Recomendações de segurança para armazenamento de Blob

Este artigo contém recomendações de segurança para armazenamento de Blob. A implementação destas recomendações ajudá-lo-á a cumprir as suas obrigações de segurança, conforme descrito no nosso modelo de responsabilidade partilhada. Para obter mais informações sobre como a Microsoft cumpre as responsabilidades do provedor de serviços, consulte Responsabilidade compartilhada na nuvem.

Algumas das recomendações incluídas neste artigo podem ser monitoradas automaticamente pelo Microsoft Defender for Cloud, que é a primeira linha de defesa na proteção de seus recursos no Azure. Para obter informações sobre o Microsoft Defender for Cloud, consulte O que é o Microsoft Defender for Cloud?

O Microsoft Defender for Cloud analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar potenciais vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como lidar com eles. Para obter mais informações sobre as recomendações do Microsoft Defender for Cloud, consulte Revisar suas recomendações de segurança.

Proteção de dados

Recomendação Comentários Defender para a Cloud
Usar o modelo de implantação do Azure Resource Manager Crie novas contas de armazenamento usando o modelo de implantação do Azure Resource Manager para aprimoramentos de segurança importantes, incluindo controle de acesso baseado em função superior do Azure (RBAC do Azure) e auditoria, implantação e governança baseadas no Gerenciador de Recursos, acesso a identidades gerenciadas, acesso ao Cofre de Chaves do Azure para segredos e autenticação e autorização do Microsoft Entra para acesso a dados e recursos do Armazenamento do Azure. Se possível, migre contas de armazenamento existentes que usam o modelo de implantação clássico para usar o Azure Resource Manager. Para obter mais informações sobre o Azure Resource Manager, consulte Visão geral do Azure Resource Manager. -
Habilite o Microsoft Defender para todas as suas contas de armazenamento O Microsoft Defender for Storage fornece uma camada adicional de inteligência de segurança que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. Os alertas de segurança são acionados no Microsoft Defender for Cloud quando ocorrem anomalias na atividade e também são enviados por e-mail para administradores de assinatura, com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças. Para obter mais informações, consulte Configurar o Microsoft Defender para armazenamento. Sim
Ativar a eliminação recuperável para blobs A exclusão suave para blobs permite que você recupere dados de blob depois que eles forem excluídos. Para obter mais informações sobre exclusão suave para blobs, consulte Exclusão suave para blobs de Armazenamento do Azure. -
Ativar exclusão suave para contêineres A exclusão suave para contêineres permite que você recupere um contêiner depois que ele tiver sido excluído. Para obter mais informações sobre exclusão suave para contêineres, consulte Exclusão suave para contêineres. -
Bloquear conta de armazenamento para evitar exclusões acidentais ou maliciosas ou alterações de configuração Aplique um bloqueio do Azure Resource Manager à sua conta de armazenamento para proteger a conta contra exclusão acidental ou maliciosa ou alteração de configuração. O bloqueio de uma conta de armazenamento não impede que os dados dessa conta sejam excluídos. Apenas impede que a própria conta seja eliminada. Para obter mais informações, consulte Aplicar um bloqueio do Azure Resource Manager a uma conta de armazenamento.
Armazene dados críticos para os negócios em blobs imutáveis Configure retenções legais e políticas de retenção baseadas no tempo para armazenar dados de blob em um estado WORM (Write Once, Read Many). Os blobs armazenados imutavelmente podem ser lidos, mas não podem ser modificados ou excluídos durante o intervalo de retenção. Para obter mais informações, consulte Armazenar dados de blob críticos para os negócios com armazenamento imutável. -
Exigir transferência segura (HTTPS) para a conta de armazenamento Quando você precisa de uma transferência segura para uma conta de armazenamento, todas as solicitações para a conta de armazenamento devem ser feitas por HTTPS. Todas as solicitações feitas por HTTP são rejeitadas. A Microsoft recomenda que você sempre exija uma transferência segura para todas as suas contas de armazenamento. Para obter mais informações, consulte Exigir transferência segura para garantir conexões seguras. -
Limitar tokens de assinatura de acesso compartilhado (SAS) apenas a conexões HTTPS Exigir HTTPS quando um cliente usa um token SAS para acessar dados de blob ajuda a minimizar o risco de espionagem. Para obter mais informações, consulte Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS). -
Não permitir replicação de objeto entre locatários Por padrão, um usuário autorizado tem permissão para configurar uma política de replicação de objeto em que a conta de origem está em um locatário do Microsoft Entra e a conta de destino está em um locatário diferente. Não permitir a replicação de objeto entre locatários para exigir que as contas de origem e de destino que participam de uma política de replicação de objeto estejam no mesmo locatário. Para obter mais informações, consulte Impedir a replicação de objetos entre locatários do Microsoft Entra. -

