Raccomandazioni di sicurezza per l'archiviazione BLOB
Questo articolo contiene raccomandazioni sulla sicurezza per l'Archivio BLOB. Implementando queste raccomandazioni sarà possibile adeguarsi gli obblighi di sicurezza descritti nel modello di responsabilità condivisa. Per altre informazioni su come Microsoft soddisfa le responsabilità del provider di servizi, vedere Responsabilità condivisa nel cloud.
Alcune delle raccomandazioni incluse in questo articolo possono essere monitorate automaticamente da Microsoft Defender for Cloud, che è la prima linea di difesa per proteggere le risorse in Azure. Per informazioni su Microsoft Defender for Cloud, vedere Che cos'è Microsoft Defender for Cloud?
Microsoft Defender for Cloud analizzerà periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità. e fornisce raccomandazioni per affrontarle in modo efficace. Per altre informazioni sulle raccomandazioni di Microsoft Defender for Cloud, vedere Esaminare le raccomandazioni sulla sicurezza.
Protezione dei dati
| Elemento consigliato | Commenti | Defender for Cloud |
|---|---|---|
| Usare il modello di distribuzione di Azure Resource Manager | Creare nuovi account di archiviazione usando il modello di distribuzione di Azure Resource Manager per importanti miglioramenti alla sicurezza, tra cui un controllo degli accessi in base al ruolo di Azure di livello superiore, distribuzione e governance basate su Resource Manager, l'accesso alle identità gestite, l'accesso ad Azure Key Vault per i segreti, nonché l'autenticazione e l'autorizzazione per l'accesso ai dati e alle risorse di Archiviazione di Azure. Se possibile, eseguire la migrazione degli account di archiviazione esistenti che usano il modello di distribuzione classica per usare Azure Resource Manager. Per altre informazioni su Resource Manager, vedere Panoramica di Azure Resource Manager. | - |
| Abilitare Microsoft Defender per tutti gli account di archiviazione | Microsoft Defender for Storage offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Gli avvisi di sicurezza vengono attivati in Microsoft Defender for Cloud quando si verificano anomalie nell'attività e vengono inviati anche tramite posta elettronica agli amministratori delle sottoscrizioni, con informazioni dettagliate sulle attività sospette e raccomandazioni su come analizzare e correggere le minacce. Per altre informazioni, vedere Configurare Microsoft Defender for Storage. | Sì |
| Attiva l'eliminazione temporanea per i BLOB | L'eliminazione temporanea per i BLOB consente di recuperare i dati BLOB dopo l'eliminazione. Per altre informazioni sull'eliminazione temporanea per i BLOB, vedere Eliminazione temporanea per i BLOB di Archiviazione di Azure. | - |
| Attiva l'eliminazione temporanea per i contenitori | L'eliminazione temporanea per i contenitori consente di ripristinare un contenitore dopo l'eliminazione. Per altre informazioni sull'eliminazione temporanea per i contenitori, vedere Eliminazione temporanea per i contenitori. | - |
| Bloccare l'account di archiviazione per evitare l'eliminazione o l'esecuzione di modifiche alla configurazione in modo accidentale o malintenzionato | Applicare un blocco di Azure Resource Manager all'account di archiviazione per proteggere l'account da eliminazioni o modifiche di configurazione accidentali o dannose. Il blocco di un account di archiviazione non impedisce l'eliminazione dei dati all'interno di tale account. Impedisce solo l'eliminazione dell'account stesso. Per altre informazioni, vedere Applicare un blocco di Azure Resource Manager a un account di archiviazione. | |
| Archiviare dati business critical in BLOB non modificabili | Configurare blocchi legali e criteri di conservazione basati sul tempo per archiviare i dati BLOB in uno stato WORM (Write Once, Read Many). I BLOB archiviati in modo non modificabile possono essere letti, ma non possono essere modificati o eliminati per la durata dell'intervallo di conservazione. Per altre informazioni, vedere Archiviare dati di BLOB critici con archiviazione non modificabile. | - |
| Richiedere il trasferimento sicuro (HTTPS) nell'account di archiviazione | Quando è necessario trasferire in modo sicuro per un account di archiviazione, tutte le richieste all'account di archiviazione devono essere effettuate tramite HTTPS. Tutte le richieste effettuate tramite HTTP vengono rifiutate. Microsoft consiglia di richiedere sempre il trasferimento sicuro per tutti gli account di archiviazione. Per altre informazioni, vedere Richiedere il trasferimento sicuro per garantire connessioni sicure. | - |
| Limitare i token di firma di accesso condiviso (SAS) solo alle connessioni HTTPS | Richiedere una connessione HTTPS quando un client usa un token di firma di accesso condiviso per accedere ai dati BLOB consente di ridurre al minimo il rischio di intercettazione. Per altre informazioni, vedere Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso. | - |
