Account di archiviazione ed eccellenza operativa

Gli account di archiviazione di Azure sono ideali per carichi di lavoro che richiedono tempi di risposta rapidi e coerenti o che hanno un numero elevato di operazioni di input/output (IOP) al secondo. Gli account di archiviazione contengono tutti gli oggetti dati di Archiviazione di Azure, tra cui:

  • BLOB
  • Condivisioni file
  • Code
  • Tabelle
  • Dischi

Gli account di archiviazione forniscono uno spazio dei nomi univoco per i dati accessibile da qualsiasi posizione tramite connessione HTTP o HTTPS.

Per altre informazioni sui diversi tipi di account di archiviazione che supportano funzionalità diverse, vedere Tipi di account di archiviazione.

Per comprendere in che modo un account di archiviazione di Azure può promuovere l'eccellenza operativa per il carico di lavoro, vedere gli articoli seguenti:

Le sezioni seguenti includono considerazioni relative alla progettazione, un elenco di controllo per la configurazione e opzioni di configurazione consigliate specifiche per gli account di archiviazione di Azure e l'eccellenza operativa.

Considerazioni relative alla progettazione

Le considerazioni sulla progettazione degli account di archiviazione di Azure sono le seguenti:

  • Gli account di archiviazione per utilizzo generico della versione 1 consentono di accedere a tutti i servizi di archiviazione di Azure, ma potrebbero non offrire le funzionalità più recenti o i prezzi più bassi per gigabyte. Nella maggior parte dei casi è consigliabile usare gli account di archiviazione per utilizzo generico della versione 2. I motivi per utilizzare la versione 1 includono:

    • Le applicazioni richiedono il modello di distribuzione classica di Azure.
    • Le applicazioni sono a elevato utilizzo di transazioni o comportano un uso significativo della larghezza di banda per la replica geografica, ma non richiedono capacità di grandi dimensioni.
    • È necessario l'uso di un'API REST del servizio di archiviazione precedente al 14 febbraio 2014 o di una libreria client con una versione precedente alla 4.x. Non è possibile eseguire un aggiornamento dell'applicazione.

Per altre informazioni, vedere Panoramica dell'account di archiviazione.

  • I nomi degli account di archiviazione devono avere una lunghezza compresa tra 3 e 24 caratteri e possono contenere solo numeri e lettere minuscole.
  • Per le specifiche correnti del Contratto di servizio, vedere Contratto di Servizio per Account di archiviazione.
  • Passare a Ridondanza di Archiviazione di Azure per determinare l'opzione di ridondanza più adatta per uno scenario specifico.
  • I nomi degli account di archiviazione devono essere univoci all'interno di Azure. Due account di archiviazione non possono avere lo stesso nome.

Elenco di controllo

L'account di Archiviazione di Azure è stato configurato in modo specifico per l'eccellenza operativa?

  • Abilitare Azure Defender per tutti gli account di archiviazione.
  • Attivare l'eliminazione temporanea per i dati BLOB.
  • Usare Microsoft Entra ID per autorizzare l'accesso ai dati BLOB.
  • Considerare il principio del privilegio minimo quando si assegnano le autorizzazioni a un'entità di sicurezza Microsoft Entra tramite controllo degli accessi in base al ruolo di Azure.
  • Usare le identità gestite per accedere ai dati BLOB e della coda.
  • Usare il controllo delle versioni dei BLOB o i BLOB non modificabili per archiviare dati critici.
  • Limitare l'accesso a Internet predefinito per gli account di archiviazione.
  • Abilitare le regole del firewall.
  • Limitare l'accesso alla rete a reti specifiche.
  • Consentire ai servizi Microsoft attendibili di accedere all'account di archiviazione.
  • Abilitare l'opzione Trasferimento sicuro obbligatorio per tutti gli account di archiviazione.
  • Limitare i token di firma di accesso condiviso (SAS) solo alle connessioni HTTPS.
  • Evitare e impedire l'uso dell'autorizzazione con chiave condivisa per accedere agli account di archiviazione.
  • Rigenerare periodicamente le chiavi dell'account.
  • Creare un piano di revoca e metterlo in atto per qualsiasi firma di accesso condiviso rilasciata per i client.
  • Usare una scadenza a breve termine in una firma di accesso condiviso, una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account estemporanea.

