Revisión de las estrategias de seguridad de Azure Storage
Los administradores usan distintas estrategias para garantizar que sus datos estén seguros. Entre los enfoques comunes se incluyen el cifrado, la autenticación, la autorización y el control de acceso de usuarios con credenciales, permisos de archivo y firmas privadas. Azure Storage ofrece un conjunto de funcionalidades de seguridad basadas en estrategias comunes que le ayudarán a proteger los datos.
Cosas que debe saber sobre las estrategias de seguridad de Azure Storage
Veamos algunas de las características de seguridad de Azure Storage.
Cifrado en reposo. Storage Service Encryption (SSE) con un cifrado Estándar de cifrado avanzado (AES) de 256 bits cifra todos los datos escritos en Azure Storage. Cuando se leen datos de Azure Storage, este descifra los datos antes de devolverlos. Este proceso no supone ningún cargo adicional ni afecta al rendimiento. No se puede deshabilitar.
Autenticación. Microsoft Entra ID y el control de acceso basado en roles (RBAC) son compatibles con Azure Storage para las operaciones de administración de recursos y las operaciones de datos.
- Asigne roles RBAC en el ámbito de la cuenta de almacenamiento de Azure a las entidades de seguridad y use Microsoft Entra ID para autorizar las operaciones de administración de recursos, como la administración de claves.
- La integración de Microsoft Entra se admite para las operaciones de datos en Azure Blob Storage y Azure Queue Storage.
Cifrado en tránsito. Mantenga los datos protegidos al habilitar la seguridad de nivel de transporte entre Azure y el cliente. Use siempre HTTPS para proteger la comunicación a través de Internet. Cuando llame a las API de REST para acceder a objetos de cuentas de almacenamiento, puede aplicar HTTPS al exigir transferencia segura para la cuenta de almacenamiento. Después de habilitar la transferencia segura, se rechazan las conexiones que usan HTTP. Esta marca también aplica la transferencia segura a través de SMB al exigir SMB 3.0 para todos los montajes de recursos compartidos de archivos.
Cifrado de discos. En el caso de las máquinas virtuales (VM), Azure permite cifrar los discos duros virtuales (VHD) mediante Azure Disk Encryption. Este cifrado usa imágenes de BitLocker para Windows y dm-crypt para Linux. Azure Key Vault almacena las claves automáticamente para ayudar a controlar y administrar los secretos y las claves del cifrado de discos. Así, aunque alguien obtenga acceso a la imagen del disco duro virtual y la descargue, no puede acceder a los datos que contiene.
Firmas de acceso compartido. Se puede conceder acceso delegado a los objetos de datos en Azure Storage mediante el uso de una firma de acceso compartido (SAS).
Autorización. Todas las solicitudes que se realicen en un recurso protegido en Blob Storage, Azure Files, Queue Storage o Azure Cosmos DB (Azure Table Storage) deben estar autorizadas. La autorización garantiza que los recursos de la cuenta de almacenamiento estén accesibles únicamente cuando así lo quiera y solo para los usuarios o las aplicaciones a los que conceda acceso.
Cosas que deben tenerse en cuenta al usar la seguridad de autorización
Revise las estrategias siguientes para autorizar solicitudes en Azure Storage. Piense en qué estrategias de seguridad funcionarían para su instancia de Azure Storage.
| Estrategia de autorización | Descripción |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID es el servicio de administración de identidades y acceso basada en la nube de Microsoft. Con Microsoft Entra ID, puede asignar acceso específico a usuarios, grupos o aplicaciones mediante el control de acceso basado en roles. |
| Clave compartida | La autorización de clave compartida se basa en las claves de acceso de la cuenta de almacenamiento de Azure y en otros parámetros para generar una cadena de firma cifrada. La cadena se pasa en la solicitud, en el encabezado de autorización. |
| Firmas de acceso compartido | Una firma de acceso compartido (SAS) delega el acceso a un recurso determinado de la cuenta de almacenamiento de Azure con los permisos especificados y durante un intervalo de tiempo concreto. |
| Acceso anónimo a contenedores y blobs | Opcionalmente, puede hacer que los recursos de blobs se hagan públicos en los contenedores o blobs. Cualquier usuario puede acceder a un contenedor o blob público para consultarlo de forma anónima. Las solicitudes de lectura para contenedores y blobs públicos no requieren autorización. |