Sicherheitsempfehlungen für Blob Storage

Dieser Artikel enthält Sicherheitsempfehlungen für Blob Storage. Die Umsetzung dieser Empfehlungen erleichtert es Ihnen, Ihre Sicherheitspflichten zu erfüllen, die in unserem Modell der gemeinsamen Verantwortung beschrieben werden. Weitere Informationen dazu, wie Microsoft seiner Verantwortung als Dienstanbieter nachkommt, finden Sie unter Gemeinsame Verantwortung in der Cloud.

Einige der Empfehlungen in diesem Abschnitt können automatisch von Microsoft Defender für Cloud überwacht werden, der ersten Verteidigungsfront zum Schutz Ihrer Ressourcen in Azure. Weitere Informationen zu Microsoft Defender für Cloud finden Sie unter Was ist Microsoft Defender für Cloud?

Microsoft Defender für Cloud analysiert regelmäßig den Sicherheitsstatus Ihrer Azure-Ressourcen, um potenzielle Sicherheitsrisiken zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie damit umgegangen werden kann. Weitere Informationen zu Microsoft Defender für Cloud finden Sie unter Überprüfen Ihrer Sicherheitsempfehlungen.

Schutz von Daten

Empfehlung Kommentare Defender für Cloud
Verwenden des Azure Resource Manager-Bereitstellungsmodells Erstellen Sie neue Speicherkonten mit dem Azure Resource Manager-Bereitstellungsmodell, um von wichtigen Sicherheitsverbesserungen zu profitieren. Dazu gehören eine differenzierte rollenbasierte Zugriffssteuerung (Azure RBAC) und Überwachung in Azure, Resource Manager-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Azure Key Vault für Geheimnisse sowie Microsoft Entra-Authentifizierung und Autorisierung für den Zugriff auf Azure Storage-Daten und -Ressourcen. Migrieren Sie nach Möglichkeit vorhandene Speicherkonten, die das klassische Bereitstellungsmodell verwenden, zu Azure Resource Manager. Weitere Informationen zu Azure Resource Manager finden Sie unter Übersicht über Azure Resource Manager. -
Aktivieren von Microsoft Defender für all Ihre Speicherkonten Microsoft Defender für Storage stellt eine zusätzliche Ebene der Sicherheitsanalyse bereit, die ungewöhnliche und potenziell bedrohliche Versuche erkennt, auf Speicherkonten zuzugreifen oder diese unbefugt zu nutzen. Sicherheitswarnungen werden in Microsoft Defender für Cloud ausgelöst, wenn anormale Aktivitäten auftreten, und auch als E-Mail mit Angaben zu verdächtigen Aktivitäten und Empfehlungen, wie Bedrohungen untersucht und behoben werden können, an Abonnementadministratoren gesendet. Weitere Informationen finden Sie unter Microsoft Defender für Storage konfigurieren. Ja
Aktivieren des vorläufigen Löschens für Blobs Das vorläufige Löschen für Blobs ermöglicht es Ihnen, Blobdaten nach dem Löschen wiederherzustellen. Weitere Informationen zum vorläufigen Löschen für Blobs finden Sie unter Vorläufiges Löschen für Azure Storage-Blobs. -
