Recomendaciones de seguridad para Blob Storage

Este artículo contiene recomendaciones de seguridad para Blob Storage. La implementación de estas recomendaciones le ayuda a cumplir sus obligaciones de seguridad, tal como se describe en el modelo de responsabilidad compartida. Para más información sobre cómo Microsoft cumple las responsabilidades del proveedor de servicios, consulte Responsabilidad compartida en la nube.

Microsoft Defender para la nube puede supervisar automáticamente algunas de las recomendaciones de este artículo. Es la primera línea de defensa para proteger los recursos en Azure. Para obtener más información sobre Microsoft Defender for Cloud, consulte ¿Qué es Microsoft Defender for Cloud?.

Microsoft Defender for Cloud analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad. Después, proporciona recomendaciones sobre cómo abordarlas. Para más información sobre las recomendaciones de Microsoft Defender para la nube, consulte el artículo sobre las recomendaciones de seguridad.

Protección de los datos

Recomendación Comentarios Defensor para la Nube
Usar el modelo de implementación de Azure Resource Manager Cree nuevas cuentas de almacenamiento mediante el modelo de implementación de Azure Resource Manager para obtener importantes mejoras de seguridad, como un control de acceso basado en roles de Azure superior (Azure RBAC) y auditoría, implementación y gobernanza basadas en Resource Manager, acceso a identidades administradas, acceso a Azure Key Vault para secretos, y autenticación y autorización de Microsoft Entra para acceder a los datos y recursos de Azure Storage. Migre todas las cuentas de almacenamiento existentes que usan el modelo de implementación clásica para usar Azure Resource Manager. Para más información sobre Azure Resource Manager, consulte Introducción a Azure Resource Manager. -
Habilitación de Microsoft Defender para todas las cuentas de almacenamiento Microsoft Defender para Storage proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. En Microsoft Defender for Cloud se desencadenan alertas de seguridad cuando se producen anomalías en alguna actividad y también se envían por correo electrónico a los administradores de las suscripciones con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas. Para más información, consulte el artículo sobre configuración de Microsoft Defender para Storage.
Activar la eliminación temporal de blobs La eliminación temporal de los blobs permite recuperar datos de blobs después de haberlos eliminado. Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de blobs de Azure Storage. -
Activar la eliminación temporal de contenedores La eliminación temporal de los contenedores le permite recuperar un contenedor después de haberlo eliminado. Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de contenedores. -
Bloquear la cuenta de almacenamiento para evitar cambios en la configuración o la eliminación accidental o malintencionada Aplique un bloqueo de Azure Resource Manager a su cuenta de almacenamiento para protegerla de la eliminación accidental o malintencionada o del cambio de configuración. El bloqueo de una cuenta de almacenamiento no impide que se eliminen los datos de esa cuenta. Solo evita que se elimine la cuenta. Para más información, consulte Aplicación de un bloqueo de Azure Resource Manager a una cuenta de almacenamiento.
Almacenar datos críticos para la empresa en blobs inmutables Configure las suspensiones legales y las directivas de retención durante un tiempo para almacenar los datos de los blobs en estado WORM (escribir una vez, leer muchas). Los blobs almacenados inmutablemente se pueden leer, pero no se pueden modificar ni eliminar durante el intervalo de retención. Para más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable. -
Uso del cifrado para proteger los datos Azure Storage cifra todos los datos en reposo de forma predeterminada mediante claves administradas por Microsoft. Para un control mejorado, configure las claves administradas por el cliente con Azure Key Vault para administrar las claves de cifrado directamente. Para reforzar aún más la seguridad, implemente el cifrado del lado cliente antes de cargar datos. -
Exigir la transferencia segura (HTTPS) a la cuenta de almacenamiento Cuando se requiere una transferencia segura para una cuenta de almacenamiento, todas las solicitudes a la cuenta de almacenamiento deben realizarse mediante HTTPS. Las solicitudes realizadas a través de HTTP se rechazan. Microsoft recomienda que siempre se requiera una transferencia segura para todas las cuentas de almacenamiento. Para obtener más información, consulte Requisito de transferencia segura para garantizar conexiones seguras. -
Limitar los tokens de firma de acceso compartido (SAS) solo a conexiones HTTPS Requerir HTTPS cuando un cliente usa un token de SAS para acceder a los datos de los blobs ayuda a minimizar el riesgo de espionaje. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS). -
Deshabilitar la replicación de objetos entre inquilinos De forma predeterminada, un usuario autorizado puede configurar una directiva de replicación de objetos en la que la cuenta de origen se encuentra en un inquilino Microsoft Entra y la cuenta de destino está en un inquilino diferente. No permita la replicación de objetos entre inquilinos para requerir que las cuentas de origen y de destino que participan en una directiva de replicación de objetos estén en el mismo inquilino. Para más información, consulte Impedir la replicación entre inquilinos de Microsoft Entra. -

