Storage i bazy (Blob, Files, Azure SQL, PostgreSQL)
Dane to najcenniejszy zasób w chmurze i najczęstszy cel ataków. Azure dzieli usługi danych na storage obiektowy/plikowy (Storage Account) oraz bazy zarządzane (Azure SQL, PostgreSQL). Każda z nich ma swoje kontrole, które ZEUS weryfikuje pod kątem ekspozycji i szyfrowania.
Storage Account: Blob i Files
Jedno konto storage hostuje kilka usług. Najważniejsze:
- Blob — obiektowy storage (pliki, backupy, dane nieustrukturyzowane), z warstwami Hot / Cool / Archive dla optymalizacji kosztów.
- Files — udziały SMB/NFS montowane jak dysk sieciowy.
az storage account create \
--resource-group rg-zeus-data --name stzeusdata01 \
--sku Standard_LRS --kind StorageV2 \
--min-tls-version TLS1_2 \
--allow-blob-public-access false \
--public-network-access Disabled
Wskazówka:
--allow-blob-public-access falseblokuje anonimowy dostęp do blobów. Publiczne kontenery to klasyczny wyciek danych — ZEUS flaguje je jako krytyczny finding.
Azure SQL Database
Zarządzany silnik SQL Server (PaaS). Bez patchowania, z wbudowaną wysoką dostępnością i automatycznymi backupami. Kluczowe kontrole bezpieczeństwa:
- Microsoft Entra authentication zamiast loginów SQL,
- Transparent Data Encryption (TDE) — domyślnie włączone,
- Private Endpoint zamiast publicznego dostępu,
- reguły firewalla ograniczone do znanych adresów.
az sql server create \
--resource-group rg-zeus-data --name sql-zeus-weu \
--admin-user sqladmin --admin-password '<silne-haslo>' \
--enable-public-network false
Azure Database for PostgreSQL — Flexible Server
Zarządzany PostgreSQL. Flexible Server to obecnie rekomendowany model — daje integrację z VNet, strefy dostępności i precyzyjną kontrolę nad oknami serwisowymi.
az postgres flexible-server create \
--resource-group rg-zeus-data --name pg-zeus-weu \
--tier GeneralPurpose --sku-name Standard_D2ds_v5 \
--version 16 --high-availability ZoneRedundant \
--public-access Disabled
Tabela porównawcza
| Usługa | Model | Typowe zastosowanie | Dostęp prywatny |
|---|---|---|---|
| Blob | obiektowy | backupy, pliki, data lake | Private Endpoint |
| Files | plikowy SMB/NFS | współdzielone dyski | Private Endpoint |
| Azure SQL | relacyjny (T-SQL) | aplikacje .NET, OLTP | Private Endpoint |
| PostgreSQL Flex | relacyjny (PG) | aplikacje open-source | integracja VNet |
Jak to widzi ZEUS
Przez konektor read-only ZEUS sprawdza krytyczne kontrole danych: czy konto storage zezwala na publiczny dostęp do blobów, czy wymuszone jest TLS 1.2, czy bazy SQL/PostgreSQL mają wyłączony publiczny dostęp i włączone szyfrowanie. Dane te zasilają framework compliance (np. ISO 27001, NIS2) — szyfrowanie i kontrola dostępu do danych to wymagania, których dowody ZEUS zbiera ciągle.
W następnej lekcji wejdziemy w Infrastructure as Code: Bicep i Terraform.