Aplicar os princípios de Confiança Zero ao armazenamento do Azure
Nota
Próximo Livestream Junte-se à equipe do Azure FastTrack enquanto eles discutem este artigo. 23 outubro, 2024 | 10:00 - 11:00 (UTC-07:00) Hora do Pacífico (EUA & Canadá). Registe-se aqui.
Resumo: Para aplicar os princípios de Zero Trust ao armazenamento do Azure, você deve proteger os dados (em repouso, em trânsito e em uso), verificar os usuários e controlar o acesso, separar ou segregar dados críticos com controles de rede e usar o Defender for Storage para deteção e proteção automatizadas de ameaças.
Este artigo fornece etapas para aplicar os princípios do Zero Trust ao Armazenamento do Azure:
| Princípio Zero Trust | Definição | Cumprido por |
|---|---|---|
| Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. | Verifique as credenciais e o acesso do usuário. |
| Use o acesso menos privilegiado | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados. | Controle o acesso aos dados de armazenamento com o mínimo de privilégios. |
| Assuma a violação | Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. | Proteja os dados em repouso, os dados em trânsito e os dados em uso. Separe dados críticos com controles de rede. Use o Defender for Storage para deteção e proteção automatizadas contra ameaças. |
Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Zero Trust em um ambiente no Azure que inclui serviços de Armazenamento do Azure para dar suporte a uma carga de trabalho IaaS. Para obter uma visão geral, consulte Aplicar princípios de confiança zero à infraestrutura do Azure.
Arquitetura de armazenamento no Azure
Você aplica os princípios de Zero Confiança para o Armazenamento do Azure em toda a arquitetura, desde o nível de locatário e diretório até o contêiner de armazenamento na camada de dados.
O diagrama a seguir mostra os componentes da arquitetura lógica.
No diagrama:
- A conta de armazenamento para a arquitetura de referência está contida em um grupo de recursos dedicado. Você pode isolar cada conta de armazenamento em um grupo de recursos diferente para controles de acesso baseados em função (RBAC) mais granulares. Você pode atribuir permissões RBAC para gerenciar a conta de armazenamento no nível do grupo de recursos ou do grupo de recursos e auditá-las com o log de ID do Microsoft Entra e ferramentas como o Privileged Identity Management (PIM). Se você estiver executando vários aplicativos ou cargas de trabalho com várias contas de armazenamento correspondentes em uma assinatura do Azure, é importante limitar as permissões RBAC de cada conta de armazenamento aos seus proprietários, custodiantes de dados, controladores, etc. correspondentes.
- Os serviços de armazenamento do Azure para este diagrama estão contidos em uma conta de armazenamento dedicada. Você pode ter uma conta de armazenamento para cada tipo de carga de trabalho de armazenamento.
- Para obter uma visão mais ampla da arquitetura de referência, consulte a Visão geral de Aplicar princípios de Zero Confiança ao Azure IaaS.
O diagrama não inclui Filas do Azure e Tabelas do Azure. Use as mesmas orientações neste artigo para proteger esses recursos.
O que contém este artigo?
Este artigo apresenta as etapas para aplicar os princípios do Zero Trust na arquitetura de referência.
| Passo | Tarefa | Princípio(s) de confiança zero aplicado(s) |
|---|---|---|
| 1 | Proteja os dados nos três modos: dados em repouso, dados em trânsito, dados em uso. | Assuma a violação |
| 2 | Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios. | Verificar explicitamente Use o acesso menos privilegiado |
| 3 | Separe ou separe, logicamente, dados críticos com controles de rede. | Assuma a violação |
| 4 | Use o Defender for Storage para deteção e proteção automatizadas contra ameaças. | Assuma a violação |
Etapa 1: Proteja os dados nos três modos: dados em repouso, dados em trânsito, dados em uso
Você define a maioria das configurações para proteger dados em repouso, em trânsito e em uso, ao criar a conta de armazenamento. Use as recomendações a seguir para ter certeza de configurar essas proteções. Considere também habilitar o Microsoft Defender for Cloud para avaliar automaticamente suas contas de armazenamento em relação ao benchmark de segurança na nuvem da Microsoft que descreve uma linha de base de segurança para cada serviço do Azure.
Para obter mais informações sobre esses controles de segurança de armazenamento, consulte aqui.
Usar criptografia em trânsito
Mantenha os seus dados em segurança ao ativar a segurança de nível de transporte entre o Azure e o cliente. Utilize sempre HTTPS para proteger a comunicação através da Internet pública. Ao chamar as APIs REST para acessar objetos em contas de armazenamento, você pode impor o uso de HTTPS exigindo Transferência Segura Necessária para a conta de armazenamento. Qualquer solicitação originada de uma conexão insegura é rejeitada.
Essa configuração é habilitada por padrão quando você implanta uma nova Conta de Armazenamento do Azure (Segura por Padrão).
Considere aplicar uma política para negar a implantação de conexões inseguras para o Armazenamento do Azure (Secure by Design).
Esta configuração também requer SMB 3.0 com encriptação.
