Säkerhetsrekommendationer för Blob Storage

Den här artikeln innehåller säkerhetsrekommendationer för Blob Storage. Genom att implementera dessa rekommendationer kan du uppfylla dina säkerhetsskyldigheter enligt beskrivningen i vår modell för delat ansvar. Mer information om hur Microsoft uppfyller tjänstleverantörsansvar finns i Delat ansvar i molnet.

Några av rekommendationerna som ingår i den här artikeln kan övervakas automatiskt av Microsoft Defender för molnet, vilket är den första försvarslinjen för att skydda dina resurser i Azure. Information om Microsoft Defender för molnet finns i Vad är Microsoft Defender för molnet?

Microsoft Defender för molnet analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du hanterar dem. Mer information om rekommendationer för Microsoft Defender för molnet finns i Granska dina säkerhetsrekommendationer.

Dataskydd

Rekommendation Kommentarer Defender för molnet
Använda Azure Resource Manager-distributionsmodellen Skapa nya lagringskonton med hjälp av Azure Resource Manager-distributionsmodellen för viktiga säkerhetsförbättringar, inklusive överlägsen rollbaserad åtkomstkontroll i Azure (Azure RBAC) och granskning, Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till Azure Key Vault för hemligheter och Microsoft Entra-autentisering och auktorisering för åtkomst till Azure Storage-data och resurser. Migrera om möjligt befintliga lagringskonton som använder den klassiska distributionsmodellen för att använda Azure Resource Manager. Mer information om Azure Resource Manager finns i Översikt över Azure Resource Manager. -
Aktivera Microsoft Defender för alla dina lagringskonton Microsoft Defender för Storage tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Säkerhetsaviseringar utlöses i Microsoft Defender för molnet när avvikelser i aktiviteten inträffar och skickas även via e-post till prenumerationsadministratörer, med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot. Mer information finns i Konfigurera Microsoft Defender för lagring. Ja
Aktivera mjuk blobborttagning Med mjuk borttagning för blobar kan du återställa blobdata när de har tagits bort. Mer information om mjuk borttagning för blobar finns i Mjuk borttagning för Azure Storage-blobar. -
Aktivera mjuk borttagning för containrar Med mjuk borttagning för containrar kan du återställa en container när den har tagits bort. Mer information om mjuk borttagning för containrar finns i Mjuk borttagning för containrar. -
Lås lagringskontot för att förhindra oavsiktlig eller skadlig borttagning eller konfigurationsändringar Använd ett Azure Resource Manager-lås på ditt lagringskonto för att skydda kontot från oavsiktlig eller skadlig borttagning eller konfigurationsändring. Att låsa ett lagringskonto förhindrar inte att data i kontot tas bort. Det förhindrar bara att själva kontot tas bort. Mer information finns i Tillämpa ett Azure Resource Manager-lås på ett lagringskonto.
Lagra affärskritiska data i oföränderliga blobar Konfigurera juridiska undantag och tidsbaserade kvarhållningsprinciper för att lagra blobdata i ett WORM-tillstånd (Skriv en gång, Läs många). Blobar som lagras oföränderligt kan läsas, men kan inte ändras eller tas bort under kvarhållningsintervallet. Mer information finns i Lagra affärskritiska blobdata med oföränderlig lagring. -
Kräv säker överföring (HTTPS) till lagringskontot När du behöver säker överföring för ett lagringskonto måste alla begäranden till lagringskontot göras via HTTPS. Alla begäranden som görs via HTTP avvisas. Microsoft rekommenderar att du alltid behöver säker överföring för alla dina lagringskonton. Mer information finns i Kräv säker överföring för att säkerställa säkra anslutningar. -
Begränsa endast SAS-token (signatur för delad åtkomst) till HTTPS-anslutningar Att kräva HTTPS när en klient använder en SAS-token för att komma åt blobdata hjälper till att minimera risken för avlyssning. Mer information finns i Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS). -
Tillåt inte replikering av objekt mellan klientorganisationer Som standard tillåts en behörig användare att konfigurera en princip för objektreplikering där källkontot finns i en Microsoft Entra-klientorganisation och målkontot finns i en annan klientorganisation. Tillåt inte replikering av objekt mellan klientorganisationer för att kräva att käll- och målkontona som ingår i en objektreplikeringsprincip finns i samma klientorganisation. Mer information finns i Förhindra objektreplikering mellan Microsoft Entra-klienter. -

