Contas de Armazenamento e excelência operacional
As Contas de Armazenamento do Azure são ideais para cargas de trabalho que exigem tempos de resposta curtos e consistentes ou que têm alto número de operações de IOP (entrada e saída) por segundo. As contas de armazenamento contêm todos os seus objetos de dados do Armazenamento do Azure, que incluem:
- Blobs
- Compartilhamentos de arquivo
- Filas
- Tabelas
- Discos
As contas de armazenamento fornecem um namespace exclusivo para os seus dados, acessível em qualquer lugar por HTTP ou HTTPS.
Para obter mais informações sobre os diferentes tipos de contas de armazenamento que oferecem suporte a diferentes recursos, consulte Tipos de contas de armazenamento.
Para entender como uma conta de armazenamento do Azure pode promover excelência operacional para sua carga de trabalho, consulte os seguintes artigos:
- Práticas recomendadas para monitorar o Armazenamento de Blobs do Azure
- Usar a análise de Armazenamento do Azure para coletar dados de logs e de métrica
- Log da análise do Armazenamento do Azure
As seções a seguir incluem considerações de design, uma lista de verificação de configuração e opções de configuração recomendadas especificamente para contas de armazenamento do Azure e excelência operacional.
Considerações sobre o design
As contas de armazenamento do Azure incluem as seguintes considerações sobre design:
As contas de armazenamento v1 para uso geral permitem acesso a todos os serviços de Armazenamento do Azure, mas talvez não ofereçam os recursos mais recentes ou o menor preço por gigabyte. Na maioria dos casos, é recomendável usar contas de armazenamento v2 para uso geral. Os motivos para usar a v1 incluem:
- Os aplicativos exigem o modelo de implantação clássico.
- Os aplicativos fazem uso intensivo de transações ou de largura de banda de replicação geográfica, mas não exigem grande capacidade.
- É necessário o uso de uma API REST de Serviço de Armazenamento anterior a 14 de fevereiro de 2014 ou de uma biblioteca de clientes com versão anterior à
4.x. Não é possível atualizar um aplicativo.
Para obter mais informações, consulte Visão geral da conta de armazenamento.
- Os nomes de conta de armazenamento devem ter entre três e 24 caracteres e só podem conter números e letras minúsculas.
- Para obter as especificações atuais do SLA, consulte SLA para Contas de Armazenamento.
- Acesse Redundância de Armazenamento do Azure para determinar a melhor opção de redundância para cenários específicos.
- Os nomes da sua conta de armazenamento devem ser exclusivos no Azure. Duas contas de armazenamento não podem ter o mesmo nome.
Lista de verificação
Você configurou sua Conta de Armazenamento do Azure tendo em mente a excelência operacional?
- Habilite o Azure Defender para todas as suas contas de armazenamento.
- Ative a exclusão temporária para dados de blobs.
- Use Microsoft Entra ID para autorizar o acesso aos dados de blob.
- Considere o princípio de privilégios mínimos ao atribuir permissões a uma entidade de segurança Microsoft Entra por meio do RBAC do Azure.
- Use identidades gerenciadas para acessar dados de blob e de fila.
- Use o controle de versão de blob ou blobs imutáveis para armazenar dados comercialmente críticos.
- Restrinja o acesso padrão à Internet para contas de armazenamento.
- Habilite regras de firewall.
- Limite o acesso à rede a redes específicas.
- Permita que serviços da Microsoft confiáveis acessem a conta de armazenamento.
- Habilite a opção Transferência segura obrigatória em todas as suas contas de armazenamento.
- Limite tokens SAS (assinatura de acesso compartilhado) apenas a conexões
HTTPS. - Evite e impeça o uso da autorização de Chave Compartilhada para acessar contas de armazenamento.
- Regenere suas chaves de conta periodicamente.
- Crie e coloque em prática um plano de revogação para qualquer SAS que você emita para clientes.
- Use períodos de vencimento breves em SASs improvisadas, de serviço ou de conta.
