Rever as estratégias de segurança do Armazenamento do Azure
Os administradores usam estratégias diferentes para garantir que seus dados estejam seguros. As abordagens comuns incluem criptografia, autenticação, autorização e controle de acesso do usuário com credenciais, permissões de arquivo e assinaturas privadas. O Armazenamento do Azure oferece um conjunto de recursos de segurança com base em estratégias comuns para ajudá-lo a proteger seus dados.
Coisas a saber sobre as estratégias de segurança do Armazenamento do Azure
Vamos examinar algumas características da segurança do Armazenamento do Azure.
Encriptação. Todos os dados gravados no Armazenamento do Azure são automaticamente criptografados usando a criptografia do Armazenamento do Azure.
Autenticação. O Microsoft Entra ID e o RBAC (controle de acesso baseado em função) têm suporte para o Armazenamento do Azure para operações de gerenciamento de recursos e operações de dados.
- Atribua funções RBAC com escopo a uma conta de armazenamento do Azure a entidades de segurança e use a ID do Microsoft Entra para autorizar operações de gerenciamento de recursos, como gerenciamento de chaves.
- A integração do Microsoft Entra é suportada para operações de dados no Armazenamento de Blobs do Azure e no Armazenamento de Filas do Azure.
Dados em trânsito. Os dados podem ser protegidos em trânsito entre um aplicativo e o Azure usando criptografia do lado do cliente, HTTPS ou SMB 3.0.
Encriptação de disco. Os discos do sistema operacional e os discos de dados usados pelas Máquinas Virtuais do Azure podem ser criptografados usando a Criptografia de Disco do Azure.
Assinaturas de acesso compartilhado. O acesso delegado aos objetos de dados no Armazenamento do Azure pode ser concedido usando uma assinatura de acesso compartilhado (SAS).
Autorização. Todas as solicitações feitas em relação a um recurso seguro no Armazenamento de Blob, Arquivos do Azure, Armazenamento de Filas ou Azure Cosmos DB (Armazenamento de Tabela do Azure) devem ser autorizadas. A autorização garante que os recursos em sua conta de armazenamento estejam acessíveis somente quando você quiser que eles estejam, e somente para os usuários ou aplicativos aos quais você concede acesso.
Coisas a considerar ao usar a segurança de autorização
Analise as estratégias a seguir para autorizar solicitações ao Armazenamento do Azure. Pense em quais estratégias de segurança funcionariam para seu Armazenamento do Azure.
| Estratégia de autorização | Description |
|---|---|
| Microsoft Entra ID | O Microsoft Entra ID é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Com o Microsoft Entra ID, você pode atribuir acesso refinado a usuários, grupos ou aplicativos usando o controle de acesso baseado em função. |
| Chave Partilhada | A autorização de Chave Compartilhada depende das chaves de acesso da conta de armazenamento do Azure e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada. A cadeia de caracteres é passada na solicitação no cabeçalho Authorization. |
| Assinaturas de acesso compartilhado | Uma SAS delega acesso a um recurso específico em sua conta de armazenamento do Azure com permissões especificadas e por um intervalo de tempo especificado. |
| Acesso anônimo a contêineres e blobs | Opcionalmente, você pode tornar os recursos de blob públicos no nível de contêiner ou blob. Um contêiner ou blob público é acessível a qualquer usuário para acesso de leitura anônimo. As solicitações de leitura para contêineres públicos e blobs não exigem autorização. |