Creación de una línea de base de cuentas de almacenamiento de Azure
Una cuenta de almacenamiento de Azure proporciona un espacio de nombres único para almacenar los objetos de datos de Azure Storage y acceder a ellos.
Recomendaciones de seguridad de las cuentas de Azure Storage
En las secciones siguientes se describen las recomendaciones de Azure Storage que se encuentran en CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. En cada recomendación se incluyen los pasos básicos que se deben seguir en Azure Portal. Debe completar estos pasos con su propia suscripción y usar sus propios recursos para validar cada recomendación de seguridad. Tenga en cuenta que las opciones de nivel 2 pueden restringir algunas características o actividad, así que considere detenidamente qué opciones de seguridad decide aplicar.
Requerir transferencias con seguridad mejorada: nivel 1
Este es un paso que debe seguir para garantizar la seguridad de los datos de Azure Storage es cifrar los datos entre el cliente y Azure Storage. La primera recomendación es utilizar siempre el protocolo HTTPS. El uso de HTTPS garantiza la comunicación segura a través de la red Internet pública. Para aplicar el uso de HTTPS al llamar a las API REST para acceder a objetos de cuentas de almacenamiento, active la opción Transferencia segura necesaria para la cuenta de almacenamiento. Después de activar este control, se rechazan las conexiones que usan HTTP. Complete los pasos siguientes con cada cuenta de almacenamiento de la suscripción.
Inicie sesión en Azure Portal. Busque y seleccione Cuentas de almacenamiento.
En el panel Cuentas de almacenamiento, seleccione una cuenta de almacenamiento.
En el menú de la izquierda, en Configuración, seleccione Configuración.
En el panel Configuración , asegúrese de que se requiere transferencia segura establecida en Habilitado.
Si cambia alguna configuración, seleccione Guardar en la barra de menús.
Habilitar el cifrado de objeto binario grande (blob): nivel 1
Azure Blob Storage es la solución de almacenamiento de objetos de Microsoft para la nube. Blob Storage está optimizado para almacenar grandes cantidades de datos no estructurados. Los datos no estructurados son datos que no se ajustan a un modelo de datos o una definición de datos concretos. Ejemplos de datos no estructurados son texto y datos binarios. El cifrado del servicio de almacenamiento protege los datos en reposo. Azure Storage cifra los datos a medida que se escriben en los centros de datos y los descifra automáticamente cuando se accede a ellos.
Inicie sesión en Azure Portal. Busque y seleccione Cuentas de almacenamiento.
En el panel Cuentas de almacenamiento, seleccione una cuenta de almacenamiento.
En el menú de la izquierda, en Seguridad y redes, seleccione Cifrado.
En el panel Cifrado , tenga en cuenta que el cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento nuevas y existentes y que no se puede deshabilitar.
Regenerar de forma periódica las claves de acceso: nivel 1
Al crear una cuenta de almacenamiento en Azure, Azure genera dos claves de acceso de almacenamiento de 512 bits. Estas claves se usan para la autenticación cuando se accede a la cuenta de almacenamiento. La rotación periódica de estas claves garantiza que cualquier exposición o acceso a estas claves es por tiempo limitado. Complete los pasos siguientes con cada cuenta de almacenamiento de la suscripción de Azure.
Inicie sesión en Azure Portal. Busque y seleccione Cuentas de almacenamiento.
En el panel Cuentas de almacenamiento, seleccione una cuenta de almacenamiento.
En el menú de la izquierda, seleccione Seguridad y redes y, después, claves de acceso.
Revise la fecha de última rotación para cada clave.
Si no usa Azure Key Vault con rotación de claves, puede seleccionar el botón Girar clave para rotar manualmente las claves de acceso.
Requerir que los tokens de firma de acceso compartido expiren en una hora: nivel 1
Una firma de acceso compartido es un URI que concede derechos de acceso restringido a recursos de Azure Storage. Puede proporcionar una firma de acceso compartido a los clientes a los que no se les debe confiar la clave de su cuenta de almacenamiento, pero a los que desea delegar el acceso a ciertos recursos de la cuenta de almacenamiento. Mediante la distribución de un URI de firma de acceso compartido a estos clientes, puede concederles acceso a un recurso durante un período de tiempo especificado y con un conjunto de permisos concreto.
Nota:
Para las recomendaciones del Banco de pruebas de CIS de seguridad de la base de Microsoft Azure v. 3.0.0, los tiempos de expiración del token de firma de acceso compartido no se pueden comprobar automáticamente. La recomendación requiere la verificación manual.
Requerir que los tokens de firma de acceso compartido se compartan solo a través de HTTPS: nivel 1
Los tokens de firma de acceso compartido solo deben permitirse a través del protocolo HTTPS. Complete los pasos siguientes con cada cuenta de almacenamiento de la suscripción de Azure.
Inicie sesión en Azure Portal. Busque y seleccione Cuentas de almacenamiento.
En el panel Cuentas de almacenamiento, seleccione una cuenta de almacenamiento.
En el menú de Seguridad y redes, seleccione Firma de acceso compartido.
En el panel Firma de acceso compartido, en Fecha y hora de inicio y expiración, establezca las fechas y horas de inicio y finalización.
En Protocolos permitidos, seleccione Solo HTTPS.
Si cambia alguna configuración, seleccione el botón Generar SAS y cadena de conexión en la parte inferior de la pantalla.
Configure las características de firma de acceso compartido en las secciones siguientes.
Habilitar el cifrado de Azure Files: nivel 1
Azure Disk Encryption cifra los discos de datos y del sistema operativo de las máquinas virtuales IaaS. El cifrado del lado cliente y el cifrado del lado servidor (SSE) se utilizan para cifrar los datos de Azure Storage. Complete los pasos siguientes con cada cuenta de almacenamiento de la suscripción de Azure.
Inicie sesión en Azure Portal. Busque y seleccione Cuentas de almacenamiento.
En el panel Cuentas de almacenamiento, seleccione una cuenta de almacenamiento.
En el menú de la izquierda, en Seguridad y redes, seleccione Cifrado.
En el panel Cifrado, tenga en cuenta que el cifrado de Azure Storage está habilitado para el almacenamiento de blobs y el almacenamiento de archivos, tanto nuevos como existentes, y que no se puede deshabilitar.
Requerir únicamente acceso privado a contenedores de blobs: nivel 1
Puede habilitar el acceso de lectura anónimo y público a un contenedor y sus blobs en Azure Blob Storage. Al activar el acceso de lectura público anónimo, puede conceder acceso de solo lectura a estos recursos sin compartir la clave de cuenta y sin necesidad de una firma de acceso compartido. De forma predeterminada, solo un usuario al que se han concedido los permisos adecuados puede acceder a un contenedor y a los blobs que haya dentro. Para conceder a los usuarios anónimos acceso de lectura a un contenedor y sus blobs, puede establecer el nivel de acceso del contenedor en público.
Sin embargo, si concede acceso público a un contenedor, los usuarios anónimos pueden leer blobs dentro de un contenedor accesible públicamente sin que se autorice la solicitud. En su lugar, se recomienda establecer el acceso a contenedores de almacenamiento en privado. Complete los pasos siguientes con cada cuenta de almacenamiento de la suscripción de Azure.
Inicie sesión en Azure Portal. Busque y seleccione Cuentas de almacenamiento.
En el panel Cuentas de almacenamiento, seleccione una cuenta de almacenamiento.
En el menú de la izquierda, en Almacenamiento de datos, seleccione Contenedores.
En el panel Contenedores , asegúrese de que el nivel de acceso público esté establecido en Privado.