Aktivieren des vorläufigen Löschens für Container Das vorläufige Löschen für Container ermöglicht es Ihnen, einen Container nach dem Löschen wiederherzustellen. Weitere Informationen zum vorläufigen Löschen für Container finden Sie unter Vorläufiges Löschen für Container. -
Sperren eines Speicherkontos, um versehentliches oder böswilliges Löschen oder Konfigurationsänderungen zu verhindern Wenden Sie eine Azure Resource Manager-Sperre auf Ihr Speicherkonto an, um das Konto vor versehentlichem oder böswilligem Löschen oder einer Konfigurationsänderung zu schützen. Durch das Sperren eines Speicherkontos wird nicht verhindert, dass Daten in diesem Konto gelöscht werden. Dadurch wird nur verhindert, dass das Konto selbst gelöscht wird. Weitere Informationen finden Sie unter Anwenden einer Azure Resource Manager-Sperre auf ein Speicherkonto.
Speichern unternehmenskritischer Daten in unveränderlichen Blobs Konfigurieren Sie Richtlinien zur gesetzlichen Aufbewahrungspflicht und zeitbasierten Aufbewahrung für das Speichern von Blobdaten in einem WORM-Zustand (Write Once, Read Many). Unveränderlich gespeicherte Blobs können während des Aufbewahrungszeitraums gelesen, aber nicht geändert oder gelöscht werden. Weitere Informationen finden Sie unter Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher. -
Vorschreiben einer sicheren Übertragung (HTTPS) in das Speicherkonto Wenn Sie eine sichere Übertragung für ein Speicherkonto benötigen, müssen alle Anforderungen an das Speicherkonto über HTTPS erfolgen. Anforderungen über HTTP werden abgelehnt. Microsoft empfiehlt, immer eine sichere Übertragung für sämtliche Speicherkonten zu erzwingen. Weitere Informationen finden Sie unter Erzwingen einer sicheren Übertragung für sichere Verbindungen. -
Beschränken von SAS-Token (Shared Access Signature) auf HTTPS-Verbindungen Durch das verbindliche Verwenden von HTTPS, wenn ein Client ein SAS-Token für den Zugriff auf Blobdaten nutzt, kann das Risiko eines Lauschangriffs reduziert werden. Weitere Informationen finden Sie unter Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature). -
Verweigern der mandantenübergreifenden Objektreplikation Standardmäßig können autorisierte Benutzer*innen eine Objektreplikationsrichtlinie konfigurieren, bei der sich das Quellkonto in einem Microsoft Entra-Mandanten und das Zielkonto in einem anderen Mandanten befindet. Die mandantenübergreifende Objektreplikation verbieten, um zu verlangen, dass die Quell- und Zielkonten, die an einer Objektreplikationsrichtlinie teilnehmen, demselben Mandanten angehören. Weitere Informationen finden Sie unter Verhindern der Microsoft Entra-Mandanten übergreifenden Objekt-Replikation. -