Administración de identidades y acceso

Recomendación Comentarios Defensor para la Nube
Usar Microsoft Entra ID para autorizar el acceso a los datos de los blobs Microsoft Entra ID proporciona mayor seguridad y facilidad de uso que la clave compartida para autorizar solicitudes en Blob Storage. Para más información, consulte Autorización del acceso a datos en Azure Storage. -
Tenga en cuenta el principio de privilegios mínimos al asignar permisos a una entidad de seguridad de Microsoft Entra a través de Azure RBAC Al asignar un rol a un usuario, grupo o aplicación, conceda a esa entidad de seguridad exclusivamente los permisos necesarios para que pueda realizar sus tareas. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos. -
Usar una SAS de delegación de usuario para conceder a los clientes acceso limitado a los datos de los blobs Una SAS de delegación de usuarios se protege con las credenciales de Microsoft Entra y también por los permisos especificados para la SAS. Una SAS de delegación de usuario tiene el mismo ámbito y función que una SAS de servicio, pero ofrece más seguridad. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS). -
Proteger las claves de acceso de su cuenta con Azure Key Vault Microsoft recomienda usar Microsoft Entra ID para autorizar las solicitudes que se realicen a Azure Storage. Sin embargo, si debe usar la autorización de clave compartida, proteja las claves de cuenta con Azure Key Vault. Estas claves se pueden recuperar del almacén de claves en tiempo de ejecución, en lugar de guardarlas con la aplicación. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault. -
Volver a generar las claves de cuenta periódicamente El cambio periódico de las claves de una cuenta reduce el riesgo de exponer los datos a actores malintencionados. -
Impedir la autorización con clave compartida Cuando se impide la autorización con clave compartida para una cuenta de almacenamiento, Azure Storage rechaza todas las solicitudes posteriores a esa cuenta autorizadas con las claves de acceso de la cuenta. Solo las solicitudes protegidas autorizadas con Microsoft Entra ID se realizan correctamente. Para obtener más información, consulte Impedir la autorización con clave compartida para una cuenta de Azure Storage. -
Tener en cuenta el principio de privilegios mínimos al asignar permisos a una SAS Al crear una SAS, especifique solo aquellos permisos que el cliente requiera para realizar su función. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos. -
Contar con un plan de revocación para cualquier SAS que expida para sus clientes Si una SAS está en peligro, revoque esa SAS lo antes posible. Para revocar una SAS de delegación de usuario, revoque la clave de delegación de usuario para invalidar rápidamente todas las firmas asociadas con ella. Para revocar una SAS de servicio asociada a una directiva de acceso almacenado, puede eliminar esta, cambiar el nombre de la directiva, o bien cambiar su tiempo de vencimiento a un tiempo pasado. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS). -
Si una SAS de servicio no está asociada a ninguna directiva de acceso almacenada, establezca la hora de expiración en una hora o menos. No se puede revocar una SAS de servicio que no esté asociada a una directiva de acceso almacenada. Por este motivo, limite el tiempo de expiración para que la SAS sea válida durante una hora o menos. -
Deshabilitar el acceso de lectura anónimo a contenedores y blobs El acceso de lectura anónimo a un contenedor y sus blobs concede a todos los clientes acceso de solo lectura a estos recursos. Evite habilitar el acceso de lectura anónimo salvo que el escenario lo requiera. Para aprender a deshabilitar el acceso anónimo para una cuenta de almacenamiento, consulte Introducción: Corrección del acceso de lectura anónimo a los datos de blobs. -

