microsoft Entra ID для авторизации доступа к данным BLOB-объектов Microsoft Entra ID обеспечивает более высокую безопасность и простоту использования по сравнению с общим ключом для авторизации запросов к хранилищу объектов блоб. Дополнительные сведения см. в статье Авторизация доступа к данным в службе хранилища Azure. -
Имейте в виду принцип наименьших привилегий при назначении разрешений субъекту безопасности Microsoft Entra через Azure RBAC При назначении роли пользователю, группе или приложению этому субъекту безопасности следует предоставить только разрешения, необходимые для выполнения задач. Ограничение доступа к ресурсам позволяет предотвратить и непреднамеренное, и злонамеренное неправильное использование данных. -
Используйте SAS с делегированием пользователей для предоставления клиентам ограниченного доступа к данным объектов BLOB. SAS делегирования пользователей защищен учетными данными Microsoft Entra, а также разрешениями, указанными для SAS. SAS для делегирования пользователей является аналогом SAS-службы с точки зрения области действия и функций. При этом по сравнению с SAS-службой предоставляются дополнительные преимущества для системы безопасности. Дополнительные сведения см. в статье Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS). -
Защита ключей доступа к учетной записи с помощью Azure Key Vault Корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra для авторизации запросов на служба хранилища Azure. Но при необходимости авторизации с использованием общего ключа следует защитить ключи учетной записи с помощью Azure Key Vault. Ключи можно получить из хранилища ключей во время выполнения, а не сохранять их вместе с приложением. Дополнительную информацию см. в статье Сведения об Azure Key Vault. -
Периодическое повторное создание ключей учетной записи Периодическое изменение ключей учетной записи снижает риск раскрытия данных злоумышленникам. -
Запрет авторизации с общим ключом Если запретить авторизацию с общим ключом для учетной записи хранения, служба хранилища Azure будет отклонять все последующие запросы к этой учетной записи, которые авторизованы с помощью ключей доступа к учетной записи. Будут успешно выполнены только защищенные запросы, авторизованные с идентификатором Microsoft Entra. Дополнительные сведения см. в статье Предотвращение авторизации с общим ключом для учетной записи службы хранения Azure. -
Имейте в виду принцип наименьших привилегий при назначении разрешений для SAS (Служебная Авторизационная Система) При создании SAS укажите только разрешения, необходимые клиенту для выполнения своей функции. Ограничение доступа к ресурсам позволяет предотвратить и непреднамеренное, и злонамеренное неправильное использование данных. -
Имейте план отзыва для любого SAS, выданного клиентам. Если SAS был скомпрометирован, вы, вероятно, захотите аннулировать его как можно скорее. Чтобы отменить SAS для делегирования пользователей, отмените ключ для делегирования пользователей. Это позволит быстро аннулировать все подписи, связанные с этим ключом. Чтобы отменить SAS службы, связанный с хранимой политикой доступа, можно удалить хранимую политику доступа, переименовать политику или изменить время окончания срока действия на прошедшую дату. Дополнительные сведения см. в статье Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS). -
Если маркер SAS для службы не связан с хранимой политикой доступа, установите время истечения не более 1 часа. Нельзя отменить SAS службы, не связанный с хранимой политикой доступа. Поэтому рекомендуется ограничить срок действия SAS, чтобы он не превышал одного часа. -
Отключение анонимного доступа на чтение к контейнерам и BLOB-объектам анонимный доступ на чтение к контейнеру и его BLOB-объектам предоставляет доступ только для чтения к этим ресурсам любому клиенту. Избегайте включения анонимного доступа на чтение, только если это необходимо в вашей ситуации. См. в статье "Обзор: устранение анонимного доступа на чтение для данных BLOB-объектов", чтобы узнать, как отключить анонимный доступ для учетной записи хранилища. -

Сеть

Рекомендация Комментарии Defender для облака
Настройка минимальной требуемой версии протокола TLS для учетной записи хранения. Необходимо требовать, чтобы клиенты использовали более безопасную версию протокола TLS для выполнения запросов к учетной записи службы хранилища Azure путем настройки минимальной версии TLS для этой учетной записи. Дополнительные сведения см. в статье Настройка минимальной требуемой версии протокола TLS для учетной записи хранения. -
Включение параметра Требуется безопасное перемещение для всех учетных записей хранения Если включен параметр Требуется безопасное перемещение, все запросы к учетной записи хранения должны выполняться с использованием защищенных подключений. Все запросы, выполненные по протоколу HTTP, завершатся ошибкой. Дополнительные сведения см. в статье Обязательное безопасное перемещение в службе хранилища Azure. Да
Включение правил брандмауэра Настройте правила брандмауэра для ограничения доступа к учетной записи хранения только для запросов, исходящих из указанных IP-адресов, диапазонов IP-адресов или из списка подсетей в виртуальной сети Azure (VNet). Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей. -
Разрешение доступа к учетной записи хранения для доверенных служб Microsoft Включение правил брандмауэра для учетной записи хранения по умолчанию блокирует входящие запросы данных, за исключением запросов от служб, работающих внутри виртуальной сети Azure (VNet), или запросов, поступающих из разрешенных общедоступных IP-адресов. Запросы от других служб Azure, в том числе портала Azure, служб метрики и ведения журналов, блокируются. Можно разрешить запросы от других служб Azure, добавив исключение, чтобы предоставить доверенным службам Microsoft доступ к учетной записи хранения. Дополнительные сведения о добавлении исключений для доверенных служб Microsoft см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей. -
Использование частных конечных точек Частная конечная точка назначает в учетной записи хранения частный IP-адрес из виртуальной сети Azure (VNet). Это обеспечивает безопасность всего трафика по частному каналу между VNet и учетной записью хранения. Дополнительные сведения о частных конечных точках см. в статье Частное подключение к учетной записи хранения с помощью частной конечной точки Azure. -
Использование тегов службы виртуальной сети Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. Дополнительные сведения о тегах служб, поддерживаемых службой хранилища Azure, см. в статье Общие сведения о тегах служб Azure. Руководство по использованию тегов служб для создания правил исходящего сетевого трафика см. в статье Ограничение доступа к ресурсам PaaS. -
Ограничение сетевого доступа к определенным сетям Ограничение сетевого доступа к сетям, в которых размещаются клиенты с необходимостью доступа, снижает уязвимость ресурсов к сетевым атакам. Да
Настройка предпочтения маршрутизации для сети Вы можете настроить предпочтения маршрутизации сети для своей учетной записи хранения Azure, чтобы определить, как сетевой трафик передается в вашу учетную запись от клиентов через Интернет, с использованием глобальной сети Microsoft или интернет-маршрутизации. Дополнительные сведения см. в статье Настройка предпочтений маршрутизации для сети для службы хранилища Azure. -

Ведение журналов/мониторинг

Рекомендация Комментарии Defender для облака
Отслеживание авторизации запросов Включите ведение журнала для хранилища Azure, чтобы отслеживать, как запросы к службе авторизуются. В журнале указывается, был ли запрос сделан анонимно, с помощью маркера OAuth 2.0, общего ключа или общей подписки доступа (SAS). Дополнительные сведения см. в статье Мониторинг хранилища BLOB-объектов Azure с помощью Azure Monitor или Ведение журнала аналитики службы хранилища Azure с помощью классического мониторинга. -
Настройка оповещений в Azure Monitor Настройте оповещения журнала для оценки журналов ресурсов с заданной периодичностью и запуска оповещений на основе результатов. Дополнительные сведения см. в статье Оповещения журнала в Azure Monitor. -

Следующие шаги