Blob depolama için güvenlik önerileri

Bu makale Blob depolama için güvenlik önerileri içerir. Bu önerileri uygulamak, paylaşılan sorumluluk modelinde açıklandığı gibi güvenlik yükümlülüklerinizi yerine getirmenize yardımcı olur. Microsoft'un hizmet sağlayıcısı sorumluluklarını nasıl yerine getirmesi hakkında daha fazla bilgi için bkz . Bulutta paylaşılan sorumluluk.

Bu makalede yer alan önerilerden bazıları, Azure'daki kaynaklarınızı korumanın ilk savunma hattı olan Bulut için Microsoft Defender tarafından otomatik olarak izlenebilir. Bulut için Microsoft Defender hakkında bilgi için bkz. Bulut için Microsoft Defender nedir?

Bulut için Microsoft Defender olası güvenlik açıklarını belirlemek için Azure kaynaklarınızın güvenlik durumunu düzenli aralıklarla analiz eder. Daha sonra bunları ele almak için size öneriler sağlar. Bulut için Microsoft Defender önerileri hakkında daha fazla bilgi için bkz. Güvenlik önerilerinizi gözden geçirme.

Veri koruması

Öneri Açıklamalar Bulut için Defender
Azure Resource Manager dağıtım modelini kullanma Üstün Azure rol tabanlı erişim denetimi (Azure RBAC) ve denetim, Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için Azure Key Vault erişimi ve Azure Depolama verilerine ve kaynaklarına erişim için Microsoft Entra kimlik doğrulaması ve yetkilendirme gibi önemli güvenlik geliştirmeleri için Azure Resource Manager dağıtım modelini kullanarak yeni depolama hesapları oluşturun. Mümkünse, Azure Resource Manager'ı kullanmak için klasik dağıtım modelini kullanan mevcut depolama hesaplarını geçirin. Azure Resource Manager hakkında daha fazla bilgi için bkz . Azure Resource Manager'a genel bakış. -
Tüm depolama hesaplarınız için Microsoft Defender'u etkinleştirme Depolama için Microsoft Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir güvenlik zekası katmanı sağlar. Güvenlik uyarıları, etkinlikte anomaliler oluştuğunda Bulut için Microsoft Defender tetiklenir ve ayrıca şüpheli etkinliğin ayrıntıları ve tehditleri araştırma ve düzeltme önerileriyle birlikte abonelik yöneticilerine e-posta yoluyla gönderilir. Daha fazla bilgi için bkz. Depolama için Microsoft Defender'ı yapılandırma. Evet
Bloblar için geçici silmeyi etkinleştir Bloblar için geçici silme, blob verileri silindikten sonra kurtarmanıza olanak tanır. Bloblar için geçici silme hakkında daha fazla bilgi için bkz. Azure Depolama blobları için geçici silme. -
Kapsayıcılar için geçici silmeyi açma Kapsayıcılar için geçici silme, bir kapsayıcı silindikten sonra kurtarmanıza olanak tanır. Kapsayıcılar için geçici silme hakkında daha fazla bilgi için bkz . Kapsayıcılar için geçici silme. -
Yanlışlıkla veya kötü amaçlı silme veya yapılandırma değişikliklerini önlemek için depolama hesabını kilitleme Hesabı yanlışlıkla veya kötü amaçlı silme veya yapılandırma değişikliğine karşı korumak için depolama hesabınıza bir Azure Resource Manager kilidi uygulayın. Depolama hesabını kilitlemek, bu hesaptaki verilerin silinmesini engellemez. Yalnızca hesabın silinmesini engeller. Daha fazla bilgi için bkz . Depolama hesabına Azure Resource Manager kilidi uygulama.
İş açısından kritik verileri sabit bloblarda depolama Blob verilerini WORM (Bir Kez Yaz, Çok Oku) durumunda depolamak için yasal tutmaları ve zamana bağlı saklama ilkelerini yapılandırın. Kalıcı olarak depolanan bloblar okunabilir, ancak bekletme aralığı boyunca değiştirilemez veya silinemez. Daha fazla bilgi için bkz . İş açısından kritik blob verilerini sabit depolama ile depolama. -
Depolama hesabına güvenli aktarım (HTTPS) gerektir Depolama hesabı için güvenli aktarıma ihtiyacınız olduğunda, depolama hesabına yönelik tüm isteklerin HTTPS üzerinden yapılması gerekir. HTTP üzerinden yapılan tüm istekler reddedilir. Microsoft, tüm depolama hesaplarınız için her zaman güvenli aktarım gerektirmenizi önerir. Daha fazla bilgi için bkz . Güvenli bağlantıları sağlamak için güvenli aktarım gerektirme. -
Paylaşılan erişim imzası (SAS) belirteçlerini yalnızca HTTPS bağlantılarıyla sınırla İstemci blob verilerine erişmek için SAS belirteci kullandığında HTTPS gerektirmek, dinleme riskini en aza indirmeye yardımcı olur. Daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. -
Kiracılar arası nesne çoğaltmaya izin verme Varsayılan olarak, yetkili bir kullanıcının kaynak hesabın bir Microsoft Entra kiracısında ve hedef hesabın farklı bir kiracıda olduğu bir nesne çoğaltma ilkesi yapılandırmasına izin verilir. Bir nesne çoğaltma ilkesine katılan kaynak ve hedef hesapların aynı kiracıda olmasını gerektirmek için kiracılar arası nesne çoğaltmasına izin verme. Daha fazla bilgi için bkz . Microsoft Entra kiracıları arasında nesne çoğaltmayı engelleme. -