Identitets- och åtkomsthantering

Rekommendation Kommentarer Defender för molnet
Använda Microsoft Entra-ID för att auktorisera åtkomst till blobdata Microsoft Entra-ID ger överlägsen säkerhet och enkel användning via delad nyckel för att auktorisera begäranden till Blob Storage. Mer information finns i Auktorisera åtkomst till data i Azure Storage. -
Tänk på principen om lägsta behörighet när du tilldelar behörigheter till ett Microsoft Entra-säkerhetsobjekt via Azure RBAC När du tilldelar en roll till en användare, grupp eller ett program beviljar du endast det säkerhetsobjektet de behörigheter som krävs för att de ska kunna utföra sina uppgifter. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data. -
Använda en SAS för användardelegering för att bevilja begränsad åtkomst till blobdata till klienter En SAS för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter och även av de behörigheter som angetts för SAS. En SAS för användardelegering liknar en tjänst-SAS när det gäller dess omfång och funktion, men erbjuder säkerhetsfördelar jämfört med tjänstens SAS. Mer information finns i Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS). -
Skydda dina kontoåtkomstnycklar med Azure Key Vault Microsoft rekommenderar att du använder Microsoft Entra-ID för att auktorisera begäranden till Azure Storage. Men om du måste använda auktorisering av delad nyckel kan du skydda dina kontonycklar med Azure Key Vault. Du kan hämta nycklarna från nyckelvalvet vid körning i stället för att spara dem med ditt program. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault. -
Återskapa dina kontonycklar regelbundet Om du roterar kontonycklarna med jämna mellanrum minskar risken för att exponera dina data för skadliga aktörer. -
Tillåt inte auktorisering av delad nyckel När du inte tillåter auktorisering av delad nyckel för ett lagringskonto avvisar Azure Storage alla efterföljande begäranden till kontot som är auktoriserade med kontoåtkomstnycklarna. Endast skyddade begäranden som är auktoriserade med Microsoft Entra-ID kommer att lyckas. Mer information finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto. -
Tänk på principen om lägsta behörighet när du tilldelar behörigheter till en SAS När du skapar en SAS anger du endast de behörigheter som krävs av klienten för att utföra dess funktion. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data. -
Ha en återkallelseplan på plats för alla SAS som du utfärdar till klienter Om en SAS komprometteras vill du återkalla sas så snart som möjligt. Återkalla en SAS för användardelegering genom att återkalla användardelegeringsnyckeln för att snabbt ogiltigförklara alla signaturer som är associerade med den nyckeln. Om du vill återkalla en tjänst-SAS som är associerad med en lagrad åtkomstprincip kan du ta bort den lagrade åtkomstprincipen, byta namn på principen eller ändra dess förfallotid till en tidpunkt som är tidigare. Mer information finns i Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS). -
Om en tjänst-SAS inte är associerad med en lagrad åtkomstprincip anger du förfallotiden till en timme eller mindre En tjänst-SAS som inte är associerad med en lagrad åtkomstprincip kan inte återkallas. Därför rekommenderas att begränsa förfallotiden så att SAS är giltig i en timme eller mindre. -
Inaktivera anonym läsåtkomst till containrar och blobar anonym läsåtkomst till en container och dess blobar ger skrivskyddad åtkomst till dessa resurser till alla klienter. Undvik att aktivera anonym läsåtkomst om inte ditt scenario kräver det. Information om hur du inaktiverar anonym åtkomst för ett lagringskonto finns i Översikt: Åtgärda anonym läsåtkomst för blobdata. -

