查看 Azure 存储安全策略
管理员使用不同的策略来确保其数据是安全的。 常见的方法包括使用凭据、文件权限和专用签名的加密、身份验证、授权和用户访问控制。 Azure 存储提供一套基于常见策略的安全功能,可帮助你保护数据。
注释
该视频提到 Active Directory,该服务现已重命名为“Microsoft Entra ID”。
有关 Azure 存储安全策略的注意事项
让我们来看看 Azure 存储安全性的一些特征。 完成本模块时,请考虑深度防御。 如何将存储安全功能应用于此概念?
静态加密。 所有写入 Azure 存储的数据都由具有 256 位高级加密标准 (AES) 密码的存储服务加密 (SSE) 进行加密。 从 Azure 存储中读取数据时,Azure 存储会在返回数据之前对其进行解密。 此过程不会产生额外费用,也不会降低性能。 静态数据加密包括使用 Azure 磁盘加密对虚拟硬盘(VHD)进行加密。 对于 Windows 映像,此加密使用 BitLocker;对于 Linux,此加密使用 dm-crypt。
传输中的加密。 通过在 Azure 与客户端之间启用传输级别安全性,可确保数据保持安全。 始终使用 HTTPS 来保护通过公共 Internet 的通信。 调用 REST API 以访问存储帐户中的对象时,可以通过要求对存储帐户进行 安全传输 来强制使用 HTTPS。 启用安全传输后,系统将拒绝使用 HTTP 的连接。 此标志还将通过要求 SMB 3.0 用于所有文件共享安装,以强制保护通过 SMB 的传输。
加密模型。 Azure 支持各种加密模型,包括使用服务托管密钥、Key Vault 中客户托管密钥或客户所控硬件上客户托管密钥的服务器端加密。 通过客户端加密,可在本地或另一个安全位置管理并存储密钥。
授权请求。 为了获得最佳安全性,Microsoft建议尽可能使用具有托管标识的 Microsoft Entra ID 来授权针对 blob、队列和表数据的请求。 与共享密钥授权相比,使用 Microsoft Entra ID 和托管标识进行授权提供了更高的安全性和易用性。
RBAC。 RBAC 确保存储帐户中的资源仅在您需要时才可被访问,并且仅由您授予访问权限的用户或应用程序访问。 分配作用域为 Azure 存储帐户的 RBAC 角色。
存储分析。 Azure 存储分析为存储帐户进行日志记录。 可以使用此数据为存储帐户跟踪请求、分析使用趋势和诊断问题。
小窍门
Microsoft 存储云安全基准 提供了有关如何保护云存储解决方案的建议。
使用授权安全性时的注意事项
查看以下策略来授权对 Azure 存储发出的请求。 考虑哪些安全策略适用于 Azure 存储。
| 授权策略 | 说明 |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID 是 Microsoft 基于云的标识和访问管理服务。 借助 Microsoft Entra ID,你可以使用基于角色的访问控制向用户、组或应用程序分配细粒度访问权限。 |
| 共享密钥 | 共享密钥授权依赖于 Azure 存储帐户访问密钥和其他参数来生成加密的签名字符串。 该字符串在授权标头中的请求上传递。 |
| 共享访问签名 | SAS 以指定的权限在指定的时间间隔内委托对 Azure 存储帐户中特定资源的访问权限。 |
| 对容器和 blob 的匿名访问 | 可选择在容器或 Blob 级别公开 Blob 资源。 任何用户都可访问公共容器或 Blob 来实现匿名读取访问。 针对公共容器和 blob 的读取请求不需要授权。 |