Impedir o acesso público de leitura anónimo
Por padrão, o acesso de blob público é proibido, mas um usuário com as permissões adequadas pode configurar um recurso acessível. Para evitar violações de dados de acesso anônimo, você deve especificar quem tem acesso aos seus dados. Impedir isso no nível da conta de armazenamento impede que um usuário habilite esse acesso no nível de contêiner ou blob.
Para obter mais informações, consulte Impedir acesso público de leitura anônimo a contêineres e blobs.
Impedir a autorização de chave compartilhada
Essa configuração força a conta de armazenamento a rejeitar todas as solicitações feitas com uma chave compartilhada e requer autorização do Microsoft Entra. O Microsoft Entra ID é uma opção mais segura, pois você pode usar mecanismos de acesso baseados em risco para fortalecer o acesso às camadas de dados. Para obter mais informações, consulte Impedir autorização de chave compartilhada para uma conta de armazenamento do Azure.
Você configura a proteção de dados para os três modos a partir das definições de configuração de uma conta de armazenamento, conforme mostrado aqui.
Essas configurações não podem ser alteradas depois que você cria a conta de armazenamento.
Impor uma versão mínima necessária da segurança da camada de transporte (TLS)
A versão mais alta que o Armazenamento do Azure suporta atualmente é TLS 1.2. A imposição de uma versão mínima do TLS rejeita solicitações de clientes que usam versões mais antigas. Para obter mais informações, consulte Impor uma versão mínima necessária do TLS para solicitações a uma conta de armazenamento.
Definir o escopo das operações de cópia
Defina o escopo das operações de cópia para restringir as operações de cópia apenas àquelas de contas de armazenamento de origem que estejam dentro do mesmo locatário do Microsoft Entra ou que tenham um Link Privado para a mesma rede virtual (VNet) que a conta de armazenamento de destino.
Limitar as operações de cópia a contas de armazenamento de origem com pontos de extremidade privados é a opção mais restritiva e requer que a conta de armazenamento de origem tenha pontos de extremidade privados habilitados.
Você configura um escopo para operações de cópia a partir das definições de configuração de uma conta de armazenamento, conforme mostrado aqui.
Compreender como funciona a encriptação em repouso
Todos os dados gravados no Armazenamento do Azure são automaticamente criptografados pela Criptografia do Serviço de Armazenamento (SSE) com uma cifra AES (Advanced Encryption Standard) de 256 bits. A SSE encripta automaticamente os dados ao escrevê-los no Armazenamento do Azure. Quando lê dados do Armazenamento do Azure, o Armazenamento do Azure desencripta os dados antes de devolvê-los. Este processo não implica custos adicionais e não afeta o desempenho. O uso de chaves gerenciadas pelo cliente (CMK) fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente.
Você ativa a CMK a partir da folha Criptografia ao criar uma conta de armazenamento, conforme mostrado aqui.
Você também pode habilitar a criptografia de infraestrutura, que fornece criptografia dupla nos níveis de serviço e infraestrutura. Essa configuração não pode ser alterada depois que você cria a conta de armazenamento.
Nota
Para utilizar uma chave gerenciada pelo cliente para criptografia de conta de armazenamento, você deve habilitá-la durante a criação da conta e deve ter um Cofre de Chaves com Chave e Identidade Gerenciada com permissões apropriadas já provisionadas. Opcionalmente, a criptografia AES de 256 bits no nível de infraestrutura de Armazenamento do Azure também pode ser habilitada.
Etapa 2: Verificar os usuários e controlar o acesso aos dados de armazenamento com o mínimo de privilégios
Primeiro, use o Microsoft Entra ID para controlar o acesso às contas de armazenamento. O uso do Controle de Acesso baseado em função com Contas de Armazenamento permite que você defina granularmente a função de trabalho baseada em acesso usando o OAuth 2.0. Você pode alinhar seu acesso granular à sua Política de Acesso Condicional.
É importante observar que as funções para contas de armazenamento devem ser atribuídas no nível de gerenciamento ou de dados. Assim, se você estiver usando o Microsoft Entra ID como o método de autenticação e autorização, um usuário deve receber a combinação apropriada de funções para dar-lhe a menor quantidade de privilégio necessária para concluir sua função de trabalho.
Para obter uma lista de Funções de Conta de Armazenamento para acesso granular, consulte Funções internas do Azure para Armazenamento. As atribuições RBAC são feitas através da opção Controle de Acesso na Conta de Armazenamento e podem ser atribuídas em vários escopos.
Você configura o controle de acesso a partir das configurações de controle de acesso (IAM) de uma conta de armazenamento, conforme mostrado aqui.
Você pode verificar os níveis de acesso de usuários, grupos, entidades de serviço ou identidades gerenciadas e adicionar uma atribuição de função.
Outra maneira de fornecer permissões com limite de tempo é por meio de Assinaturas de Acesso Compartilhado (SAS). As práticas recomendadas ao usar o SAS em um alto nível são as seguintes:
- Use sempre HTTPS. Se você tiver implantado as Políticas do Azure sugeridas para zonas de aterrissagem do Azure, a transferência segura via HTTPS será auditada.
- Tenha um plano de revogação.
