保护Azure存储数据安全的方法
Azure存储是Microsoft Azure架构的核心。现在,越来越多的客户将他们的数据移至了云端,因此,选择一种能为我们提供合适的工具来阻止未经授权的访问,并允许我们设置能够监控和识别异常行为的策略的服务至关重要。
保护帐户管理RBAC
正确管理存储帐户的权限至关重要。 Azure资源管理器(ARM)和基于资源的权限管理(RBAC)可以有效锁定帐户权限,并确保只有获得授权的用户才能访问和管理该服务。由于RBAC是受Azure AD驱动的,因此实施可集中进行管理、且拥有企业范围的安全策略简直易如反掌。存储资源提供程序的权限如下所示:
您可以将角色分配给特定的用户帐户、一组用户或特定的应用程序。要想进一步扩展RBAC安全模型的灵活性,您可以创建由一组操作组成的自定义角色,其中的操作来源于可在Azure资源上执行的可用操作列表。 此外,用户需要进入Azure AD才能使用RBAC管理用户权限。 后,由于所有的用户活动都被记录在Azure中,所以您可以使用如Azure监视器和日志分析这类的工具来监视和报告用户操作,从而提高安全性和合规性。
使用ARM模板执行默认安全设置
近,随着更好的资源管理策略以及更简单的Portal管理模型的问世,您已经可以在ARM模板中实施默认安全设置了。比如,您可以强制使用私人权限创建所有的存储帐户容器,并且默认禁止任何其它访问。这样一来,即便在无意中打开了公共权限的情况下,还是没有人能够创建新的存储帐户。
使用SAS令牌保护权限
使用共享访问签名(SAS)令牌是为存储帐户定义和授权真正细粒度且可管理的权限的佳机制,这是因为SAS令牌可以授予您有限且专用于操作的特权,而这些特权具有明确的有效期限,且易于撤销。一经发布之后,您必须为授权令牌提供请求或操作(URL或SDK)。
下列是基于SAS的示例请求(已将SAS特别标出)以及每个参数的详细意义
//myaccount.blo***r***dow***/mycontainer/myblobsv=2015-04-05&ss=b&srt=o&sp=r&se=2016-09-30T23:57:53Z&st=2016-09-14T15:57:53Z&spr=https&sig=BWLBIFazbsn96gJl2I0wKjkRRBaH9qvtF5qtsluulPk%3D
基于此详细解释,您很容易就能理解SAS令牌是如何使得访问变得特别明确,并仅映射到特定操作的。 为了提高SAS令牌的可用性,您可以选择分开存储访问策略,而这能允许您分别关注访问策略和SAS,而且即便在SAS发布后,它也能允许您修改和撤销权限。每个容器、表格和队列多可设有五个存储访问策略。 我们在下方为您展示了一个配有存储访问策略、且基于SAS请求的示例:
//myaccount.blo***r***dow***/mycontainer/myblob?sv=2015-04-05&si=readonlypolicy&sig=GFC…lPk%3D
以下存储帐户类型支持SAS:
· BLOB
· 文件
· 队列
· 表格
您可以通过以下方法生成SAS:
· Azure Portal
· Azure Storage Explorer
· PowerShell
· Azure CLI
· Azure SDK (.NET, Node.js etc)
下方是通过Portal创建SAS的示例
请注意,SAS还支持IP白名单,从而进一步提高安全性。
使用CORS保护访问
跨源资源共享(CORS)可以与其它策略一起使用,以便锁定对存储资源的访问。 CORS是一种W3C标准,它允许网站同意来自外部域的资源访问。例如,如果您的API在co***域下运行,那么只有位于同一域下的其它站点才能访问该API。 要想允许外部访问,您需要配置CORS访问才行。浏览器默认将脚本限制为“同源”。 Azure存储服务可以与CORS策略一起进行配置,从而允许基于浏览器的跨源应用程序,主机资讯news.webhostin***/。
使用Storage Analytics实现合规性和控制权
Azure Storage Analytics可用于进行明确记录和存储与指标相关的数据。 存储帐户的性能指标很重要——特别是当其与虚拟机(VM)结合使用时。您还可以使用相同的指标来排除存储帐户上的各种性能问题。
此外,storage analytics日志可用于增强您基础架构的安全性,还可用于主动监控可疑活动。 比如,有了BLOB存储,您就可以监控某个操作是使用共享访问签名还是存储帐户密钥的,也可以监控BLOB权限是否处于公开状态。
这意味着您可以严格保护对存储的访问权限。 例如,如果您将所有容器设置为私有状态,并通过使用SAS实施访问,那么使用其中一个存储帐户密钥来显示访问的日志条目会表明出现了安全漏洞。
