Поделиться через


Базовые показатели безопасности Azure для службы хранилища

Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к хранилищу. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к службе хранилища.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.

Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.

Примечание

Функции , неприменимые к хранилищу, были исключены. Сведения о том, как хранилище полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. в полном файле сопоставления базовых показателей безопасности хранилища.

Профиль безопасности

Профиль безопасности обобщает поведение хранилища с высокой степенью влияния, что может привести к повышению безопасности.

Атрибут поведения службы Значение
Категория продуктов Память
Клиент может получить доступ к HOST/ОС Нет доступа
Служба может быть развернута в виртуальной сети клиента True
Хранит неактивный контент клиента True

Безопасность сети

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Разверните частные конечные точки для службы хранилища Azure, чтобы создать частную точку доступа для ресурсов.

Справочник. Использование частных конечных точек для службы хранилища Azure

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Отключите доступ к общедоступной сети с помощью фильтрации ip-адресов уровня службы хранилища Azure или переключения для доступа к общедоступной сети.

Справочник. Изменение правила доступа к сети по умолчанию

Управление удостоверениями

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Заметки о функциях. Хранилище предлагает несколько способов авторизации в плоскости данных. Azure AD обеспечивает управление доступом на основе ролей (RBAC) для точной настройки управления доступом клиента к ресурсам в учетной записи хранения. Используйте учетные данные Azure AD, если это возможно в целях безопасности, вместо использования ключа учетной записи, что может быть более легко скомпрометировано. Если в структуре приложения требуются подписанные URL-адреса для доступа к хранилищу BLOB-объектов, используйте Azure AD учетные данные для создания подписанных URL-адресов делегирования пользователей (SAS), когда это возможно для обеспечения повышенной безопасности.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочник. Авторизация доступа к данным в службе хранилища Azure

Методы локальной проверки подлинности для доступа к плоскости данных

Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.

Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справочник. Модель разрешений SFTP

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут выполнять проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.

Справочник. Авторизация доступа к данным BLOB-объектов с помощью управляемых удостоверений для ресурсов Azure

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Дополнительное руководство. С помощью Azure AD вы можете использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности, который может быть пользователем, группой или субъектом-службой приложения. Проверка подлинности субъекта безопасности в Azure AD возвращает маркер OAuth 2.0. Затем маркер можно использовать для авторизации запроса к службе BLOB-объектов.

Справочник. Авторизация доступа к большим двоичным объектам с помощью Azure Active Directory

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокирование рискованного поведения при входе или требование устройств, управляемых организацией, для определенных приложений.

Справка. Запрет авторизации с помощью общего ключа для использования условного доступа Azure AD

IM-8: ограничение раскрытия учетных данных и секретов

Компоненты

Учетные данные и секреты службы поддерживают интеграцию и хранение в Azure Key Vault

Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраиваются в файлы кода или конфигурации.

Справочник. Управление ключами учетной записи хранения с помощью Key Vault и Azure CLI

Привилегированный доступ

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access( Привилегированный доступ).

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям уровня данных службы. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Служба хранилища Azure поддерживает использование Azure Active Directory (Azure AD) для авторизации запросов к данным BLOB-объектов. С помощью Azure AD можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности, которым может быть пользователь, группа или субъект-служба приложения.

Авторизация запросов к службе хранилища Azure через Azure AD обеспечивает более высокий уровень безопасности и простоту использования общих ключей авторизации. Майкрософт рекомендует использовать авторизацию Azure AD с приложениями BLOB-объектов, если это возможно, чтобы обеспечить доступ с минимальными необходимыми привилегиями.

Справочник. Авторизация доступа к большим двоичным объектам с помощью Azure Active Directory

PA-8. Определение процесса доступа для поддержки поставщиков облачных служб

Компоненты

Защищенное хранилище клиента

Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. В сценариях поддержки, когда корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утвердить или отклонить каждый из запросов на доступ к данным майкрософт.

Справочник. Защищенное хранилище

Защита данных

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Компоненты

Обнаружение и классификация конфиденциальных данных

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Интеграция хранилища с Azure purview в настоящее время находится в закрытой предварительной версии.

Руководство по настройке. Используйте Azure Purview для сканирования, классификации и маркировки конфиденциальных данных, которые находятся в службе хранилища Azure.

