Configure Azure Storage security | AZ-104 | Episode 18
Microsoft LearndutchenpublicupdatedRead in about 3 minutes instead of watching 20 minutes.
Beveiliging als uitgangspunt
- Azure-resources zijn meestal standaard beveiligd; open toegang alleen tot het noodzakelijke niveau.
- De sessie richt zich op gegevensbeveiliging voor Azure Blob Storage, met SAS-tokens, RBAC, toegangsbeheer en encryptie.
- Onderliggende objecten erven instellingen van bovenliggende objecten en machtigingen zijn cumulatief, behalve bij een expliciete deny.
Encryptie van opslag
- Alle gegevens in Azure Storage worden minimaal drie keer opgeslagen en standaard versleuteld in rust.
- Storage Service Encryption versleutelt blobs, files, tables en queues via encryptiesleutels op opslagaccountniveau.
- Standaard gebruikt Azure door Microsoft beheerde sleutels, maar organisaties kunnen ook eigen sleutels meenemen.
- Bij eigen sleutels wordt Key Vault aanbevolen voor veilige opslag en ophalen van sleutels.
RBAC en SAS-tokens
- RBAC biedt gecontroleerde toegang op basis van geauthenticeerde gebruikers en groepslidmaatschap.
- Het is meestal beter om machtigingen aan groepen toe te wijzen in plaats van direct aan individuele gebruikers.
- SAS-tokens geven toegang via een gedeelde tekenreeks en moeten zorgvuldig worden verspreid en beperkt.
- SAS-tokens kunnen worden beperkt met machtigingen, start- en eindtijd, IP-adresbereik en protocol.
- Gebruik bij voorkeur HTTPS voor SAS-toegang en bewaar tokens liever in Key Vault dan via e-mail te delen.
Container- en netwerktoegang
- Blobcontainers zijn standaard privé en staan geen anonieme toegang toe.
- De demonstratie laat zien hoe netwerktoegang en containerinstellingen kunnen worden geopend of weer afgesloten.
- Anonieme containertoegang maakt objecten publiek toegankelijk en wordt afgeraden voor gevoelige gegevens.
- Wanneer een object weer privé wordt gemaakt, geeft Azure aan dat het object niet bestaat, wat helpt tegen footprinting.
- Een SAS-token kan toegang geven tot een privéobject zonder de container publiek te maken.
SAS-URL en toegangsbeleid
- Een SAS-URL bevat de opslagaccountnaam, containernaam en beveiligingsinformatie waarmee toegang wordt verleend.
- Opslagaccountnamen moeten wereldwijd uniek zijn, maar DNS CNAME-records kunnen gebruiksvriendelijkere namen bieden.
- Er kunnen maximaal vijf access policies worden gebruikt om toegang voor groepen blobs te beheren.
- Immutable storage kan juridische bewaarplichten of tijdgebonden retentie afdwingen, ook wanneer objecten lijken te zijn verwijderd.
Lifecycle, tiers en replicatie
- Lifecycle management kan regels gebruiken om bestanden op basis van datum automatisch naar bijvoorbeeld cool storage te verplaatsen.
- Blobobjecten kunnen opslagtiers erven van het opslagaccount, zoals hot of cool inferred.
- Een expliciet ingestelde tier, zoals cold, blijft behouden wanneer de standaardtier van het account verandert.
- Objectreplicatie kan specifieke containers of mappen naar een ander opslagaccount kopiëren, bijvoorbeeld alleen nieuwe objecten.
Aanbevolen praktijken
- Gebruik waar mogelijk HTTPS en vermijd onversleutelde HTTP-communicatie.
- Beperk het aantal storage policies en verwijder beleid dat niet meer wordt gebruikt.
- Gebruik korte vervaltijden voor SAS-tokens en houd rekening met tijdzones bij internationale gebruikers.
- Security geldt voor alle Azure-services; storagebeheerders moeten de beschikbare beveiligingsopties goed kennen.
Actiepunten
- Gebruik waar mogelijk HTTPS voor toegang tot opslag en SAS-tokens.
- Beperk het aantal storage policies en verwijder policies die niet meer worden gebruikt.
- Gebruik korte vervaltijden voor SAS-tokens.
- Houd rekening met tijdzones bij het instellen van start- en eindtijden voor SAS-tokens.
- Gebruik Key Vault voor het opslaan en ophalen van SAS-tokens of eigen encryptiesleutels.