Как и многие вещи в Azure, он может быть безопасным, но для этого требуются усилия.
1) По состоянию на прошлый год все учетные записи хранения в зашифрованном виде шифруются с использованием ключей, управляемых Microsoft, с использованием AES-256. Вы также можете принести свой собственный ключ, как указано здесь .
2) Использовать шифрование на стороне клиента - таким образом, если учетная запись была взломана, злоумышленник не сможет прочитать данные; им также нужен ключ для расшифровки данных. Это влияет на производительность, но часто приемлемо для большинства сценариев.
3) Используйте брандмауэр учетной записи хранения, чтобы разрешить только адреса, которым требуется доступ к учетной записи хранения.
Примечание: если вы обращаетесь к хранилищу из службы приложений, исходящие IP-адреса не изменятся , если вы не увеличите или не уменьшите план обслуживания приложения. Автоматическое масштабирование службы приложения по горизонтали не меняет исходящие IP-адреса.
4) Интегрируйте учетную запись хранения с Azure KeyVault, чтобы автоматически поворачивать ключи и генерировать токены SAS, как описано здесь . Я хотел бы, чтобы это можно было сделать через портал, так как большинство людей не знают, что это существует.
5) Не используйте ключи учетной записи хранения - генерируйте и раздайте краткосрочные токены SAS. В этом может помочь интеграция KeyVault.
6) Включите метрики диагностики хранилища и ведение журнала. Хотя сама по себе она не является защитной мерой, она может быть полезна после свершившегося факта.
7) включить мягкое удаление; это может снизить воздействие определенных атак, если произойдет нарушение.
8) Включите параметр «безопасная передача требуется», чтобы разрешить трафик только через HTTPS.