Resumen

  • 3 minutos

En este módulo, ha aprendido a planear e implementar medidas de seguridad para Azure Storage en consonancia con los principios de confianza cero y las estrategias de defensa en profundidad.

Conceptos clave tratados

Autenticación y autorización: ha explorado los métodos de autenticación modernos para Azure Storage, con énfasis en el identificador de Entra de Microsoft como enfoque preferido sobre las claves de acceso compartido. Ha aprendido a implementar RBAC de Azure para almacenamiento de blobs, almacenamiento de colas y almacenamiento de tablas, comprendiendo cuándo usar identidades administradas para aplicaciones en lugar de otros métodos de autenticación. También ha aprendido la administración adecuada de las claves de acceso de la cuenta de almacenamiento, incluido el almacenamiento seguro en Azure Key Vault y las estrategias de rotación para minimizar los riesgos de seguridad.

Seguridad Específica del Servicio: Ha examinado los métodos de autorización adaptados a cada servicio de Azure Storage.

  • Azure Files: configuración de la autenticación basada en identidades con Microsoft Entra Domain Services o Active Directory Domain Services e implementación de permisos de nivel de recurso compartido y de nivel de archivo
  • Blob Storage: Aprovechamiento del identificador de Entra de Microsoft para el acceso seguro con los roles de RBAC integrados y personalizados adecuados
  • Table Storage: Implementación de la autorización del identificador de Entra de Microsoft con asignaciones de roles adecuadas
  • Queue Storage: autorización del acceso a través del Azure Portal y programáticamente usando credenciales de identificación de Microsoft Entra.

Protección y recuperación de datos: ha aprendido estrategias completas de protección de datos, como la eliminación temporal de contenedores y blobs, el control de versiones de blobs para realizar el seguimiento de los cambios, las funcionalidades de restauración a un momento dado y las directivas de almacenamiento inmutables para los requisitos de cumplimiento. Estos mecanismos de protección proporcionan defensa en profundidad contra la eliminación accidental, la modificación malintencionada y los ataques de ransomware.

Opciones de cifrado avanzadas: ha explorado las funcionalidades avanzadas de cifrado para entornos regulados y de alta seguridad:

  • Bring Your Own Key (BYOK): mantener el control sobre el ciclo de vida de la clave de cifrado mediante la importación segura de claves de HSM locales en Azure Key Vault
  • Cifrado de infraestructura: habilitación del cifrado doble en los niveles de servicio e infraestructura para las organizaciones con estrictos requisitos de cumplimiento

Principios de seguridad resaltados

A lo largo de este módulo, se reforzaron varios principios de seguridad críticos:

  • Enfoque de confianza cero: nunca confiar, comprobar siempre, preferir la autenticación basada en identidades en las claves de acceso y los tokens
  • Defensa en profundidad: implemente varias capas de controles de seguridad, como la autenticación, la autorización, el cifrado y la protección de datos.
  • Acceso con privilegios mínimos: conceda solo los permisos mínimos necesarios para que los usuarios y las aplicaciones realicen sus tareas necesarias.
  • Separación de tareas: use diferentes claves y mecanismos en diferentes capas de cifrado para minimizar el riesgo de peligro.
  • Preparación para el cumplimiento: aproveche las funcionalidades integradas, como las directivas de inmutabilidad, BYOK y el cifrado de infraestructura para cumplir los requisitos normativos.

Al aplicar estos conceptos y procedimientos recomendados, puede diseñar e implementar arquitecturas de seguridad sólidas para Azure Storage que protegen los datos a lo largo de su ciclo de vida, a la vez que mantiene la eficacia operativa y cumplen las obligaciones de cumplimiento.