Kimlik ve erişim yönetimi

Öneri Açıklamalar Bulut için Defender
Blob verilerine erişimi yetkilendirmek için Microsoft Entra Kimliğini kullanma Microsoft Entra ID, Blob depolamaya yönelik istekleri yetkilendirmek için Paylaşılan Anahtar üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Daha fazla bilgi için bkz. Azure Depolama'da verilere erişimi yetkilendirme. -
Azure RBAC aracılığıyla bir Microsoft Entra güvenlik sorumlusuna izin atarken en az ayrıcalık ilkesini aklınızda bulundurun Kullanıcıya, gruba veya uygulamaya rol atarken, bu güvenlik sorumlusuna yalnızca görevlerini gerçekleştirmesi için gereken izinleri verin. Kaynaklara erişimi sınırlamak, verilerinizin hem kasıtsız hem de kötü amaçlı kötüye kullanılmasını önlemeye yardımcı olur. -
İstemcilere blob verilerine sınırlı erişim vermek için kullanıcı temsilcisi SAS kullanma Kullanıcı temsilcisi SAS'sinin güvenliği Microsoft Entra kimlik bilgileriyle ve SAS için belirtilen izinlerle sağlanır. Kullanıcı temsilcisi SAS,kapsamı ve işlevi bakımından bir hizmet SAS'sine benzer, ancak hizmet SAS'sine göre güvenlik avantajları sunar. Daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. -
Azure Key Vault ile hesap erişim anahtarlarınızın güvenliğini sağlama Microsoft, Azure Depolama istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını önerir. Ancak Paylaşılan Anahtar yetkilendirmesini kullanmanız gerekiyorsa Azure Key Vault ile hesap anahtarlarınızın güvenliğini sağlayın. Anahtarları uygulamanıza kaydetmek yerine çalışma zamanında anahtar kasasından alabilirsiniz. Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault'a genel bakış. -
Hesap anahtarlarınızı düzenli aralıklarla yeniden oluşturun Hesap anahtarlarının düzenli aralıklarla döndürülmesi, verilerinizi kötü amaçlı aktörlere ifşa etme riskini azaltır. -
Paylaşılan Anahtar yetkilendirmeye izin verme Depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermediğinizde, Azure Depolama bu hesaba yönelik hesap erişim anahtarlarıyla yetkilendirilmiş sonraki tüm istekleri reddeder. Yalnızca Microsoft Entra Id ile yetkilendirilmiş güvenli istekler başarılı olur. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme. -
SAS'ye izin atarken en az ayrıcalık ilkesini aklınızda bulundurun SAS oluştururken, yalnızca istemcinin işlevini gerçekleştirmesi için gereken izinleri belirtin. Kaynaklara erişimi sınırlamak, verilerinizin hem kasıtsız hem de kötü amaçlı kötüye kullanılmasını önlemeye yardımcı olur. -
İstemcilere yayımladığınız tüm SAS'ler için bir iptal planı oluşturun Bir SAS'nin güvenliği aşılırsa, bu SAS'yi mümkün olan en kısa sürede iptal etmek istersiniz. Kullanıcı temsilcisi SAS'sini iptal etmek için kullanıcı temsilcisi anahtarını iptal edin ve bu anahtarla ilişkili tüm imzaları hızla geçersiz kılın. Depolanan erişim ilkesiyle ilişkili bir hizmet SAS'sini iptal etmek için, depolanan erişim ilkesini silebilir, ilkeyi yeniden adlandırabilir veya süre sonu süresini geçmişteki bir zamana değiştirebilirsiniz. Daha fazla bilgi için bkz. Paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. -
Bir hizmet SAS'i depolanmış erişim ilkesiyle ilişkilendirilmemişse, süre sonu süresini bir saat veya daha kısa olarak ayarlayın Depolanan erişim ilkesiyle ilişkili olmayan bir hizmet SAS'i iptal edilemez. Bu nedenle, SAS'nin bir saat veya daha az süreyle geçerli olması için süre sonu süresini sınırlamak önerilir. -
Kapsayıcılara ve bloblara anonim okuma erişimini devre dışı bırakma bir kapsayıcıya ve bloblarına anonim okuma erişimi, bu kaynaklara herhangi bir istemciye salt okunur erişim verir. Senaryonuz bunu gerektirmediği sürece anonim okuma erişimini etkinleştirmekten kaçının. Depolama hesabına anonim erişimi devre dışı bırakma hakkında bilgi edinmek için bkz . Genel Bakış: Blob verileri için anonim okuma erişimini düzeltme. -