| Non consentire la replica di oggetti tra tenant | Per impostazione predefinita, un utente autorizzato può configurare un criterio di replica di oggetti in cui l'account di origine si trova in un tenant Microsoft Entra e l'account di destinazione si trova in un tenant diverso. Non consentire la replica di oggetti tra tenant per richiedere che gli account di origine e di destinazione che partecipano a un criterio di replica di oggetti si trovino nello stesso tenant. Per altre informazioni, vedere Impedire la replica degli oggetti nei tenant di Microsoft Entra. | - |
Gestione delle identità e dell'accesso
| Elemento consigliato | Commenti | Defender for Cloud |
|---|---|---|
| Usare Microsoft Entra ID per autorizzare l'accesso ai dati BLOB | Microsoft Entra ID offre maggiore sicurezza e facilità d'uso rispetto alla chiave condivisa per autorizzare le richieste all'Archivio BLOB. Per altre informazioni, vedere Autorizzare l'accesso ai dati in Archiviazione di Azure. | - |
| Tenere presente il principio dei privilegi minimi quando si assegnano autorizzazioni a un'entità di sicurezza Microsoft Entra tramite il controllo degli accessi in base al ruolo di Azure | Quando si assegna un ruolo a un utente, un gruppo o a un'applicazione, concedere a tale entità di sicurezza solo le autorizzazioni necessarie per svolgere le loro attività. La limitazione dell'accesso alle risorse consente di evitare un uso improprio non intenzionale e dannoso dei dati. | - |
| Usare una firma di accesso condiviso della delega utente per concedere l'accesso limitato ai dati BLOB ai client | Una firma di accesso condiviso di delega utente è protetta con le credenziali di Microsoft Entra e anche dalle autorizzazioni specificate per la firma di accesso condiviso. Una firma di accesso condiviso della delega utente è analoga a una firma di accesso condiviso del servizio in termini di ambito e funzione, ma offre vantaggi di sicurezza rispetto alla firma di accesso condiviso del servizio. Per altre informazioni, vedere Concedere l'accesso limitato alle risorse di Archiviazione di Azure usando firme di accesso condiviso (SAS). | - |
| Proteggere le chiavi di accesso dell'account con Azure Key Vault | Microsoft consiglia di usare Microsoft Entra ID per autorizzare le richieste ad Archiviazione di Azure. Tuttavia, se è necessario usare l'autorizzazione con chiave condivisa, proteggere le chiavi dell'account con Azure Key Vault. È possibile recuperare le chiavi dall'insieme di credenziali delle chiavi in fase di esecuzione, anziché salvarle con l'applicazione. Per altre informazioni sull'insieme di credenziali di Azure, vedere Panoramica di Azure Key Vault. | - |
| Rigenerare periodicamente le chiavi dell'account | La rotazione periodica delle chiavi dell'account riduce il rischio di esporre i dati ad attori malintenzionati. | - |
| Non consentire l'autorizzazione della chiave condivisa | Quando si impedisce l'autorizzazione con chiave condivisa per un account di archiviazione, Archiviazione di Azure rifiuta tutte le richieste successive a tale account autorizzate con le chiavi di accesso dell'account. Solo le richieste protette autorizzate con Microsoft Entra ID avranno esito positivo. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure. | - |
| Tenere presente il principio dei privilegi minimi quando si assegnano autorizzazioni a una firma di accesso condiviso | Quando si crea una firma di accesso condiviso, specificare solo le autorizzazioni richieste dal client per eseguire la relativa funzione. La limitazione dell'accesso alle risorse consente di evitare un uso improprio non intenzionale e dannoso dei dati. | - |
| Disporre di un piano di revoca per qualsiasi firma di accesso condiviso che si rilascia ai client | Se una firma di accesso condiviso viene compromessa, sarà necessario revocare tale firma di accesso condiviso il prima possibile. Per revocare una firma di accesso condiviso di delega utente, revocare la chiave di delega utente per invalidare rapidamente tutte le firme associate a tale chiave. Per revocare una firma di accesso condiviso del servizio associata a criteri di accesso, è possibile eliminare i criteri di accesso archiviati, rinominare i criteri o impostarne la scadenza nel passato. Per altre informazioni, vedere Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso. | - |
| Se una firma di accesso condiviso del servizio non è associata a un criterio di accesso archiviato, impostare l'ora di scadenza su un'ora o meno | Non è possibile revocare una firma di accesso condiviso del servizio non associata a un criterio di accesso archiviato. Per questo motivo, è consigliabile limitare l'ora di scadenza in modo che la firma di accesso condiviso sia valida per un'ora o meno. | - |