Redes

Recomendación Comentarios Defensor para la Nube
Configurar la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento Exija a los clientes que usen una versión más segura de TLS para realizar solicitudes en una cuenta de Azure Storage configurando la versión mínima de TLS para esa cuenta. Para más información, consulte Configuración de la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento. -
Habilitar la opción Se requiere transferencia segura en todas las cuentas de almacenamiento Cuando habilite la opción Se requiere transferencia segura, deben usarse conexiones seguras para realizar todas las solicitudes realizadas en la cuenta de almacenamiento. Todas las solicitudes realizadas a través de HTTP fallan. Para más información, consulte Requerir transferencia segura en Azure Storage.
Habilitar reglas de firewall Configure las reglas de firewall para limitar el acceso a su cuenta de almacenamiento a las solicitudes que partan de direcciones IP o intervalos especificados, o de una lista de subredes de una red virtual de Azure (VNet). Para más información acerca de la configuración de reglas de firewall, consulte Configuración de redes virtuales y firewalls de Azure Storage. -
Permitir que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc. Para permitir solicitudes de otros servicios de Azure, agregue una excepción que permita que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento. Para más información acerca de la adición de una excepción para los servicios de Microsoft de confianza, consulte Configuración de redes virtuales y firewalls de Azure Storage. -
Usar puntos de conexión privados Un punto de conexión privado asigna una dirección IP privada de Azure Virtual Network (red virtual) a la cuenta de almacenamiento. Protege todo el tráfico que circule entre su red virtual y la cuenta de almacenamiento mediante un enlace privado. Para más información sobre los puntos de conexión privados, consulte Conexión privada a una cuenta de almacenamiento mediante el punto de conexión privado de Azure. -
Usar etiquetas de servicio de VNet Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Para más información sobre las etiquetas de servicio compatibles con Azure Storage, consulte Introducción a las etiquetas de servicio de Azure. Para ver un tutorial que muestra cómo usar las etiquetas de servicio para crear reglas de red de salida, consulte Restricción del acceso a los recursos de PaaS. -
Limitar el acceso a la red a determinadas redes La limitación del acceso a la red a redes que hospeden clientes que requieran acceso reduce la exposición de sus recursos a ataques en la red.
Configuración de las preferencias de enrutamiento de red Puede configurar la preferencia de enrutamiento de red para su cuenta de Azure Storage a fin de especificar cómo se enruta el tráfico de red hacia su cuenta desde los clientes a través de Internet, mediante la red global de Microsoft o el enrutamiento de Internet. Para obtener más información, consulte Configuración de las preferencias de enrutamiento de red para Azure Storage. -

Registro y supervisión

Recomendación Comentarios Defensor para la Nube
Hacer un seguimiento de cómo se autorizan las solicitudes Habilite el registro de Azure Storage para realizar un seguimiento de cómo se autorizan las solicitudes al servicio. Los registros indican si una solicitud se realizó de forma anónima o mediante un token OAuth 2.0, una clave compartida o una firma de acceso compartido (SAS). Para más información, consulte Supervisión de Azure Blob Storage con Azure Monitor o Registro de análisis de Azure Storage con supervisión clásica. -
Configuración de alertas en Azure Monitor Configure las alertas de registro para evaluar los registros de recursos con una frecuencia establecida y desencadenar una alerta en función de los resultados. Para obtener más información, consulte Alertas de registro en Azure Monitor. -

Pasos siguientes