將 零信任 原則套用至 Azure 記憶體
注意
即將推出的 Livestream 在討論本文時加入 Azure FastTrack 小組。 2024 年 10 月 23 日 |上午 10:00 - 上午 11:00 (UTC-07:00) 太平洋時間 (美國和加拿大)。 在這裡註冊。
摘要:若要將 零信任 原則套用至 Azure 記憶體,您必須保護數據(待用、傳輸中和使用中)、驗證使用者和控制存取、使用網路控制來分隔或隔離重要數據,並使用適用於記憶體的 Defender 進行自動化威脅偵測和保護。
本文提供將 零信任 原則套用至 Azure 儲存體 的步驟:
| 零信任 原則 | 定義 | 符合者 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 | 確認使用者認證和存取權。 |
| 使用最低權限存取 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 | 使用最低許可權控制記憶體數據的存取權。 |
| 假設缺口 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 | 保護待用數據、傳輸中的數據,以及使用中的數據。 使用網路控件分隔重要數據。 使用適用於記憶體的Defender進行自動化威脅偵測和保護。 |
本文是一系列文章的一部分,示範如何在 Azure 中將 零信任 原則套用至包含 Azure 儲存體 服務以支援 IaaS 工作負載的環境。 如需概觀,請參閱將 零信任 原則套用至 Azure 基礎結構。
Azure 中的記憶體架構
您可以將 零信任 原則套用至整個架構的 Azure 儲存體,從租用戶和目錄層級向下套用至數據層的記憶體容器。
下圖顯示邏輯架構元件。
在此圖表中:
- 參考架構的記憶體帳戶包含在專用的資源群組中。 您可以隔離不同資源群組中的每個記憶體帳戶,以取得更細微的角色型訪問控制 (RBAC)。 您可以指派 RBAC 許可權來管理資源群組或資源群組層級的記憶體帳戶,並使用 Microsoft Entra ID 記錄和特殊許可權身分識別管理等工具稽核這些帳戶。 如果您在一個 Azure 訂用帳戶中執行多個具有多個對應記憶體帳戶的應用程式或工作負載,請務必將每個記憶體帳戶的 RBAC 許可權限制為其對應的擁有者、數據監管人、控制器等。
- 此圖表的 Azure 記憶體服務包含在專用記憶體帳戶內。 您可以針對每種記憶體工作負載類型擁有一個記憶體帳戶。
- 如需參考架構的更廣泛探討,請參閱將 零信任 原則套用至 Azure IaaS 概觀。
圖表不包含 Azure 佇列和 Azure 資料表。 使用本文中的相同指引來保護這些資源。
本文的內容為何?
本文將逐步解說在參考架構中套用 零信任 原則的步驟。
| 步驟 | Task | 零信任 原則(s) 已套用 |
|---|---|---|
| 1 | 保護這三種模式中的數據:待用數據、傳輸中的數據、使用中的數據。 | 假設缺口 |
| 2 | 驗證使用者,並控制以最低許可權存取記憶體數據。 | 明確驗證 使用最低權限存取 |
| 3 | 以邏輯方式分隔或隔離具有網路控制的重要數據。 | 假設缺口 |
| 4 | 使用適用於記憶體的Defender進行自動化威脅偵測和保護。 | 假設缺口 |
步驟 1:保護三種模式中的數據:待用數據、傳輸中的數據、使用中的數據
當您建立記憶體帳戶時,您可以設定大部分的設定來保護待用數據、傳輸中及使用中。 使用下列建議來確保您設定這些保護。 也請考慮啟用 適用於雲端的 Microsoft Defender,針對每個 Azure 服務概述安全性基準的Microsoft雲端安全性基準,自動評估您的記憶體帳戶。
如需這些記憶體安全性控件的詳細資訊,請參閱 這裡。
在傳輸中使用加密
透過啟用 Azure 和用戶端之間的「傳輸層級安全性」來保護您的資料。 請一律使用 HTTPS 來保護透過公用網際網路進行的通訊。 當您呼叫 REST API 來存取記憶體帳戶中的物件時,您可以藉由要求 記憶體帳戶需要安全傳輸 來強制使用 HTTPS。 來自不安全連線的任何要求都遭到拒絕。