Nätverk

Rekommendation Kommentarer Defender för molnet
Konfigurera den lägsta nödvändiga versionen av TLS (Transport Layer Security) för ett lagringskonto. Kräv att klienter använder en säkrare version av TLS för att göra begäranden mot ett Azure Storage-konto genom att konfigurera den lägsta versionen av TLS för det kontot. Mer information finns i Konfigurera lägsta nödvändiga version av TLS (Transport Layer Security) för ett lagringskonto -
Aktivera alternativet Säker överföring krävs för alla dina lagringskonton När du aktiverar alternativet Säker överföring krävs måste alla begäranden som görs mot lagringskontot ske via säkra anslutningar. Alla begäranden som görs via HTTP misslyckas. Mer information finns i Kräv säker överföring i Azure Storage. Ja
Aktivera brandväggsregler Konfigurera brandväggsregler för att begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser eller intervall, eller från en lista över undernät i ett virtuellt Azure-nätverk (VNet). Mer information om hur du konfigurerar brandväggsregler finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk. -
Tillåt betrodda Microsoft usluge att komma åt lagringskontot Om du aktiverar brandväggsregler för ditt lagringskonto blockeras inkommande begäranden om data som standard, såvida inte begäranden kommer från en tjänst som körs i ett virtuellt Azure-nätverk (VNet) eller från tillåtna offentliga IP-adresser. Begäranden som blockeras inkluderar sådana från andra Azure-tjänster, från Azure-portalen, från loggnings- och måtttjänster och så vidare. Du kan tillåta begäranden från andra Azure-tjänster genom att lägga till ett undantag så att betrodda Microsoft usluge får åtkomst till lagringskontot. Mer information om hur du lägger till ett undantag för betrodda Microsoft usluge finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk. -
Använda privata slutpunkter En privat slutpunkt tilldelar en privat IP-adress från ditt virtuella Azure-nätverk (VNet) till lagringskontot. Den skyddar all trafik mellan ditt virtuella nätverk och lagringskontot via en privat länk. Mer information om privata slutpunkter finns i Ansluta privat till ett lagringskonto med azure private endpoint. -
Använda VNet-tjänsttaggar En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. Mer information om tjänsttaggar som stöds av Azure Storage finns i Översikt över Azure-tjänsttaggar. En självstudiekurs som visar hur du använder tjänsttaggar för att skapa regler för utgående nätverk finns i Begränsa åtkomst till PaaS-resurser. -
Begränsa nätverksåtkomst till specifika nätverk Att begränsa nätverksåtkomsten till nätverk som är värd för klienter som kräver åtkomst minskar exponeringen av dina resurser för nätverksattacker. Ja
Konfigurera inställningar för nätverksroutning Du kan konfigurera inställningar för nätverksroutning för ditt Azure Storage-konto för att ange hur nätverkstrafik dirigeras till ditt konto från klienter via Internet med microsofts globala nätverk eller Internetroutning. Mer information finns i Konfigurera inställningar för nätverksroutning för Azure Storage. -

Loggning/övervakning

Rekommendation Kommentarer Defender för molnet
Spåra hur begäranden auktoriseras Aktivera loggning för Azure Storage för att spåra hur begäranden till tjänsten auktoriseras. Loggarna anger om en begäran gjordes anonymt, med hjälp av en OAuth 2.0-token, med hjälp av delad nyckel eller med hjälp av en signatur för delad åtkomst (SAS). Mer information finns i Övervaka Azure Blob Storage med Azure Monitor eller Azure Storage-analysloggning med klassisk övervakning. -
Konfigurera aviseringar i Azure Monitor Konfigurera loggaviseringar för att utvärdera resursloggar med en angivna frekvens och utlösa en avisering baserat på resultaten. Mer information finns i Logga aviseringar i Azure Monitor. -

Nästa steg