Recomendações de segurança para o armazenamento de blobs

  • Artigo

Este artigo contém as recomendações de segurança do armazenamento de Blob. Implementar essas recomendações ajudará a atender as obrigações de segurança, conforme descrito em nosso modelo de responsabilidade compartilhada. Para obter mais informações sobre como a Microsoft cumpre as responsabilidades do provedor de serviços, consulte responsabilidade compartilhada na nuvem.

Algumas das recomendações incluídas neste artigo podem ser monitoradas automaticamente pelo Microsoft Defender para Nuvem, que é a primeira linha de defesa na proteção de seus recursos no Azure. Para obter mais informações sobre o Microsoft Defender para Nuvem, consulte O que é o Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como solucioná-las. Para obter mais informações sobre as recomendações do Microsoft Defender para Nuvem, confira Analise suas recomendações de segurança.

Proteção de dados

Recomendação Comentários Defender para Nuvem
Use o modelo de implantação do Azure Resource Manager Crie novas contas de armazenamento usando o modelo de implantação do Azure Resource Manager para obter aprimoramentos de segurança importantes, incluindo controle de acesso baseado em função do Azure (RBAC do Azure) superior e auditoria, implantação e governança baseadas no Resource Manager, acesso a identidades gerenciadas, acesso ao Azure Key Vault para segredos e autenticação e autorização do Microsoft Entra para acesso a dados e recursos do Armazenamento do Azure. Se possível, migre as contas de armazenamento existentes que usam o modelo de implantação clássico para usar Azure Resource Manager. Para obter mais informações sobre o Azure Resource Manager, confira Visão geral do Azure Resource Manager. -
Habilitar o Microsoft Defender para todas as suas contas de armazenamento O Microsoft Defender para Armazenamento fornece uma camada adicional de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. Alertas de Segurança são disparados no Microsoft Defender para Nuvem quando anomalias em atividade ocorre e também são enviados por email para administradores de assinatura, com detalhes de atividades suspeitas e recomendações sobre como investigar e corrigir ameaças. Para obter mais informações, confira Configurar o Microsoft Defender para Armazenamento. Sim
Habilitar a exclusão reversível de blobs A exclusão reversível para blobs permite recuperar dados de blob após sua exclusão. Para obter mais informações sobre a exclusão temporária para blobs, confira Exclusão temporária para Armazenamento do Azure de blobs. -
Ativar a exclusão temporária para contêineres A exclusão reversível para contêineres permite que você recupere um contêiner depois que ele tiver sido excluído. Para saber mais sobre a exclusão reversível de contêineres, confira Exclusão reversível de contêineres. -
Bloquear a conta de armazenamento para impedir exclusões acidentais ou mal-intencionadas ou alterações de configuração Aplique um bloqueio de Azure Resource Manager à sua conta de armazenamento para proteger a conta contra exclusão acidental ou mal-intencionada ou alteração de configuração. O bloqueio de uma conta de armazenamento não impede que os dados dentro dessa conta sejam excluídos. Ele apenas impede que a própria conta seja excluída. Para obter mais informações, consulte aplicar um bloqueio de Azure Resource Manager a uma conta de armazenamento.
Armazene dados críticos para os negócios em blobs imutáveis Configure as políticas de retenção baseadas em tempo e as isenções legais para armazenar dados de BLOB em um estado de WORM (gravar uma vez, ler muitos). Blobs armazenados imutavelmente podem ser lidos, mas não podem ser modificados ou excluídos para a duração do intervalo de retenção. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável. -
Exigir transferência segura (HTTPS) para a conta de armazenamento Quando você precisa de transferência segura para uma conta de armazenamento, todas as solicitações para a conta de armazenamento devem ser feitas via HTTPS. Todas as solicitações feitas por HTTP são rejeitadas. A Microsoft recomenda que você sempre precise de transferência segura para todas as suas contas de armazenamento. Para obter mais informações, consulte exigir transferência segura para garantir conexões seguras. -
Limitar tokens de SAS (assinatura de acesso compartilhado) a conexões HTTPS somente Exigir HTTPS quando um cliente usa um token SAS para acessar dados de blob ajuda a minimizar o risco de espionagem. Para obter mais informações, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). -
Proibir a replicação de objetos entre locatários Por padrão, um usuário autorizado tem permissão para configurar uma política de replicação de objeto em que a conta de origem está em um locatário do Microsoft Entra e a conta de destino está em um locatário diferente. Não permita a replicação de objetos entre locatários para exigir que as contas de origem e de destino que participam de uma política de replicação de objetos estejam no mesmo locatário. Para obter mais informações, confira Impedir a replicação de objeto entre locatários do Microsoft Entra. -