- Configure políticas de expiração do SAS.
- Valide permissões.
- Use uma SAS de delegação de usuário sempre que possível. Esta SAS é assinada com credenciais de ID do Microsoft Entra.
Etapa 3: Separar ou segregar logicamente dados críticos com controles de rede
Nesta etapa, você usa os controles recomendados para proteger as conexões de rede de e para os serviços de Armazenamento do Azure.
O diagrama a seguir destaca as conexões de rede com os serviços de Armazenamento do Azure na arquitetura de referência.
| Tarefa | Descrição |
|---|---|
| Impeça o acesso público, crie segmentação de rede com Private Endpoint e Private Link. | O ponto de extremidade privado permite que você se conecte a serviços com o uso de um único endereço IP privado na VNet usando o Azure Private Link. |
| Usar o Azure Private Link | Use o Azure Private Link para acessar o Armazenamento do Azure em um ponto de extremidade privado em sua rede virtual. Use o fluxo de trabalho de aprovação para aprovar automaticamente ou solicitar manualmente, conforme apropriado. |
| Impedir o acesso público às suas fontes de dados usando pontos de extremidade de serviço | Você pode fazer segmentação de rede usando pontos de extremidade de serviço habilitando endereços IP privados em uma rede virtual para alcançar um ponto de extremidade sem usar endereços IP públicos. |
Você configura pontos de extremidade privados a partir das configurações de rede de uma conta de armazenamento, conforme mostrado aqui.
Etapa 4: Usar o Defender for Storage para deteção e proteção automatizadas contra ameaças
O Microsoft Defender for Storage fornece esse nível adicional de inteligência que deteta tentativas incomuns e potencialmente prejudiciais de explorar seus serviços de armazenamento. Microsoft Defender para Armazenamento está incorporado no Microsoft Defender para a Cloud.
O Defender for Storage deteta alertas de padrão de acesso anômalo, como:
- Acesso a partir de locais incomuns
- Anomalia de Aplicação
- Acesso anónimo
- Alertas de extração/carregamento anómalo
- Exfiltração de dados
- Exclusão inesperada
- Carregar o pacote do Serviço de Nuvem do Azure
- Alertas de atividades de armazenamento suspeitas
- Alteração de permissão de acesso
- Inspeção de Acesso
- Exploração de dados
Para obter mais informações sobre proteção contra ameaças na arquitetura de referência, consulte a Visão geral de Aplicar princípios de Zero Confiança à IaaS do Azure.
Uma vez habilitado, o Defender for Storage notifica você sobre alertas de segurança e recomendações para melhorar a postura de segurança de suas contas de armazenamento do Azure.
Eis um exemplo de alerta de segurança para uma conta de armazenamento com uma descrição das medidas de alerta e prevenção realçadas.
Ilustrações técnicas
Estas ilustrações são réplicas das ilustrações de referência nestes artigos. Transfira e personalize estes dados para a sua própria organização e clientes. Substitua o logotipo da Contoso pelo seu.
| Item | Description |
|---|---|
 Baixar Visio Atualizado em outubro de 2024 |
Aplicar princípios de Zero Trust à IaaS do Azure Use estas ilustrações com estes artigos: - Descrição geral - Armazenamento do Azure - Máquinas virtuais - Redes virtuais faladas do Azure - Redes virtuais do hub do Azure |
 Baixar Visio Atualizado em outubro de 2024 |
Aplicar princípios de Zero Trust à IaaS do Azure — Cartaz de uma página Uma visão geral de uma página do processo de aplicação dos princípios do Zero Trust a ambientes IaaS do Azure. |
Para obter ilustrações técnicas adicionais, consulte Ilustrações Zero Trust para arquitetos e implementadores de TI.
Treinamento recomendado
Configurar a segurança do armazenamento
| Formação | Configurar a segurança do armazenamento |
|---|---|
|
Saiba como configurar recursos de segurança comuns do Armazenamento do Azure, como assinaturas de acesso ao armazenamento. Neste módulo, você aprenderá a: |
Para obter mais treinamento sobre segurança no Azure, consulte estes recursos no catálogo da Microsoft:
Segurança no Azure | Microsoft Learn
Passos Seguintes
Consulte estes artigos adicionais para aplicar os princípios de Zero Trust ao Azure:
- Visão geral do Azure IaaS
- Azure Virtual Desktop
- WAN Virtual do Azure
- Aplicativos IaaS na Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Referências
Consulte os links abaixo para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.
- Transferência segura para Contas de Armazenamento do Azure
- Impedir o acesso de leitura público anónimo para contentores e blobs
- Impedir a autorização de Chave Partilhada para uma Conta de Armazenamento do Azure
- Segurança de rede para contas de armazenamento
- Pontos de extremidade privados e link privado para contas de armazenamento
- Criptografia de serviço de armazenamento (SSE)
- Controle de acesso baseado em função para contas de armazenamento
- Azure Blob Backup
- Práticas recomendadas ao usar o SAS
- Revisão de Endpoints Privados
- Revisão de pontos de extremidade de serviço
- Microsoft Defender para armazenamento