Azure 存储安全概述

Azure 存储是依赖于持续性、可用性和伸缩性来满足客户需求的现代应用程序的云存储解决方案。 Azure 存储提供全面的安全功能。 方法:

  • 使用基于角色的访问控制 (RBAC) 和 Azure Active Directory 对存储帐户进行安全保护。
  • 使用客户端加密、HTTPS 或 SMB 3.0 对应用程序和 Azure 之间传输的数据进行安全保护。
  • 可将数据设置为在写入 Azure 存储时使用存储服务加密自动进行加密。
  • 将虚拟机 (VM) 使用的 OS 和数据磁盘设置为使用 Azure 磁盘加密进行加密。
  • 使用共享访问签名 (SAS) 授予对 Azure 存储中数据对象的委派访问权限。
  • 使用分析来跟踪某人访问存储时使用的身份验证方法。

有关 Azure 存储中安全性的详细信息,请参阅 Azure Storage security guide(Azure 存储安全指南)。 本指南深入介绍了 Azure 存储的安全功能。 这些功能包括存储帐户密钥、传输中和静态中的数据加密以及存储分析。

基于角色的访问控制

可使用基于角色的访问控制来帮助保护存储帐户。 对于想要实施数据访问安全策略的组织而言,必须根据需要知道最低权限安全策略限制访问权限。 这些访问权限是通过将相应的 RBAC 角色分配给特定范围内的组和应用程序来授予的。 可以使用内置 RBAC 角色(例如存储帐户参与者)将权限分配给用户。

了解详细信息:

存储对象的委托访问权限

共享访问签名对存储帐户中的资源提供委托访问。 使用 SAS,意味着可以授权客户端在指定时间段内,以一组指定权限有限访问存储帐户中的对象。 可以授予这些有限的权限,而不必共享帐户访问密钥。

SAS 是在其查询参数中包含对存储资源进行验证了身份的访问所需的所有信息的 URI。 要使用 SAS 访问存储资源,客户端只需将 SAS 提供给相应的构造函数或方法。

了解详细信息:

传输中加密

传输中加密是通过网络传输数据时保护数据的一种机制。 在 Azure 存储中,可使用以下功能保护数据:

  • 传输级别加密,例如将数据传入或传出 Azure 存储时使用的 HTTPS。
  • 线路加密,例如 Azure 文件共享的 SMB 3.0 加密。
  • 客户端加密,在将数据传输到存储之前加密数据,以及从存储传出数据后解密数据。

了解有关客户端加密的详细信息:

静态加密

对许多组织而言,静态数据加密是实现数据隐私性、符合性和数据所有权的必要措施。 可通过三种 Azure 功能进行静态数据加密:

了解有关存储服务加密的详细信息:

Azure 磁盘加密

适用于虚拟机的 Azure 磁盘加密有助于解决组织安全性和符合性要求。 它使用 Azure Key Vault 中控制的密钥和策略来加密 VM 磁盘(包括启动盘和数据磁盘)。

适用于 VM 的磁盘加密可用于 Linux 与 Windows 操作系统。 它也使用密钥保管库帮助保护、管理和审核磁盘加密密钥的使用。 在 Azure 存储帐户中使用行业标准加密技术,对 VM 磁盘中的所有数据进行静态加密。 适用于 Windows 的磁盘加密解决方案是基于 Microsoft BitLocker 驱动器加密技术,Linux 解决方案基于 dm-crypt

Azure Key Vault

Azure 磁盘加密使用 Azure 密钥保管库 来帮助控制和管理密钥保管库订阅中的磁盘加密密钥和机密,同时确保虚拟机磁盘中的所有数据可在 Azure 存储中静态加密。 应使用密钥保管库来审核密钥和策略用法。

了解详细信息