Gerenciamento de identidade e de acesso

Recomendação Comentários Defender para Nuvem
Usar o Microsoft Entra ID para autorizar o acesso aos dados de blob O Microsoft Entra ID oferece segurança superior e facilidade de uso em relação à Chave Compartilhada para autorizar solicitações ao armazenamento Blob. Para saber mais, confira Autorizar o acesso a dados no Armazenamento do Azure. -
Tenha em mente o princípio de privilégios mínimos ao atribuir permissões a uma entidade de segurança do Microsoft Entra por meio do RBAC do Azure Ao atribuir uma função a um usuário, grupo ou aplicativo, conceda a essa entidade de segurança somente as permissões necessárias para que elas executem suas tarefas. Limitar o acesso a recursos ajuda a impedir o uso indevido intencional e mal-intencionado dos seus dados. -
Usar uma SAS de delegação de usuário para conceder acesso limitado aos dados de blob aos clientes Uma SAS de delegação de usuário é protegida com credenciais do Microsoft Entra e também pelas permissões especificadas para a SAS. Uma SAS de delegação de usuário é análoga a uma SAS de serviço em termos de seu escopo e função, mas oferece benefícios de segurança em relação à SAS do serviço. Para obter mais informações, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). -
Proteger as chaves de acesso da sua conta com o Azure Key Vault A Microsoft recomenda o uso do Microsoft Entra ID para autorizar solicitações ao Armazenamento do Azure. No entanto, se você precisar usar a autorização de chave compartilhada, proteja as chaves de sua conta com Azure Key Vault. Você pode recuperar as chaves do cofre de chaves em tempo de execução, em vez de salvá-las com seu aplicativo. Para obter mais informações sobre o Azure Key Vault, confira visão geral do Azure Key Vault. -
Regenerar as chaves de conta periodicamente Girar as chaves de conta periodicamente reduz o risco de expor seus dados para atores mal-intencionados. -
Desautorização de chave compartilhada Quando você não permite a autorização de chave compartilhada para uma conta de armazenamento, o armazenamento do Azure rejeita todas as solicitações subsequentes para essa conta que são autorizadas com as chaves de acesso da conta. Somente as solicitações protegidas autorizadas com o Microsoft Entra ID serão bem-sucedidas. Para obter mais informações, consulte impedir a autorização de chave compartilhada para uma conta de armazenamento do Azure. -
Tenha em mente a entidade de privilégio mínimo ao atribuir permissões a uma SAS Ao criar uma SAS, especifique somente as permissões exigidas pelo cliente para executar sua função. Limitar o acesso a recursos ajuda a impedir o uso indevido intencional e mal-intencionado dos seus dados. -
Ter um plano de revogação em vigor para qualquer SAS que você emite para clientes Se uma SAS for comprometida, será necessário revogar essa SAS assim que possível. Para revogar uma SAS de delegação de usuário, revogue a chave de delegação de usuário para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenada, você pode excluir a política de acesso armazenada, renomear a política ou alterar sua hora de expiração para uma hora que esteja no passado. Para obter mais informações, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). -
Se uma SAS de serviço não estiver associada a uma política de acesso armazenada, defina a hora de expiração para uma hora ou menos Uma SAS de serviço que não está associada a uma política de acesso armazenada não pode ser revogada. Por esse motivo, é recomendável limitar o tempo de expiração para que a SAS seja válida por uma hora ou menos. -
Desabilitar o acesso de leitura anônima a contêineres e blobs O acesso de leitura anônimo a um contêiner e seus blobs concede acesso somente leitura a esses recursos a qualquer cliente. Evite habilitar o acesso de leitura anônimo, a menos que o cenário exija isso. Para saber como desabilitar o acesso anônimo para uma conta de armazenamento, confira Visão geral: Corrigir o acesso de leitura anônimo para dados de blob. -