| Disabilitare l'accesso in lettura anonimo a contenitori e BLOB | l'accesso in lettura anonimo a un contenitore e i relativi BLOB concedono l'accesso in sola lettura a tali risorse a qualsiasi client. Evitare di abilitare l'accesso in lettura anonimo, a meno che lo scenario non lo richieda. Per informazioni su come disabilitare l'accesso anonimo per un account di archiviazione, vedere Panoramica di : Correzione dell'accesso in lettura anonimo per i dati BLOB. | - |
Rete
| Elemento consigliato | Commenti | Defender for Cloud |
|---|---|---|
| Configurare la versione minima richiesta di Transport Layer Security (TLS) per un account di archiviazione. | Richiedere che i client usino una versione più sicura di TLS per effettuare richieste su un account di archiviazione di Azure configurando la versione minima di TLS per tale account. Per altre informazioni, vedere Configurare la versione minima richiesta di Transport Layer Security (TLS) per un account di archiviazione | - |
| Abilitare l'opzione Trasferimento sicuro obbligatorio per tutti gli account di archiviazione | Quando si abilita l'opzione Trasferimento sicuro obbligatorio, tutte le richieste per l'account di archiviazione devono essere effettuate su connessioni sicure. Tutte le richieste effettuate su HTTP avranno esito negativo. Per altre informazioni, vedere Richiedere il trasferimento sicuro in Archiviazione di Azure. | Sì |
| Abilitare le regole del firewall | Configurare le regole del firewall per limitare l'accesso all'account di archiviazione alle richieste provenienti da intervalli o indirizzi IP specifici o da un determinato elenco di subnet in una rete virtuale di Azure. Per altre informazioni sulla configurazione delle regole del firewall, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure. | - |
| Consentire ai servizi Microsoft attendibili di accedere all'account di archiviazione | L'attivazione delle regole firewall per l'account di archiviazione blocca le richieste in ingresso per i dati per impostazione predefinita, a meno che le richieste non provengano da un servizio in esecuzione all'interno di una rete virtuale di Azure o da indirizzi IP pubblici consentiti. Le richieste che vengono bloccate sono quelle che provengono da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via. È possibile autorizzare le richieste provenienti da altri servizi di Azure aggiungendo un'eccezione per consentire ai servizi Microsoft attendibili l'accesso all'account di archiviazione. Per altre informazioni sull'aggiunta di un'eccezione per servizi Microsoft attendibili, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure. | - |
| Usare endpoint privati | Un endpoint privato assegna un indirizzo IP privato dalla rete virtuale di Azure all'account di archiviazione. Protegge tutto il traffico tra la rete virtuale e l'account di archiviazione tramite un collegamento privato. Per altre informazioni sugli endpoint privati, vedere Connettersi privatamente a un account di archiviazione usando l'endpoint privato di Azure. | - |
| Usare i tag del servizio di rete virtuale | Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi. Per altre informazioni sui tag di servizio supportati da Archiviazione di Azure, vedere la panoramica dei tag del servizio di Azure. Per un'esercitazione che illustra come usare i tag del servizio per creare regole di rete in uscita, vedere Limitare l'accesso alle risorse PaaS. | - |
| Limitare l'accesso alla rete a reti specifiche | La limitazione dell'accesso di rete alle reti che ospitano i client che richiedono l'accesso riduce l'esposizione delle risorse agli attacchi di rete. | Sì |
| Configurare la preferenza di routing di rete | È possibile configurare le preferenze di routing di rete per l'account di archiviazione di Azure per specificare il modo in cui il traffico di rete viene instradato all'account dai client tramite Internet usando la rete globale Microsoft o il routing Internet. Per altre informazioni, vedere Configurare le preferenze di routing di rete per Archiviazione di Azure. | - |
Registrazione/monitoraggio
| Elemento consigliato | Commenti | Defender for Cloud |
|---|---|---|
| Tenere traccia del modo in cui le richieste sono autorizzate | Abilitare la registrazione per Archiviazione di Azure per tenere traccia delle modalità di autorizzazione delle richieste al servizio. I log indicano se una richiesta è stata effettuata in modo anonimo, usando un token OAuth 2.0, usando la chiave condivisa o una firma di accesso condiviso. Per altre informazioni, vedere Monitoraggio Archivio BLOB di Azure con monitoraggio di Azure o registrazione dell'analisi di Archiviazione di Azure con monitoraggio classico. | - |
| Configurare gli avvisi in Monitoraggio di Azure | Configurare gli avvisi di log per valutare i log delle risorse a una frequenza impostata e generare un avviso in base ai risultati. Per altre informazioni, vedere avvisi di log in Monitoraggio di Azure. | - |