當您部署新的 Azure 儲存體 帳戶時,預設會啟用此設定(預設為安全)。
請考慮套用原則來拒絕部署不安全的連線 Azure 儲存體 (設計安全)。
此設定也需要具有加密的SMB 3.0。
防止匿名公用讀取存取
根據預設,禁止公用 Blob 存取,但具有適當許可權的使用者可以設定可存取的資源。 若要防止數據外泄無法匿名存取,您應該指定誰可以存取您的數據。 在記憶體帳戶層級防止使用者在容器或 Blob 層級啟用此存取。
如需詳細資訊,請參閱 防止匿名公用讀取容器和 Blob。
防止共用金鑰授權
此設定會強制記憶體帳戶拒絕所有使用共用密鑰提出的要求,並改為要求Microsoft Entra 授權。 Microsoft Entra ID 是更安全的選擇,因為您可以使用風險型存取機制來強化對數據層的存取。 如需詳細資訊,請參閱防止 Azure 儲存體帳戶使用共用金鑰授權。
您可以從記憶體帳戶的組態設定,為這三種模式設定數據保護,如下所示。
建立記憶體帳戶之後,就無法變更這些設定。
強制執行傳輸層安全性的最低必要版本 (TLS)
目前支援的最高版本 Azure 儲存體 是 TLS 1.2。 強制執行最低 TLS 版本會拒絕使用舊版用戶端的要求。 如需詳細資訊,請參閱 針對對記憶體帳戶的要求強制執行最低必要 TLS 版本。
定義複製作業的範圍
定義複製作業的範圍,以將複製作業限製為只有來源記憶體帳戶,這些帳戶位於相同Microsoft Entra 租使用者內,或具有 與目的地記憶體帳戶相同虛擬網路 (VNet) 的私人連結 。
將複製作業限制為具有私人端點的來源記憶體帳戶是最嚴格的選項,而且要求來源記憶體帳戶已啟用私人端點。
您可以從記憶體帳戶的組態設定中設定複製作業的範圍,如下所示。
瞭解待用加密的運作方式
寫入 Azure 儲存體 的所有資料都會由記憶體服務加密 (SSE) 使用 256 位進階加密標準 (AES) 加密自動加密。 SSE 會在將資料寫入 Azure 儲存體時自動加密資料。 當您從 Azure 儲存體讀取資料時,Azure 儲存體會先解密資料,再將它傳回。 這項過程不會產生額外的費用,也不會降低效能。 使用客戶管理的金鑰 (CMK) 可提供其他功能,以控制密鑰加密金鑰的輪替或以密碼編譯方式清除數據。
您可以在建立記憶體帳戶時,從 [加密 ] 刀鋒窗口啟用 CMK,如下所示。
您也可以啟用基礎結構加密,這可在服務和基礎結構層級提供雙重加密。 建立記憶體帳戶之後,就無法變更此設定。
注意
若要利用客戶管理的金鑰進行記憶體帳戶加密,您必須在帳戶建立期間啟用該金鑰,而且應該具有已佈建適當許可權的金鑰和受控識別 金鑰保存庫。 您也可以選擇性地啟用 Azure 儲存體 基礎結構層級的 256 位 AES 加密。
步驟 2:以最低許可權驗證使用者和控制記憶體數據的存取
首先,使用 Microsoft Entra ID 來管理記憶體帳戶的存取權。 使用角色型 存取控制 搭配記憶體帳戶,可讓您使用 OAuth 2.0 細微地定義存取型作業函式。 您可以調整對條件式存取原則的細微存取。
請務必注意,記憶體帳戶的角色必須在管理或數據層級指派。 因此,如果您使用 Microsoft Entra ID 做為驗證和授權方法,則用戶應獲指派適當的角色組合,以給予他們完成其作業功能所需的最低許可權。
如需記憶體帳戶角色的清單,以取得細微存取權,請參閱 適用於記憶體的 Azure 內建角色。 RBAC 指派是透過記憶體帳戶上的 存取控制 選項來完成,而且可以在各種範圍指派。
您可以從記憶體帳戶的 存取控制 (IAM) 設定設定進行訪問控制,如下所示。
您可以檢查使用者、群組、服務主體或受控識別的存取層級,並新增角色指派。
提供有時間限制之許可權的另一種方式是透過共用存取簽章(SAS)。 在高層級使用 SAS 時的最佳做法如下:
- 一律使用 HTTPS。 如果您已針對 Azure 登陸區域部署建議的 Azure 原則,將會稽核透過 HTTPS 的安全傳輸。