Raccomandazioni per la configurazione

Prendere in considerazione le raccomandazioni seguenti per ottimizzare l'eccellenza operativa durante la configurazione dell'account di Archiviazione di Azure:

Recommendation Descrizione
Abilitare Azure Defender per tutti gli account di archiviazione. Azure Defender per Archiviazione di Azure offre un livello extra di intelligence di sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accesso o exploit degli account di archiviazione. Gli avvisi di sicurezza vengono attivati in Centro sicurezza di Azure quando si verificano anomalie nell'attività. Gli avvisi vengono inviati anche tramite posta elettronica agli amministratori della sottoscrizione, con informazioni dettagliate sull'attività sospetta e le raccomandazioni su come analizzare e correggere le minacce. Per altre informazioni, vedere Configurare Azure Defender per Archiviazione di Azure.
Attivare l'eliminazione temporanea per i dati BLOB. L'eliminazione temporanea per i BLOB di Archiviazione di Azure consente di ripristinare i dati BLOB dopo l'eliminazione.
Usare Microsoft Entra ID per autorizzare l'accesso ai dati BLOB. Microsoft Entra ID offre una maggiore sicurezza e facilità d'uso tramite chiave condivisa per l'autorizzazione delle richieste all'archiviazione BLOB. È consigliabile usare Microsoft Entra autorizzazione con le applicazioni BLOB e code quando possibile per ridurre al minimo le potenziali vulnerabilità di sicurezza intrinseche nella chiave condivisa. Per altre informazioni, vedere Autorizzare l'accesso ai BLOB e alle code di Azure usando Microsoft Entra ID.
Considerare il principio del privilegio minimo quando si assegnano le autorizzazioni a un'entità di sicurezza Microsoft Entra tramite controllo degli accessi in base al ruolo di Azure. Quando si assegna un ruolo a un utente, a un gruppo o a un'applicazione, concedere a tale entità di sicurezza solo le autorizzazioni necessarie per completare le loro attività. La limitazione dell'accesso alle risorse consente di evitare un uso improprio non intenzionale e dannoso dei dati.
Usare le identità gestite per accedere ai dati BLOB e della coda. L'archiviazione BLOB e code di Azure supporta Microsoft Entra l'autenticazione con identità gestite per le risorse di Azure. Le identità gestite per le risorse di Azure possono autorizzare l'accesso ai dati BLOB e code usando le credenziali di Microsoft Entra dalle applicazioni in esecuzione nelle macchine virtuali di Azure, le app per le funzioni, i set di scalabilità di macchine virtuali e altri servizi. Usando identità gestite per le risorse di Azure insieme all'autenticazione Microsoft Entra, è possibile evitare di archiviare le credenziali con le applicazioni eseguite nel cloud e i problemi relativi alle entità servizio scadute. Per altre informazioni, vedere Autorizzare l'accesso ai dati di BLOB e code con identità gestite per le risorse di Azure.
Usare il controllo delle versioni dei BLOB o i BLOB non modificabili per archiviare dati critici. Valutare l'uso del controllo delle versioni dei BLOB per mantenere le versioni precedenti di un oggetto o l'uso di blocchi a livello legale e criteri di conservazione basati sul tempo per archiviare i dati dei BLOB in uno stato WORM (Write Once, Read Many). I BLOB non modificabili possono essere letti, ma non modificati o eliminati durante l'intervallo di conservazione. Per altre informazioni, vedere Archiviare dati di BLOB critici con archiviazione non modificabile.
Limitare l'accesso a Internet predefinito per gli account di archiviazione. Per impostazione predefinita, l'accesso di rete agli account di archiviazione non è limitato ed è aperto a tutto il traffico proveniente da Internet. L'accesso agli account di archiviazione deve essere concesso a reti virtuali di Azure specifiche solo quando possibile oppure è necessario usare endpoint privati per consentire ai client in una rete virtuale di accedere ai dati in modo sicuro tramite un collegamento privato. Per altre informazioni, vedere Usare endpoint privati per Archiviazione di Azure. È possibile creare eccezioni per gli account di archiviazione che devono essere accessibili tramite Internet.