Öneri Açıklamalar Bulut için Defender
Depolama hesabı için gereken en düşük Aktarım Katmanı Güvenliği (TLS) sürümünü yapılandırın. İstemcilerin, bir Azure Depolama hesabı için en düşük TLS sürümünü yapılandırarak istekte bulunmak için TLS'nin daha güvenli bir sürümünü kullanmasını zorunlu kılar. Daha fazla bilgi için bkz . Depolama hesabı için Aktarım Katmanı Güvenliği'nin (TLS) gerekli en düşük sürümünü yapılandırma -
Tüm depolama hesaplarınızda Güvenli aktarım gerekli seçeneğini etkinleştirin Güvenli aktarım gerekli seçeneğini etkinleştirdiğinizde, depolama hesabından yapılan tüm isteklerin güvenli bağlantılar üzerinden gerçekleşmesi gerekir. HTTP üzerinden yapılan istekler başarısız olur. Daha fazla bilgi için bkz. Azure Depolama'da güvenli aktarım gerektirme. Evet
Güvenlik duvarı kurallarını etkinleştirme Depolama hesabınıza erişimi belirtilen IP adreslerinden veya aralıklardan veya Azure Sanal Ağ (VNet) alt ağ listesinden kaynaklanan isteklerle sınırlandırmak için güvenlik duvarı kurallarını yapılandırın. Güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma. -
Güvenilen Microsoft hizmetleri depolama hesabına erişmesine izin ver İstekler bir Azure Sanal Ağ (VNet) içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece, depolama hesabınız için güvenlik duvarı kurallarının açılması varsayılan olarak gelen veri isteklerini engeller. Engellenen istekler arasında diğer Azure hizmetlerinden, Azure portalından, günlüğe kaydetme ve ölçüm hizmetlerinden vb. gelen istekler bulunur. Güvenilen Microsoft hizmetleri depolama hesabına erişmesine izin vermek için bir özel durum ekleyerek diğer Azure hizmetlerinden gelen isteklere izin vekleyebilirsiniz. Güvenilen Microsoft hizmetleri için özel durum ekleme hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma. -
Özel uç noktaları kullanma Özel uç nokta, Azure Sanal Ağ 'nizden (VNet) depolama hesabına özel bir IP adresi atar. Özel bir bağlantı üzerinden sanal ağınızla depolama hesabınız arasındaki tüm trafiğin güvenliğini sağlar. Özel uç noktalar hakkında daha fazla bilgi için bkz. Azure Özel Uç Noktası kullanarak depolama hesabına özel Bağlan. -
Sanal ağ hizmet etiketlerini kullanma Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Azure Depolama tarafından desteklenen hizmet etiketleri hakkında daha fazla bilgi için bkz. Azure hizmet etiketlerine genel bakış. Giden ağ kuralları oluşturmak için hizmet etiketlerini kullanmayı gösteren bir öğretici için bkz . PaaS kaynaklarına erişimi kısıtlama. -
Ağ erişimini belirli ağlara sınırlama Erişim gerektiren istemcileri barındıran ağlara ağ erişimini sınırlamak, kaynaklarınızın ağ saldırılarına maruz kalmasını azaltır. Evet
Ağ yönlendirme tercihini yapılandırma Ağ trafiğinin Microsoft genel ağını veya İnternet yönlendirmesini kullanarak İnternet üzerinden istemcilerden hesabınıza nasıl yönlendirileceğini belirtmek için Azure depolama hesabınız için ağ yönlendirme tercihini yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Depolama için ağ yönlendirme tercihi yapılandırma. -

Günlüğe Kaydetme/İzleme

Öneri Açıklamalar Bulut için Defender
İsteklerin nasıl yetkilendirildilerini izleme Hizmete yönelik isteklerin yetkilendirilme şeklini izlemek için Azure Depolama için günlüğe kaydetmeyi etkinleştirin. Günlükler, bir isteğin anonim olarak, OAuth 2.0 belirteci kullanılarak mı, Paylaşılan Anahtar kullanılarak mı yoksa paylaşılan erişim imzası (SAS) kullanılarak mı yapıldığını gösterir. Daha fazla bilgi için bkz. Azure İzleyici ile izleme Azure Blob Depolama veya Klasik İzleme ile Azure Depolama analiz günlüğü. -
Azure İzleyici'de uyarıları ayarlama Kaynak günlüklerini belirli bir sıklıkta değerlendirmek için günlük uyarılarını yapılandırın ve sonuçlara göre bir uyarı tetikleyin. Daha fazla bilgi için bkz . Azure İzleyici'de uyarıları günlüğe kaydetme. -

Sonraki adımlar