- 有撤銷計劃。
- 設定SAS到期原則。
- 驗證許可權。
- 盡可能使用使用者委派 SAS。 此 SAS 會使用 Microsoft Entra ID 認證進行簽署。
步驟 3:以邏輯方式分隔或隔離具有網路控制的重要數據
在此步驟中,您會使用建議的控件來保護與 Azure 儲存體 服務之間的網路連線。
下圖醒目提示參考架構中 Azure 儲存體 服務的網路連線。
| Task | 描述 |
|---|---|
| 防止公用存取、使用 私人端點 和 Private Link 建立網路分割。 | 私人端點可讓您使用 Azure Private Link 在 VNet 上使用單一私人 IP 位址來連線到服務。 |
| 使用 Azure Private Link | 使用 Azure Private Link 透過 VNet 中的私人端點存取 Azure 儲存體。 視需要使用 核准工作流程 自動核准或手動要求。 |
| 使用服務端點防止對數據源進行 公用存取 | 您可以啟用 VNet 中的私人 IP 位址來連線到端點,而不使用公用 IP 位址,以使用服務端點進行網路分割。 |
您可以從記憶體帳戶的網路設定中設定私人端點,如下所示。
步驟 4:使用適用於記憶體的 Defender 進行自動化威脅偵測和保護
Microsoft適用於記憶體 的 Defender 提供額外的情報層級,可偵測到惡意探索記憶體服務的異常和潛在有害嘗試。 Microsoft適用於記憶體的 Defender 內建於 適用於雲端的 Microsoft Defender。
適用於記憶體的 Defender 會偵測異常存取模式警示,例如:
- 從不尋常的位置存取
- 應用程式異常
- 匿名存取
- 異常擷取/上傳警示
- 資料外流
- 未預期的刪除
- 上傳 Azure 雲端服務套件
- 可疑的記憶體活動警示
- 訪問許可權變更
- 存取檢查
- 資料探索
如需跨參考架構之威脅防護的詳細資訊,請參閱將 零信任 原則套用至 Azure IaaS 概觀。
啟用之後,適用於記憶體的Defender會通知您安全性警示和建議,以改善 Azure 記憶體帳戶的安全性狀態。
以下是記憶體帳戶的範例安全性警示,其中已醒目提示警示和預防措施的描述。
推薦項目培訓
設定記憶體安全性
| 訓練 | 設定記憶體安全性 |
|---|---|
|
了解如何設定常見的 Azure 儲存體安全性功能,例如儲存體存取簽章。 在本課程模組中,您將瞭解如何: |
如需 Azure 中安全性的更多訓練,請參閱Microsoft目錄中的這些資源:
Azure 中的安全性 |Microsoft Learn
後續步驟
請參閱下列其他文章,以將 零信任 原則套用至 Azure:
- Azure IaaS 概觀
- Azure 虛擬桌面
- Azure 虛擬 WAN
- Amazon Web Services 中的 IaaS 應用程式
- Microsoft Sentinel 和 Microsoft Defender 全面偵測回應
技術圖例
此海報提供單頁、快速檢視 Azure IaaS 元件作為參考和邏輯架構,以及確保這些元件具有已套用 零信任 模型之「永不信任、永遠驗證」原則的步驟。
| 項目 | 說明 |
|---|---|
 PDF | Visio 更新日期:2024年3月 |
搭配本文使用此圖例:將 零信任 原則套用至 Azure IaaS 概觀 相關解決方案指南 |
此海報提供 Azure IaaS 零信任 個別元件的參考和邏輯架構和詳細設定。 針對個別的 IT 部門或專業,請使用此海報的頁面,或使用 Microsoft Visio 版本的檔案,自定義基礎結構的圖表。
| 項目 | 說明 |
|---|---|
 PDF | Visio 更新日期:2024年3月 |
請與本文一起使用這些圖表:將 零信任 原則套用至 Azure IaaS 概觀 相關解決方案指南 |
如需其他技術圖例,請按兩下 這裡。
參考資料
請參閱下列連結,以瞭解本文所述的各種服務和技術。