Abilitare le regole del firewall. Configurare le regole del firewall per limitare l'accesso all'account di archiviazione alle richieste provenienti da intervalli o indirizzi IP specifici o da un determinato elenco di subnet in una rete virtuale di Azure. Per altre informazioni sulla configurazione delle regole del firewall, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
Limitare l'accesso alla rete a reti specifiche. La limitazione dell'accesso di rete alle reti che ospitano i client che richiedono l'accesso riduce l'esposizione delle risorse agli attacchi di rete tramite la funzionalità integrata Firewall e reti virtuali o tramite gli endpoint privati.
Consentire ai servizi Microsoft attendibili di accedere all'account di archiviazione. Per impostazione predefinita, l'attivazione delle regole del firewall per gli account di archiviazione blocca le richieste in ingresso per i dati, a meno che le richieste non provengano da un servizio in esecuzione all'interno di una rete virtuale di Azure o da indirizzi IP pubblici consentiti. Le richieste bloccate includono richieste provenienti da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via. È possibile autorizzare le richieste provenienti da altri servizi di Azure aggiungendo un'eccezione per consentire ai servizi Microsoft attendibili l'accesso all'account di archiviazione. Per altre informazioni sull'aggiunta di un'eccezione per servizi Microsoft attendibili, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
Abilitare l'opzione Trasferimento sicuro obbligatorio per tutti gli account di archiviazione. Quando si abilita l'opzione Trasferimento sicuro obbligatorio, tutte le richieste per l'account di archiviazione devono essere effettuate su connessioni sicure. Tutte le richieste effettuate su HTTP avranno esito negativo. Per altre informazioni, vedere Richiedere il trasferimento sicuro in Archiviazione di Azure.
Limitare i token di firma di accesso condiviso (SAS) solo alle connessioni HTTPS. Richiedere una connessione HTTPS quando un client usa un token di firma di accesso condiviso per accedere ai dati BLOB consente di ridurre al minimo il rischio di intercettazione. Per altre informazioni, vedere Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso.
Evitare e impedire l'uso dell'autorizzazione con chiave condivisa per accedere agli account di archiviazione. È consigliabile usare Microsoft Entra ID per autorizzare le richieste ad Archiviazione di Azure e impedire l'autorizzazione della chiave condivisa. Per gli scenari che richiedono l'autorizzazione con chiave condivisa, preferire sempre i token di firma di accesso condiviso rispetto alla distribuzione della chiave condivisa.
Rigenerare periodicamente le chiavi dell'account. La rotazione periodica delle chiavi dell'account riduce il rischio di esporre i dati ad attori malintenzionati.
Creare un piano di revoca e metterlo in atto per qualsiasi firma di accesso condiviso rilasciata per i client. Se una firma di accesso condiviso è compromessa, è necessario revocarla immediatamente. Per revocare una firma di accesso condiviso di delega utente, revocare la chiave di delega utente per invalidare rapidamente tutte le firme associate a tale chiave. Per revocare una firma di accesso condiviso del servizio associata a criteri di accesso, è possibile eliminare i criteri di accesso archiviati, rinominare i criteri o impostarne la scadenza nel passato.
Usare una scadenza a breve termine in una firma di accesso condiviso, una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account estemporanea. Anche se una firma di accesso condiviso viene compromessa, sarà comunque valida solo per un breve periodo di tempo. Questo procedura è particolarmente importante se non è possibile fare riferimento a criteri di accesso archiviati. Una scadenza breve consente anche di limitare la quantità di dati che è possibile scrivere in un BLOB riducendo il tempo disponibile per il caricamento. I client devono rinnovare la firma di accesso condiviso prima della scadenza, in modo da avere la possibilità di effettuare altri tentativi qualora il servizio che fornisce la firma di accesso condiviso non sia disponibile.

Passaggio successivo