Gestão de identidades e acessos

Recomendação Comentários Defender para a Cloud
Usar o Microsoft Entra ID para autorizar o acesso a dados de blob O Microsoft Entra ID oferece segurança superior e facilidade de uso em relação à Chave Compartilhada para autorizar solicitações para armazenamento de Blob. Para obter mais informações, consulte Autorizar o acesso a dados no Armazenamento do Azure. -
Lembre-se do princípio de menor privilégio ao atribuir permissões a uma entidade de segurança do Microsoft Entra por meio do Azure RBAC Ao atribuir uma função a um usuário, grupo ou aplicativo, conceda a essa entidade de segurança apenas as permissões necessárias para que ela execute suas tarefas. Limitar o acesso aos recursos ajuda a evitar o uso indevido não intencional e mal-intencionado de seus dados. -
Usar uma SAS de delegação de usuário para conceder acesso limitado aos dados de blob aos clientes Uma SAS de delegação de usuário é protegida com credenciais do Microsoft Entra e também pelas permissões especificadas para a SAS. Uma SAS de delegação de usuário é análoga a uma SAS de serviço em termos de escopo e função, mas oferece benefícios de segurança sobre a SAS de serviço. Para obter mais informações, consulte Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS). -
Proteja as chaves de acesso da sua conta com o Azure Key Vault A Microsoft recomenda o uso do Microsoft Entra ID para autorizar solicitações ao Armazenamento do Azure. No entanto, se tiver de utilizar a autorização de Chave Partilhada, proteja as chaves da sua conta com o Cofre de Chaves do Azure. Você pode recuperar as chaves do cofre de chaves em tempo de execução, em vez de salvá-las com seu aplicativo. Para obter mais informações sobre o Azure Key Vault, consulte Visão geral do Azure Key Vault. -
Regenere as chaves da sua conta periodicamente Girar as chaves da conta periodicamente reduz o risco de expor seus dados a agentes mal-intencionados. -
Não permitir autorização de chave compartilhada Quando você não permite a autorização de Chave Compartilhada para uma conta de armazenamento, o Armazenamento do Azure rejeita todas as solicitações subsequentes a essa conta que são autorizadas com as chaves de acesso da conta. Somente solicitações seguras autorizadas com o Microsoft Entra ID serão bem-sucedidas. Para obter mais informações, consulte Impedir autorização de chave compartilhada para uma conta de armazenamento do Azure. -
Tenha em mente o princípio do menor privilégio ao atribuir permissões a uma SAS Ao criar uma SAS, especifique apenas as permissões que são exigidas pelo cliente para executar sua função. Limitar o acesso aos recursos ajuda a evitar o uso indevido não intencional e mal-intencionado de seus dados. -
Ter um plano de revogação em vigor para qualquer SAS que você emitir para clientes Se um SAS for comprometido, você desejará revogá-lo o mais rápido possível. Para revogar uma SAS de delegação de usuário, revogue a chave de delegação de usuário para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenado, você pode excluir a política de acesso armazenado, renomear a política ou alterar seu tempo de expiração para uma hora que está no passado. Para obter mais informações, consulte Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS). -
Se uma SAS de serviço não estiver associada a uma política de acesso armazenado, defina o tempo de expiração para uma hora ou menos Uma SAS de serviço que não está associada a uma política de acesso armazenado não pode ser revogada. Por este motivo, recomenda-se limitar o tempo de expiração para que o SAS seja válido por uma hora ou menos. -
Desabilitar o acesso de leitura anônima a contêineres e blobs O acesso de leitura anônimo a um contêiner e seus blobs concede acesso somente leitura a esses recursos a qualquer cliente. Evite habilitar o acesso de leitura anônimo, a menos que seu cenário o exija. Para saber como desabilitar o acesso anônimo para uma conta de armazenamento, consulte Visão geral: corrigindo o acesso de leitura anônimo para dados de blob. -