Rede

Recomendação Comentários Defender para Nuvem
Configure a versão mínima necessária da TLS (segurança da camada de transporte) para uma conta de armazenamento. Exija que os clientes usem uma versão mais segura do TLS para fazer solicitações em uma conta de armazenamento do Azure Configurando a versão mínima do TLS para essa conta. Para mais informações, consulte Configure a versão mínima necessária da TLS (segurança da camada de transporte) para uma conta de armazenamento -
Habilitar a opção Transferência segura obrigatória em todas as suas contas de armazenamento Quando você habilita a opção Transferência segura necessária, todas as solicitações feitas na conta de armazenamento devem ocorrer em conexões seguras. Todas as solicitações feitas por HTTP falharão. Para obter mais informações, consulte Exigir transferência segura no armazenamento do Azure. Sim
Habilitar regras de firewall Configure as regras de firewall para limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, ou intervalos ou de uma lista de sub-redes em uma VNet (Rede Virtual) do Azure. Para mais informações sobre configurar regras de firewall, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure. -
Permitir que serviços da Microsoft confiáveis acessem a conta de armazenamento Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada para os dados por padrão, a menos que as solicitações sejam provenientes de um serviço que está operando em uma VNet (Rede Virtual) do Azure ou de endereços IP públicos permitidos. Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas e assim por diante. Você pode permitir solicitações de outros serviços do Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços confiáveis da Microsoft, consulte Configurar redes virtuais e firewalls de armazenamento do Azure. -
Usar pontos de extremidade privados Um ponto de extremidade privado atribui um endereço IP privado de sua rede virtual do Azure (VNet) à conta de armazenamento. Isso protege todo o tráfego entre a sua VNet e a conta de armazenamento em um link privado. Para obter mais informações sobre pontos de extremidade privados, consulte conectar-se de forma privada a uma conta de armazenamento usando o ponto de extremidade privado do Azure. -
Usar marcas de serviço do VNet Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços. Para obter mais informações sobre marcas de serviço com suporte no armazenamento do Azure, consulte Visão geral das marcas de serviço do Azure. Para obter um tutorial que mostra como usar marcas de serviço para criar regras de rede de saída, consulte Restringir o acesso aos recursos de PaaS. -
Limitar o acesso à rede para redes específicas Limitar o acesso à rede para redes que hospedam clientes que exigem acesso reduz a exposição de seus recursos a ataques de rede. Sim
Configurar preferência de roteamento de rede Você pode configurar a preferência de roteamento para sua conta de armazenamento do Azure para especificar como o tráfego de rede é roteado para sua conta de clientes pela Internet utilizando a rede global Microsoft ou o roteamento de internet. Para obter mais informações, consulte Configurar a preferência de roteamento de rede para o armazenamento do Azure. -

Registro em log/monitoramento

Recomendação Comentários Defender para Nuvem
Acompanhar como as solicitações são autorizadas Habilite o registro em log do Armazenamento do Microsoft Azure para acompanhar como as solicitações ao serviço são autorizadas. Os logs indicam se uma solicitação foi feita anonimamente, usando um token OAuth 2,0, usando a chave compartilhada ou usando uma SAS (assinatura de acesso compartilhado). Para obter mais informações, confira Como monitorar o Armazenamento de Blobs do Azure com o Azure Monitor ou Registro em log de análise de Armazenamento do Azure com monitoramento clássico. -
Configure alertas no Azure Monitor Configure alertas de log para avaliar os logs de recursos em uma frequência definida e acione um alerta com base nos resultados. Para obter mais informações, confira Alertas de log no Azure Monitor. -

Próximas etapas