总结
在本文中,我们研究了Azure存储服务中的各种可用安全功能,并介绍了用于维护静态数据和正在传输中的数据的安全的建议做法。
保护帐户管理RBAC
正确管理存储帐户的权限至关重要。 Azure资源管理器(ARM)和基于资源的权限管理(RBAC)可以有效锁定帐户权限,并确保只有获得授权的用户才能访问和管理该服务。由于RBAC是受Azure AD驱动的,因此实施可集中进行管理、且拥有企业范围的安全策略简直易如反掌。存储资源提供程序的权限如下所示:
您可以将角色分配给特定的用户帐户、一组用户或特定的应用程序。要想进一步扩展RBAC安全模型的灵活性,您可以创建由一组操作组成的自定义角色,其中的操作来源于可在Azure资源上执行的可用操作列表。 此外,用户需要进入Azure AD才能使用RBAC管理用户权限。 后,由于所有的用户活动都被记录在Azure中,所以您可以使用如Azure监视器和日志分析这类的工具来监视和报告用户操作,从而提高安全性和合规性。
使用ARM模板执行默认安全设置
近,随着更好的资源管理策略以及更简单的Portal管理模型的问世,您已经可以在ARM模板中实施默认安全设置了。比如,您可以强制使用私人权限创建所有的存储帐户容器,并且默认禁止任何其它访问。这样一来,即便在无意中打开了公共权限的情况下,还是没有人能够创建新的存储帐户。
使用SAS令牌保护权限
使用共享访问签名(SAS)令牌是为存储帐户定义和授权真正细粒度且可管理的权限的佳机制,这是因为SAS令牌可以授予您有限且专用于操作的特权,而这些特权具有明确的有效期限,且易于撤销。一经发布之后,您必须为授权令牌提供请求或操作(URL或SDK)。
下列是基于SAS的示例请求(已将SAS特别标出)以及每个参数的详细意义
//myaccount.blo***r***dow***/mycontainer/myblobsv=2015-04-05&ss=b&srt=o&sp=r&se=2016-09-30T23:57:53Z&st=2016-09-14T15:57:53Z&spr=https&sig=BWLBIFazbsn96gJl2I0wKjkRRBaH9qvtF5qtsluulPk%3D
基于此详细解释,您很容易就能理解SAS令牌是如何使得访问变得特别明确,并仅映射到特定操作的。 为了提高SAS令牌的可用性,您可以选择分开存储访问策略,而这能允许您分别关注访问策略和SAS,而且即便在SAS发布后,它也能允许您修改和撤销权限。每个容器、表格和队列多可设有五个存储访问策略。 我们在下方为您展示了一个配有存储访问策略、且基于SAS请求的示例:
//myaccount.blo***r***dow***/mycontainer/myblob?sv=2015-04-05&si=readonlypolicy&sig=GFC…lPk%3D
以下存储帐户类型支持SAS:
· BLOB
· 文件
· 队列
· 表格
您可以通过以下方法生成SAS:
· Azure Portal
· Azure Storage Explorer
· PowerShell
· Azure CLI
· Azure SDK (.NET, Node.js etc)
下方是通过Portal创建SAS的示例
请注意,SAS还支持IP白名单,从而进一步提高安全性。
使用CORS保护访问
跨源资源共享(CORS)可以与其它策略一起使用,以便锁定对存储资源的访问。 CORS是一种W3C标准,它允许网站同意来自外部域的资源访问。例如,如果您的API在co***域下运行,那么只有位于同一域下的其它站点才能访问该API。 要想允许外部访问,您需要配置CORS访问才行。浏览器默认将脚本限制为“同源”。 Azure存储服务可以与CORS策略一起进行配置,从而允许基于浏览器的跨源应用程序,主机资讯news.webhostin***/。
使用Storage Analytics实现合规性和控制权
Azure Storage Analytics可用于进行明确记录和存储与指标相关的数据。 存储帐户的性能指标很重要——特别是当其与虚拟机(VM)结合使用时。您还可以使用相同的指标来排除存储帐户上的各种性能问题。
此外,storage analytics日志可用于增强您基础架构的安全性,还可用于主动监控可疑活动。 比如,有了BLOB存储,您就可以监控某个操作是使用共享访问签名还是存储帐户密钥的,也可以监控BLOB权限是否处于公开状态。
这意味着您可以严格保护对存储的访问权限。 例如,如果您将所有容器设置为私有状态,并通过使用SAS实施访问,那么使用其中一个存储帐户密钥来显示访问的日志条目会表明出现了安全漏洞。
总结
在本文中,我们研究了Azure存储服务中的各种可用安全功能,并介绍了用于维护静态数据和正在传输中的数据的安全的建议做法。