Recomendações de configuração
Ao configurar a Conta de Armazenamento do Azure, considere as seguintes recomendações para otimizar a excelência operacional:
| Recomendação | Descrição |
|---|---|
| Habilite o Azure Defender para todas as suas contas de armazenamento. | O Azure Defender para Armazenamento do Azure fornece uma camada adicional de inteligência de segurança que detecta tentativas de acesso ou exploração de contas de armazenamento incomuns e potencialmente prejudiciais. Os alertas de segurança são disparados na Central de Segurança do Azure quando há anomalias na atividade. Eles também são enviados por email para administradores de assinaturas, com detalhes da atividade suspeita e recomendações sobre como investigar e corrigir as ameaças. Para obter mais informações, consulte Configurar o Azure Defender para o Armazenamento do Azure. |
| Ative a exclusão temporária para dados de blobs. | A exclusão temporária para blobs do Armazenamento do Azure permite recuperar dados de blob após sua exclusão. |
| Use Microsoft Entra ID para autorizar o acesso aos dados de blob. | Microsoft Entra ID fornece segurança superior e facilidade de uso em relação à Chave Compartilhada para autorizar solicitações para o armazenamento de blobs. É recomendável usar Microsoft Entra autorização com seus aplicativos de blob e fila quando possível para minimizar possíveis vulnerabilidades de segurança inerentes à Chave Compartilhada. Para obter mais informações, consulte Autorizar o acesso a blobs e filas do Azure usando Microsoft Entra ID. |
| Considere o princípio de privilégios mínimos ao atribuir permissões a uma entidade de segurança Microsoft Entra por meio do RBAC do Azure. | Ao atribuir uma função a um usuário, grupo ou aplicativo, conceda a essa entidade de segurança somente as permissões necessárias à execução de suas tarefas. Limitar o acesso a recursos ajuda a impedir o uso indevido intencional e mal-intencionado dos seus dados. |
| Use identidades gerenciadas para acessar dados de blob e de fila. | O Armazenamento de Blobs e Filas do Azure dá suporte à autenticação Microsoft Entra com identidades gerenciadas para recursos do Azure. As identidades gerenciadas para recursos do Azure podem autorizar o acesso a dados de blob e fila usando Microsoft Entra credenciais de aplicativos em execução em VMs (máquinas virtuais) do Azure, aplicativos de funções, conjuntos de dimensionamento de máquinas virtuais e outros serviços. Usando identidades gerenciadas para recursos do Azure junto com Microsoft Entra autenticação, você pode evitar armazenar credenciais com seus aplicativos executados na nuvem e problemas com entidades de serviço expirando. Consulte Autorizar o acesso a dados de blob e de fila com identidades gerenciadas para recursos do Azure para obter mais informações. |
| Use o controle de versão de blob ou blobs imutáveis para armazenar dados comercialmente críticos. | Considere o uso do Controle de versão de blob para manter versões anteriores de um objeto, ou o uso de retenções legais e políticas de retenção baseadas em tempo para armazenar dados de blob em estado WORM (Write Once, Read Many). Blobs imutáveis podem ser lidos, mas não modificados ou excluídos durante o intervalo de retenção. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável. |
| Restrinja o acesso padrão à Internet para contas de armazenamento. | Por padrão, o acesso de rede a Contas de Armazenamento não é restrito e está aberto a todo o tráfego proveniente da Internet. Sempre que possível, o acesso a contas de armazenamento deve ser concedido somente a Redes Virtuais do Azure específicas, ou use pontos de extremidade privados para permitir que clientes em uma VNet (rede virtual) acessem dados com segurança por meio de um Link Privado. Confira Usar pontos de extremidade privados para o Armazenamento do Azure para obter mais informações. Pode haver exceções, no caso de Contas de Armazenamento que precisem ser acessíveis pela Internet. |
| Habilite regras de firewall. | Configure as regras de firewall para limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, ou intervalos ou de uma lista de sub-redes em uma VNet (Rede Virtual) do Azure. Para obter mais informações sobre como configurar regras de firewall, consulte Configurar firewalls e redes virtuais do Armazenamento do Azure. |
| Limite o acesso à rede a redes específicas. | Limitar o acesso a redes que hospedem clientes que solicitem acesso reduz a exposição dos seus recursos a ataques na rede, seja com o uso do Firewall interno e da funcionalidade de redes virtuais ou de pontos de extremidade privados. |
| Permita que serviços da Microsoft confiáveis acessem a conta de armazenamento. | Por padrão, a ativação de regras de firewall para contas de armazenamento bloqueia solicitações de entrada para os dados, a menos que tais solicitações venham de um serviço que opere em uma VNet (Rede Virtual) do Azure ou de endereços IP públicos permitidos. As solicitações bloqueadas incluem aquelas de outros serviços do Azure, do portal do Azure e de registro em log e métricas, entre outras. Você pode permitir solicitações de outros serviços do Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços Microsoft confiáveis, consulte Configurar firewalls e redes virtuais do Armazenamento do Azure. |
| Habilite a opção Transferência segura obrigatória em todas as suas contas de armazenamento. | Quando você habilita a opção Transferência segura necessária, todas as solicitações feitas na conta de armazenamento devem ocorrer em conexões seguras. Todas as solicitações feitas por HTTP falharão. Para obter mais informações, consulte Exigir transferência segura no Armazenamento do Azure. |
Limite tokens SAS (assinatura de acesso compartilhado) apenas a conexões HTTPS. |
A exigência de HTTPS quando um cliente usar um token SAS para acessar dados de blob ajuda a minimizar o risco de interceptação. Para obter mais informações, confira Conceder acesso limitado a recursos do Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). |
| Evite e impeça o uso da autorização de Chave Compartilhada para acessar contas de armazenamento. | É recomendável usar Microsoft Entra ID para autorizar solicitações ao Armazenamento do Azure e impedir a autorização de chave compartilhada. Em cenários que exijam autorização de Chave Compartilhada, prefira sempre tokens SAS à distribuição da Chave Compartilhada. |
| Regenere suas chaves de conta periodicamente. | Girar as chaves de conta periodicamente reduz o risco de expor seus dados para atores mal-intencionados. |
| Crie e coloque em prática um plano de revogação para qualquer SAS que você emita para clientes. | Se uma SAS for comprometida, revogue-a imediatamente. Para revogar uma SAS de delegação de usuário, revogue a chave de delegação de usuário para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenada, você pode excluir essa política, renomeá-la ou alterar sua hora de expiração para uma hora passada. |
| Use períodos de vencimento breves em SASs improvisadas, de serviço ou de conta. | Se uma SAS for comprometida, será válida apenas por um curto período. Essa prática é especialmente importante se não for possível referenciar uma política de acesso armazenada. Períodos de vencimento breves também limitam a quantidade de dados que podem ser gravados em um blob, limitando o tempo disponível para carregá-los. Os clientes devem renovar a SAS bem antes da expiração, para que haja tempo para novas tentativas caso o serviço que a fornece não esteja disponível. |