Identitäts- und Zugriffsverwaltung

Empfehlung Kommentare Defender für Cloud
Verwenden von Microsoft Entra ID zum Autorisieren des Zugriffs auf Blobdaten Microsoft Entra ID bietet überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem gemeinsam verwendeten Schüssel zum Autorisieren von Anforderungen an Blob Storage. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Daten in Azure Storage. -
Gehen Sie beim Zuweisen von Berechtigungen zu einem Microsoft Entra-Sicherheitsprinzipal über Azure RBAC nach dem Prinzip der geringsten Rechte vor Wenn Sie einem Benutzer, einer Gruppe oder einer Anwendung eine Rolle zuweisen, erteilen Sie diesem Sicherheitsprinzipal nur die Berechtigungen, die zum Ausführen der jeweiligen Aufgaben erforderlich sind. Durch Einschränken des Zugriffs auf Ressourcen kann sowohl ein unbeabsichtigter als auch böswilliger Missbrauch Ihrer Daten verhindert werden. -
Verwenden einer SAS für die Benutzerdelegierung, um Clients eingeschränkten Zugriff auf Blobdaten zu gewähren Eine SAS für die Benutzerdelegierung wird durch Microsoft Entra-Anmeldeinformationen sowie durch die für die SAS angegebenen Berechtigungen geschützt. Eine SAS für die Benutzerdelegierung entspricht in Bezug auf Umfang und Funktion einer Dienst-SAS, bietet jedoch Sicherheitsvorteile gegenüber der Dienst-SAS. Weitere Informationen finden Sie unter Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature). -
Sichern Ihrer Kontozugriffsschlüssel mit Azure Key Vault Microsoft empfiehlt die Verwendung von Microsoft Entra ID zum Autorisieren von Anforderungen an Azure Storage. Wenn jedoch eine Autorisierung mit gemeinsam verwendetem Schlüssel erforderlich ist, schützen Sie Ihre Kontoschlüssel mit Azure Key Vault. Sie können die Schlüssel zur Laufzeit aus dem Schlüsseltresor abrufen, anstatt Sie mit der Anwendung zu speichern. Weitere Informationen zu Azure Key Vault finden Sie in der Übersicht über Azure Key Vault. -
Regelmäßiges Neugenerieren der Kontoschlüssel Durch regelmäßiges Rotieren der Kontoschlüssel verringert sich das Risiko, dass Ihre Daten für böswillige Akteure offengelegt werden. -
Verweigern der Autorisierung mit gemeinsam verwendetem Schlüssel Wenn Sie die Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Speicherkonto nicht zulassen, lehnt Azure Storage alle nachfolgenden Anforderungen an dieses Konto ab, die mit den Kontozugriffsschlüsseln autorisiert sind. Nur sichere Anforderungen, die durch Microsoft Entra ID autorisiert wurden, werden erfolgreich ausgeführt. Weitere Informationen finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto. -
Beachten des Prinzips der geringsten Rechte beim Zuweisen von Berechtigungen für eine SAS Geben Sie beim Erstellen einer SAS nur die Berechtigungen an, die der Client zum Ausführen seiner Funktion benötigt. Durch Einschränken des Zugriffs auf Ressourcen kann sowohl ein unbeabsichtigter als auch böswilliger Missbrauch Ihrer Daten verhindert werden. -
Bereithalten eines Sperrungsplans für alle SAS, die Sie für Clients ausstellen Wenn eine SAS gefährdet ist, sollten Sie diese SAS so bald wie möglich widerrufen. Zum Widerrufen einer SAS für die Benutzerdelegierung widerrufen Sie den Benutzerdelegierungsschlüssel, um alle diesem Schlüssel zugeordneten Signaturen schnell ungültig zu machen. Zum Widerrufen einer Dienst-SAS, die einer gespeicherten Zugriffsrichtlinie zugeordnet ist, können Sie die gespeicherte Zugriffsrichtlinie löschen, die Richtlinie umbenennen oder die Ablaufzeit in einen Zeitpunkt in der Vergangenheit ändern. Weitere Informationen finden Sie unter Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature). -
Festlegen der Ablaufzeit auf maximal eine Stunde, wenn eine Dienst-SAS keiner gespeicherten Zugriffsrichtlinie zugeordnet ist Eine Dienst-SAS, die keiner gespeicherten Zugriffsrichtlinie zugeordnet ist, kann nicht widerrufen werden. Aus diesem Grund wird empfohlen, die Ablaufzeit so einzuschränken, dass die SAS höchstens eine Stunde lang gültig ist. -
Deaktivieren des anonymen Lesezugriffs auf Container und Blobs Beim anonymen Lesezugriff auf einen Container und dessen Blobs wird jedem Client der schreibgeschützte Zugriff auf diese Ressourcen gewährt. Aktivieren Sie den anonymen Lesezugriff nur dann, wenn dies in Ihrem Szenario erforderlich ist. Informationen zur Deaktivierung des anonymen Zugriffs für ein Speicherkonto finden Sie unter Übersicht: Korrigieren des anonymen Lesezugriffs für Blobdaten. -