Справочник. Подключение к хранилищу BLOB-объектов Azure в Microsoft Purview

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Компоненты

Защита от утечки и потери данных

Описание: служба поддерживает решение защиты от потери данных для отслеживания перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Defender для хранилища постоянно анализирует поток телеметрии, создаваемый службами Хранилище BLOB-объектов Azure и Файлы Azure. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака вместе с подробными сведениями о подозрительных действиях, а также о соответствующими шагами расследования, действиями по исправлению и рекомендациями по безопасности.

Microsoft Defender для хранилища встроен в Microsoft Defender для облака. Когда вы включаете расширенные функции безопасности Microsoft Defender для облака в своей подписке, Microsoft Defender для хранилища автоматически включается для всех ваших учетных записей хранения. Вы можете включить или отключить Defender для хранилища для отдельных учетных записей хранения в определенной подписке.

Справочник. Настройка Microsoft Defender для хранилища

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Данные в транзитном шифровании

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.

Справочник. Применение минимально необходимой версии ПРОТОКОЛА TLS для запросов к учетной записи хранения

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.

Справочник.Шифрование неактивных данных в службе хранилища Azure

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включение и реализация шифрования неактивных данных для область данных с помощью управляемого клиентом ключа для службы хранилища Azure

Справочник. Управляемые клиентом ключи для шифрования службы хранилища Azure

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.

Справочник. Управление ключами учетной записи хранения с помощью Key Vault и Azure CLI

Управление ресурсами

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Определите и реализуйте стандартные конфигурации безопасности для сетевых ресурсов, связанных с вашей учетной записью хранения Azure, с помощью Политика Azure. Используйте псевдонимы политик Azure в пространствах имен Microsoft.Cache и Microsoft.Network для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров Azure Cache для Redis.

Вы также можете использовать встроенные определения политик, связанные с учетной записью хранения, например: учетные записи хранения должны использовать конечную точку службы виртуальной сети

Справочник. Политика Azure встроенных определений для службы хранилища Azure

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для предложения услуг и продуктов

Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для службы хранилища, чтобы предоставить дополнительный уровень аналитики безопасности, который обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или использования этих учетных записей. Это решение использует расширенные возможности обнаружения угроз и данные анализа угроз Майкрософт, предлагая на их основе контекстных оповещения о безопасности. Эти оповещения также включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.

Справочник. Введение в Microsoft Defender для хранилища

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Прием журналов с помощью Azure Monitor для агрегирования данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа и используйте учетные записи хранения Azure для долгосрочного и архивного хранения, при необходимости используя такие функции безопасности, как неизменяемое хранилище и принудительное хранение.

Справка. Мониторинг Хранилище BLOB-объектов Azure

резервное копирование и восстановление

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях: Azure Backup в настоящее время поддерживается только для хранилища BLOB-объектов Azure. Резервные копии данных очередей и таблиц можно создать с помощью программы командной строки AzCopy.

Руководство по настройке. Включите Azure Backup и настройте источник резервного копирования с требуемой частотой и требуемым периодом хранения. Azure Backup позволяет легко настроить операционную резервную копию для защиты блочных BLOB-объектов в учетных записях хранения. Резервная копия больших двоичных объектов настраивается на уровне учетной записи хранения. Таким образом, все большие двоичные объекты в учетной записи хранения защищаются с помощью операционного резервного копирования.

Вы можете настроить резервное копирование нескольких учетных записей хранения с помощью центра резервного копирования. Вы также можете настроить резервное копирование для учетной записи хранения, используя свойства защиты данных учетной записи хранения.

Справочник. Обзор оперативного резервного копирования blob-объектов Azure

Возможность резервного копирования в собственном коде службы

Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Дополнительное руководство. Оперативное резервное копирование BLOB-объектов — это локальное решение для резервного копирования. Данные резервного копирования не передаются в Хранилище службы архивации, а хранятся в исходной учетной записи хранения. Однако Хранилище службы архивации по-прежнему выступает в роли единицы управления резервными копиями. Кроме того, это решение непрерывного резервного копирования. Это означает, что вам не нужно планировать резервное копирование — все изменения сохраняются и подлежат восстановлению до выбранной точки во времени.

Справочник. Обзор оперативного резервного копирования blob-объектов Azure

Дальнейшие действия