Rede

Recomendação Comentários Defender para a Cloud
Configure a versão mínima necessária do Transport Layer Security (TLS) para uma conta de armazenamento. Exija que os clientes usem uma versão mais segura do TLS para fazer solicitações em uma conta de Armazenamento do Azure configurando a versão mínima do TLS para essa conta. Para obter mais informações, consulte Configurar a versão mínima necessária do Transport Layer Security (TLS) para uma conta de armazenamento -
Habilite a opção Transferência segura necessária em todas as suas contas de armazenamento Quando você habilita a opção Transferência segura necessária , todas as solicitações feitas na conta de armazenamento devem ocorrer em conexões seguras. Todas as solicitações feitas por HTTP falharão. Para obter mais informações, consulte Exigir transferência segura no Armazenamento do Azure. Sim
Ativar regras de firewall Configure regras de firewall para limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP ou intervalos especificados ou de uma lista de sub-redes em uma Rede Virtual do Azure (VNet). Para obter mais informações sobre como configurar regras de firewall, consulte Configurar firewalls de armazenamento do Azure e redes virtuais. -
Permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada de dados por padrão, a menos que as solicitações sejam originadas de um serviço que opera em uma Rede Virtual do Azure (VNet) ou de endereços IP públicos permitidos. As solicitações bloqueadas incluem aquelas de outros serviços do Azure, do portal do Azure, de serviços de registro em log e métricas e assim por diante. Você pode permitir solicitações de outros serviços do Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços confiáveis da Microsoft, consulte Configurar firewalls de armazenamento do Azure e redes virtuais. -
Utilizar pontos finais privados Um ponto de extremidade privado atribui um endereço IP privado da sua Rede Virtual do Azure (VNet) à conta de armazenamento. Protege todo o tráfego entre a sua rede virtual e a conta de armazenamento através de uma ligação privada. Para obter mais informações sobre pontos de extremidade privados, consulte Conectar-se de forma privada a uma conta de armazenamento usando o Ponto de Extremidade Privado do Azure. -
Usar tags de serviço VNet Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Para obter mais informações sobre marcas de serviço suportadas pelo Armazenamento do Azure, consulte Visão geral das marcas de serviço do Azure. Para obter um tutorial que mostra como usar tags de serviço para criar regras de rede de saída, consulte Restringir o acesso a recursos de PaaS. -
Limitar o acesso à rede a redes específicas Limitar o acesso à rede a redes que hospedam clientes que precisam de acesso reduz a exposição de seus recursos a ataques de rede. Sim
Configurar preferência de encaminhamento de rede Você pode configurar a preferência de roteamento de rede para sua conta de armazenamento do Azure para especificar como o tráfego de rede é roteado para sua conta de clientes pela Internet usando a rede global da Microsoft ou o roteamento da Internet. Para obter mais informações, consulte Configurar preferência de roteamento de rede para o Armazenamento do Azure. -

Registo/Monitorização

Recomendação Comentários Defender para a Cloud
Acompanhe como as solicitações são autorizadas Habilite o log para o Armazenamento do Azure para controlar como as solicitações para o serviço são autorizadas. Os logs indicam se uma solicitação foi feita anonimamente, usando um token OAuth 2.0, usando Chave Compartilhada ou usando uma assinatura de acesso compartilhado (SAS). Para obter mais informações, consulte Monitorando o Armazenamento de Blobs do Azure com o Azure Monitor ou Log de análise do Armazenamento do Azure com o Monitoramento Clássico. -
Configurar alertas no Azure Monitor Configure alertas de log para avaliar logs de recursos em uma frequência definida e dispare um alerta com base nos resultados. Para obter mais informações, consulte Registrar alertas no Azure Monitor. -

Próximos passos