Netzwerk

Empfehlung Kommentare Defender für Cloud
Configure the minimum required version of Transport Layer Security (TLS) for a storage account. (Konfigurieren Sie die erforderliche Mindestversion der Transport Layer Security (TLS) für ein Speicherkonto.) Legen Sie fest, dass Clients beim Senden von Anforderungen an ein Azure Storage-Konto eine sicherere TLS-Version verwenden, indem Sie die TLS-Mindestversion für dieses Konto konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der erforderlichen Mindestversion der Transport Layer Security (TLS) für ein Speicherkonto. -
Aktivieren der Option Sichere Übertragung erforderlich für alle Speicherkonten Wenn Sie die Option Sichere Übertragung erforderlich aktivieren, müssen alle an das Speicherkonto gerichteten Anforderungen über sichere Verbindungen erfolgen. Bei Anforderungen über HTTP treten Fehler auf. Weitere Informationen finden Sie unter Vorschreiben einer sicheren Übertragung in Azure Storage. Ja
Aktivieren von Firewallregeln Konfigurieren Sie Firewallregeln, um den Zugriff auf Ihr Speicherkonto auf Anforderungen zu beschränken, die aus angegebenen IP-Adressen oder -Adressbereichen oder einer Liste von Subnetzen in einem virtuellen Azure-Netzwerk (VNET) stammen. Weitere Informationen zum Konfigurieren von Firewallregeln finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken. -
Gewähren des Zugriffs vertrauenswürdiger Microsoft-Dienste auf das Speicherkonto Wenn Sie Firewallregeln für Ihr Speicherkonto aktivieren, werden eingehende Datenanforderungen standardmäßig blockiert – es sei denn, die Anforderungen stammen von einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks (VNet) agiert, oder aus zulässigen öffentlichen IP-Adressen. Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert. Sie können Anforderungen von anderen Azure-Diensten zulassen, indem Sie eine Ausnahme hinzufügen, um vertrauenswürdigen Microsoft-Diensten den Zugriff auf das Speicherkonto zu gewähren. Weitere Informationen zum Hinzufügen einer Ausnahme für vertrauenswürdige Microsoft-Dienste finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken. -
Verwenden privater Endpunkte Ein privater Endpunkt weist dem Speicherkonto eine private IP-Adresse aus Ihrem Azure Virtual Network (VNET) zu. Er sichert den gesamten Datenverkehr zwischen Ihrem VNET und dem Speicherkonto über einen privaten Link. Weitere Informationen zu privaten Endpunkten finden Sie unter Herstellen einer privaten Verbindung mit einem Speicherkonto mithilfe eines privaten Azure-Endpunkts. -
Verwenden von VNET-Diensttags Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern. Weitere Informationen zu den von Azure Storage unterstützten Diensttags finden Sie unter Übersicht über Azure-Diensttags. Ein Tutorial, das veranschaulicht, wie mithilfe von Diensttags Netzwerk-Ausgangsregeln erstellt werden, finden Sie unter Einschränken des Zugriffs auf PaaS-Ressourcen. -
Einschränken des Netzwerkzugriffs auf bestimmte Netzwerke Das Einschränken des Netzwerkzugriffs auf Netzwerke, auf denen Clients mit erforderlichem Zugriff gehostet werden, verringert die Gefährdung Ihrer Ressourcen durch Netzwerkangriffe. Ja
Konfigurieren der Netzwerkroutingpräferenz Sie können die Netzwerkroutingpräferenz für Ihr Azure Storage-Konto konfigurieren und damit festlegen, wie Netzwerkdatenverkehr mithilfe des globalen Microsoft-Netzwerks oder des Internetroutings von Clients über das Internet zu Ihrem Konto geleitet wird. Weitere Informationen dazu finden Sie unter Konfigurieren der Netzwerkroutingpräferenz für Azure Storage. -

Protokollierung/Überwachung

Empfehlung Kommentare Defender für Cloud
Nachverfolgen der Autorisierung von Anforderungen Aktivieren Sie die Protokollierung für Azure Storage, um nachzuverfolgen, wie Anforderungen an den Dienst autorisiert werden. Die Protokolle geben an, ob eine Anforderung anonym, mithilfe eines OAuth 2.0-Tokens, mit einem gemeinsam verwendeten Schlüssel oder mithilfe einer SAS (Shared Access Signature) durchgeführt wurde. Weitere Informationen finden Sie unter Überwachen von Azure Blob Storage mit Azure Monitor oder Azure Storage Analytics-Protokollierung mit klassischer Überwachung. -
Einrichten von Warnungen in Azure Monitor Durch das Konfigurieren von Protokollwarnungen können Sie Ressourcenprotokolle mit einer bestimmten Häufigkeit auswerten und basierend auf den Ergebnissen eine Warnung auslösen. Weitere Informationen finden Sie unter Protokollwarnungen in Azure Monitor. -

Nächste Schritte