Обзор стратегий безопасности хранилища Azure

Завершено

Администраторы используют различные стратегии, чтобы обеспечить безопасность данных. Распространенные подходы включают шифрование, проверку подлинности, авторизацию и управление доступом пользователей с учетными данными, разрешениями файлов и частными подписями. служба хранилища Azure предлагает набор возможностей безопасности на основе распространенных стратегий, помогающих защитить данные.

Замечание

Видео касается Active Directory, который теперь брендируется как Microsoft Entra ID.

Обзор стратегий безопасности хранилища Azure

Рассмотрим некоторые характеристики безопасности хранилища Azure. По мере прохождения этого модуля, учтите многоуровневую защиту. Как применить функции безопасности хранилища к этой концепции?

Схема, показывающая защиту хранилища в подробных функциях.

  • Шифрование неактивных данных. Шифрование службы хранилища (SSE) с 256-разрядным шифром расширенного шифрования (AES) шифрует все данные, записанные в служба хранилища Azure. При считывании данных из службы хранилища Azure она расшифровывает их перед возвратом. Этот процесс не несет дополнительных расходов и не снижает производительность. Шифрование неактивных дисков включает шифрование виртуальных жестких дисков (VHD) с помощью шифрования дисков Azure. Данное шифрование использует BitLocker для образов Windows и dm-crypt для Linux.

  • Шифрование при передаче. Вы можете настроить учетную запись хранения только для приема запросов от безопасных подключений, задав для учетной записи хранения необходимое свойство Безопасной передачи . Существующие учетные записи должны явно запретить протокол TLS 1.0 и 1.1, которые устарели.

  • Модели шифрования. Azure поддерживает различные модели шифрования, включая шифрование на стороне сервера с помощью ключей, управляемых службами, ключей, управляемых клиентами в Key Vault, или ключей на оборудовании, управляемом клиентом. Шифрование на стороне клиента позволяет хранить ключи в локальной среде или в другом защищенном расположении, а также управлять ими.

  • Авторизация запросов. Для оптимальной безопасности корпорация Майкрософт рекомендует использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к данным в blob-объектах, очередях и таблицах, когда это возможно. Авторизация с помощью идентификатора Microsoft Entra и управляемых удостоверений обеспечивает более высокую безопасность и удобство использования при авторизации общего ключа.

  • RBAC. RBAC гарантирует, что ресурсы в учетной записи хранения доступны только в том случае, если они нужны, а также только тем пользователям или приложениям, которым предоставляется доступ. Присвоить роли RBAC с областью действия для учетной записи хранения Azure.

  • Аналитика хранилища. Azure Storage Analytics осуществляет запись логов для учетной записи хранилища. Эта информация может использоваться для трассировки запросов, анализа тенденций пользования и диагностики проблем в учетной записи хранения.

Подсказка

Эталон безопасности облачного хранилища от Майкрософт предоставляет рекомендации по защите решений для облачных хранилищ.

Вопросы, которые следует учитывать при использовании безопасности авторизации

Ознакомьтесь со следующими стратегиями для авторизации запросов к хранилищу Azure. Подумайте о том, какие стратегии безопасности будут работать для вашего хранилища Azure.

Стратегия авторизации Описание
Идентификатор Microsoft Entra Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. С помощью идентификатора Microsoft Entra можно назначить точный доступ пользователям, группам или приложениям с помощью управления доступом на основе ролей.
Общий ключ Доступ авторизован с помощью ключа доступа к учетной записи. Ключ может быть первичным или вторичным ключом доступа. Чтобы применить авторизацию Entra ID, отключите общий ключ на уровне аккаунта хранения.
Подписи для совместного доступа SAS делегирует доступ к определенному ресурсу в учетной записи хранения Azure с указанными разрешениями и за указанный интервал времени.
Анонимный доступ к контейнерам и блоб-объектам Анонимный общедоступный доступ по умолчанию отключен в новых учетных записях хранения. Корпорация Майкрософт рекомендует сохранить анонимный доступ отключен для учетных записей, содержащих конфиденциальные данные.