Resumé

Fuldført

I dette modul lærte du, hvordan man planlægger og implementerer sikkerhedsforanstaltninger for Azure Storage i overensstemmelse med Zero Trust-principper og forsvarsstrategier.

Nøglebegreber, der er dækket

Autentificering og autorisation: Du undersøgte moderne autentificeringsmetoder for Azure Storage med fokus på Microsoft Entra ID som den foretrukne tilgang frem for delte adgangsnøgler. Du lærte, hvordan man implementerer Azure RBAC til blob-, kø- og tabellagring, og forstår, hvornår man skal bruge managed identities til applikationer i forhold til andre autentificeringsmetoder. Du lærte også korrekt håndtering af adgangsnøgler til lagringskonti, herunder sikker lagring i Azure Key Vault og rotationsstrategier for at minimere sikkerhedsrisici.

Service-Specific Sikkerhed: Du undersøgte autorisationsmetoder, der er tilpasset hver Azure Storage-tjeneste:

  • Azure Files: Konfiguration af identitetsbaseret autentificering med Microsoft Entra Domain Services eller Active Directory Domain Services samt implementering af share-level og fil-niveau tilladelser
  • Blob Storage: Udnyttelse af Microsoft Entra ID til sikker adgang med passende indbyggede og tilpassede RBAC-roller
  • Tabelopbevaring: Implementering af Microsoft Entra ID-autorisation med korrekte rolletildelinger
  • Kølagring: Autorisering af adgang via Azure-portalen og programmatisk ved brug af Microsoft Entra ID-legitimationsoplysninger

Databeskyttelse og gendannelse: Du lærte omfattende databeskyttelsesstrategier, herunder soft delete for containere og blobs, blob-versionering til sporing af ændringer, mulighed for gendannelse på tidspunkt og uforanderlige lagringspolitikker for overholdelseskrav. Disse beskyttelsesmekanismer giver dybdegående beskyttelse mod utilsigtet sletning, ondsindet modifikation og ransomware-angreb.

Avancerede krypteringsmuligheder: Du undersøgte avancerede krypteringsmuligheder for regulerede og højsikkerhedsmiljøer:

  • Bring Your Own Key (BYOK): At bevare kontrollen over krypteringsnøglens livscyklus ved sikkert at importere nøgler fra lokale HSM'er til Azure Key Vault
  • Infrastrukturkryptering: Muliggør dobbelt kryptering både på service- og infrastrukturniveau for organisationer med strenge overholdelseskrav

Sikkerhedsprincipper med vægt

Gennem hele dette modul blev flere kritiske sikkerhedsprincipper forstærket:

  • Zero Trust-tilgang: Stol aldrig på det, verificér altid—foretræk identitetsbaseret autentificering frem for adgangsnøgler og tokens
  • Dybdeforsvar: Implementér flere lag af sikkerhedskontroller, herunder autentificering, autorisation, kryptering og databeskyttelse
  • Adgang med mindst privilegier: Giv kun de minimumsrettigheder, der er nødvendige for, at brugere og applikationer kan udføre deres nødvendige opgaver
  • Adskillelse af opgaver: Brug forskellige nøgler og mekanismer på forskellige krypteringslag for at minimere risikoen for kompromittering
  • Overholdelsesparathed: Udnyt indbyggede funktioner som uforanderlighedspolitikker, BYOK og infrastrukturkryptering for at opfylde lovgivningsmæssige krav

Ved at anvende disse koncepter og bedste praksis kan du designe og implementere robuste sikkerhedsarkitekturer for Azure Storage, som beskytter dine data gennem hele livscyklussen, samtidig med at driftseffektivitet opretholdes og overholdelsesforpligtelser opfyldes.