Возможности безопасности службы хранилища Azure

Завершено

Организация Contoso активно использует большие объемы данных в службе хранилища Azure. Многие их приложения полагаются на BLOB-объекты, неструктурированное хранилище таблиц, Azure Data Lake и общие файловые ресурсы на основе SMB.

После нарушения безопасности данных у конкурента организация Contoso поручает администратору сети проверить безопасность своих данных. Как консультант по данным для Contoso, вы заверяете администратора сети, что учетные записи хранения Azure предоставляют несколько преимуществ высокого уровня безопасности для данных в облаке.

  • Защитите данные в состоянии покоя
  • Защитите данные при передаче
  • Поддержка междоменного доступа браузера
  • Управление доступом к данным для пользователей
  • Аудит доступа к хранилищу

Шифрование при хранении

Все данные, записываемые в службу хранилища Azure, автоматически шифруются с помощью Шифрования службы хранилища (SSE) с 256-разрядным шифром AES и соответствуют требованиям FIPS 140-2. SSE автоматически шифрует данные при их записи в службу хранилища Azure. При считывании данных из службы хранилища Azure она расшифровывает их перед возвратом. Этот процесс не подразумевает никаких дополнительных выплат и не снижает производительность. Отключить его невозможно.

Для виртуальных машин Azure предоставляет возможность шифровать виртуальные жесткие диски (VHD) с помощью шифрования дисков Azure. Это шифрование использует BitLocker для образов Windows, а dm-crypt — для Linux.

Ключи автоматически сохраняются в Azure Key Vault, чтобы вам было проще управлять ключами шифрования дисков и секретами. Поэтому даже если кто-то получит доступ к образу виртуального жесткого диска и скачает его, он не сможет получить доступ к данным на нем.

Шифрование при передаче

Обеспечьте безопасность ваших данных, включив защиту на транспортном уровне между Azure и клиентом. Всегда используйте ПРОТОКОЛ HTTPS для защиты обмена данными через общедоступный Интернет. При вызове REST API для доступа к объектам в учетных записях хранения можно применить протокол HTTPS, требуя безопасной передачи для учетной записи хранения. После включения безопасной передачи подключения, использующие протокол HTTP, будут отклоняться. Этот флаг также обеспечит безопасную передачу данных по SMB, требуя использования SMB 3.0 для всех подключений файловых общих ресурсов.

Поддержка CORS

Contoso хранит в службе хранилища Azure несколько типов ресурсов веб-сайта, Эти типы включают изображения и видео. Чтобы защитить свои браузерные приложения, Contoso ограничивает запросы GET отдельными доменами.

Служба хранилища Azure поддерживает междоменный доступ через общий доступ к ресурсам независимо от источника (CORS). CORS использует заголовки HTTP, чтобы веб-приложение в одном домене имело доступ к ресурсам на сервере в другом домене. С помощью CORS веб-приложения загружают только авторизованное содержимое из авторизованных источников.

Поддержка CORS — это необязательная функция, которую можно включить для учетных записей хранения. Этот флаг добавляет соответствующие заголовки при использовании HTTP-запросов GET для получения ресурсов из учетной записи хранилища.

Управление доступом на основе ролей

Для доступа к данным в учетной записи хранения клиент отправляет запрос по протоколу HTTP или HTTPS. Каждый запрос к безопасному ресурсу должен быть авторизирован. Служба обеспечивает наличие у клиента разрешения на доступ к данным. Доступно несколько вариантов доступа. Возможно, самым гибким из них является доступ на основе ролей.

служба хранилища Azure поддерживает идентификатор Microsoft Entra и управление доступом на основе ролей (RBAC) для операций управления ресурсами и данных. Для субъектов безопасности можно назначить роли RBAC с областью действия в пределах учетной записи хранения. Вы можете использовать Microsoft Entra ID для авторизации операций управления ресурсами, таких как конфигурация. Microsoft Entra ID поддерживается для операций с данными в хранилище BLOB-объектов, файлов, очередей и таблиц.

Роли RBAC можно назначать субъекту безопасности или управляемому удостоверению для ресурсов Azure с областью действия на уровне подписки, группы ресурсов, учетной записи хранения, отдельного контейнера или очереди.

Tip

Для обеспечения оптимальной безопасности Microsoft рекомендует по возможности использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к данным BLOB-объектов, очередей, таблиц и файловым данным. Авторизация с помощью идентификатора Microsoft Entra и управляемых удостоверений обеспечивает более высокую безопасность и удобство использования при авторизации общего ключа.

Аудит доступа

Еще одной составляющей управления доступом является аудит. Аудит доступа к службе хранилища Azure можно провести с помощью встроенной службы Аналитики службы хранилища.

Аналитика службы хранилища заносит каждую операцию в журнал в режиме реального времени, и вы можете выполнять поиск определенных запросов в журналах Аналитики службы хранилища. Вы можете фильтровать результаты по механизму проверки подлинности, успешности операции или ресурсу, к которому осуществлялся доступ.