Exploración de las características de seguridad de Azure Storage
Contoso depende en gran medida de grandes cantidades de datos de Azure Storage. Sus muchas aplicaciones dependen de recursos compartidos de archivos basados en blobs, almacenamiento de tablas no estructurado, Azure Data Lake y Bloque de mensajes del servidor (SMB).
Después de que el competidor de Contoso haya sufrido una vulneración de datos, Contoso encarga al administrador de red que compruebe la seguridad de los datos de la organización. Como consultor de datos de Contoso, usted asegura al administrador de red que las cuentas de Azure Storage proporcionan varias ventajas de seguridad de alto nivel para los datos en la nube:
- Protección de los datos en reposo
- Protección de los datos en tránsito
- Compatibilidad con el acceso entre dominios del explorador
- Control de quién puede acceder a los datos
- Auditoría de acceso de almacenamiento
Cifrado en reposo
Todos los datos escritos en Azure Storage se cifran automáticamente mediante Storage Service Encryption (SSE) con un cifrado Estándar de cifrado avanzado (AES) de 256 bits, ya que es compatible con FIPS 140-2. SSE cifra automáticamente los datos cuando se escriben en Azure Storage. Cuando se leen datos de Azure Storage, este descifra los datos antes de devolverlos. Este proceso no supone ningún cargo adicional ni afecta al rendimiento. No se puede deshabilitar.
En el caso de las máquinas virtuales (VM), Azure permite cifrar los discos duros virtuales (VHD) mediante Azure Disk Encryption. Este cifrado usa imágenes de BitLocker para Windows y dm-crypt para Linux.
Azure Key Vault almacena las claves automáticamente para ayudar a controlar y administrar los secretos y las claves del cifrado de discos. Así, aunque alguien obtenga acceso a la imagen del disco duro virtual y la descargue, no puede acceder a los datos que contiene.
Cifrado en tránsito
Mantenga los datos protegidos al habilitar la seguridad de nivel de transporte entre Azure y el cliente. Use siempre HTTPS para proteger la comunicación a través de Internet. Cuando llame a las API de REST para acceder a objetos de cuentas de almacenamiento, puede aplicar HTTPS al exigir transferencia segura para la cuenta de almacenamiento. Después de habilitar la transferencia segura, se rechazan las conexiones que usan HTTP. Esta marca también aplica la transferencia segura a través de SMB al exigir SMB 3.0 para todos los montajes de recursos compartidos de archivos.
Compatibilidad con CORS
Contoso almacena varios tipos de recursos de sitio web en Azure Storage. Estos tipos incluyen imágenes y vídeos. Para proteger las aplicaciones de explorador, Contoso bloquea las solicitudes GET a dominios concretos.
Azure Storage admite el acceso entre dominios mediante Uso compartido de recursos entre orígenes (CORS). CORS usa encabezados HTTP para que una aplicación web en un dominio pueda acceder a recursos de un servidor en otro dominio. Con CORS, las aplicaciones web se aseguran de cargar únicamente contenido autorizado de fuentes autorizadas.
La compatibilidad con CORS es una marca opcional que se puede habilitar en las cuentas de almacenamiento. La marca agrega los encabezados adecuados al usar solicitudes HTTP GET para recuperar recursos de la cuenta de almacenamiento.
Control de acceso basado en rol
Para acceder a los datos de una cuenta de almacenamiento, el cliente realiza una solicitud a través de HTTP o HTTPS. Cada solicitud a un recurso seguro debe autorizarse. El servicio garantiza que el cliente tenga los permisos necesarios para acceder a los datos. Puede elegir entre varias opciones de acceso. Posiblemente, la opción más flexible sea el acceso basado en roles.
Azure Storage es compatible con Microsoft Entra ID y el control de acceso basado en rol (RBAC) para operaciones de administración de recursos y de datos. Para las entidades de seguridad, puede asignar roles de RBAC que se limiten a la cuenta de almacenamiento. Puede usar Active Directory para autorizar operaciones de administración de recursos, como la configuración. Active Directory se admite en las operaciones de datos de Blob y Queue Storage.
Puede asignar roles RBAC a una entidad de seguridad o una identidad administrada de recursos de Azure limitados a una suscripción, un grupo de recursos, una cuenta de almacenamiento, un contenedor individual o una cola.
Auditoría de acceso
La auditoría es otra parte del control de acceso. Puede auditar el acceso de Azure Storage mediante el servicio Storage Analytics integrado.
Storage Analytics registra cada operación en tiempo real, lo que permite al usuario buscar solicitudes específicas en los registros de Storage Analytics. Puede filtrar por el mecanismo de autenticación, el éxito de la operación o el recurso al que se ha accedido.