Zabezpečení, zásady správného řízení a dodržování předpisů pro analýzy na úrovni cloudu
Při plánování architektury analýzy na úrovni cloudu věnujte zvláštní pozornost tomu, aby byla architektura robustní a zabezpečená. Tento článek se zabývá kritérii návrhu zabezpečení, dodržování předpisů a zásad správného řízení pro analýzy cloudového škálování na podnikové úrovni. Tento článek také popisuje doporučení k návrhu a osvědčené postupy pro nasazení analýz v cloudovém měřítku v Azure. Projděte si zásad správného řízení zabezpečení a dodržování předpisů na podnikové úrovni a, abyste se plně připravili na zásady správného řízení podnikového řešení.
Cloudová řešení původně hostovala jedno, relativně izolované aplikace. Jak se výhody cloudových řešení zjasnily, byly v cloudu hostované větší úlohy, jako je SAP v Azure. Proto se stalo zásadním řešením zabezpečení, spolehlivosti, výkonu a nákladů na regionální nasazení v průběhu životního cyklu cloudových služeb.
Vize zabezpečení cílové zóny, dodržování předpisů a zásad správného řízení na úrovni cloudu v Azure je poskytovat nástroje a procesy, které vám pomůžou minimalizovat rizika a efektivně rozhodovat. Cílové zóny Azure definují role a zodpovědnosti týkající se zásad správného řízení zabezpečení a dodržování předpisů.
Model analýzy v cloudovém měřítku závisí na několika funkcích zabezpečení, které je možné povolit v Azure. Mezi tyto funkce patří šifrování, řízení přístupu na základě role, seznamy řízení přístupu a omezení sítí.
Doporučení k návrhu zabezpečení
Microsoft i zákazníci sdílejí odpovědnost za zabezpečení. Pro schválené pokyny pro zabezpečení se obraťte na téma Osvědčené postupy pro kybernetickou bezpečnost Centrem pro internetovou bezpečnost. Následující části obsahují doporučení pro návrh zabezpečení.
Šifrování neaktivních uložených dat
Šifrování dat v klidu označuje šifrování dat uložených v úložišti a řeší bezpečnostní rizika související s přímým fyzickým přístupem k úložnému médiu. Data v klidu jsou klíčovou bezpečnostní kontrolou, protože podkladová data nelze obnovit a nelze je změnit bez dešifrovacího klíče. DData-at-rest je důležitou vrstvou v strategii hloubkové ochrany datových center Microsoftu. Často existují důvody dodržování předpisů a zásad správného řízení k nasazení šifrování neaktivních uložených dat.
Několik služeb Azure podporuje šifrování neaktivních uložených dat, včetně Azure Storage a databází Azure SQL. I když běžné koncepty a modely ovlivňují návrh služeb Azure, každá služba může použít šifrování neaktivních uložených dat v různých vrstvách zásobníku nebo má jiné požadavky na šifrování.
Důležitý
Všechny služby, které podporují šifrování neaktivních uložených dat, by měly mít ve výchozím nastavení povolené.
Zabezpečení přenášených dat
Data se při přesunu z jednoho místa do jiného považují za přenášená nebo letová. K tomuto přenosu může dojít interně, místně nebo v rámci Azure nebo externě, například přes internet, koncovému uživateli. Azure nabízí několik mechanismů, včetně šifrování, které během přenosu udržují data soukromá. Mezi tyto mechanismy patří:
- Komunikace prostřednictvím sítí VPN pomocí šifrování IPsec/IKE
- Tls (Transport Layer Security)
- Protokoly dostupné na virtuálních počítačích Azure, jako je Windows IPsec nebo SMB.
Šifrování pomocí MACsec (zabezpečení řízení přístupu k médiím), standardu IEEE ve vrstvě datového propojení, se automaticky povolí pro veškerý provoz Azure mezi datovými centry Azure. Toto šifrování zajišťuje důvěrnost a integritu zákaznických dat. Další informace najdete v tématu ochrany zákaznických dat Azure.
Správa klíčů a tajných kódů
K řízení a správě šifrovacích klíčů disků a tajných kódů pro analýzy v cloudovém měřítku použijte Azure Key Vault. Key Vault nabízí možnosti zřizování a správy certifikátů SSL/TLS. Tajné kódy můžete také chránit pomocí modulů hardwarového zabezpečení (HSM).
Microsoft Defender for Cloud
Microsoft Defender for Cloud poskytuje výstrahy zabezpečení a rozšířenou ochranu před hrozbami pro virtuální počítače, databáze SQL, kontejnery, webové aplikace, virtuální sítě a další.
Když povolíte Defender for Cloud z oblasti cen a nastavení, povolí se současně následující plány Microsoft Defenderu a poskytují komplexní ochranu výpočetních, datových a servisních vrstev vašeho prostředí:
- Microsoft Defender pro servery
- Microsoft Defender for App Service
- Microsoft Defender pro úložiště
- Microsoft Defender pro SQL
- Microsoft Defender for Kubernetes
- Microsoft Defender pro registr je kontejnerů
- Microsoft Defender pro Key Vault
- Microsoft Defender pro Resource Manager
- Microsoft Defender pro DNS
Tyto plány jsou vysvětleny samostatně v dokumentaci k Defenderu pro cloud.
Důležitý
Pokud je Defender for Cloud k dispozici pro nabídky paaS (platforma jako služba), měli byste tuto funkci povolit ve výchozím nastavení, zejména pro účty Azure Data Lake Storage. Další informace najdete v tématu Úvod do programu Microsoft Defender for Cloud a o konfiguraci Microsoft Defender pro úložiště.
Microsoft Defender for Identity
Microsoft Defender for Identity je součástí nabídky pokročilého zabezpečení dat, což je jednotný balíček pro pokročilé možnosti zabezpečení. K Microsoft Defenderu for Identity je možné přistupovat a spravovat prostřednictvím webu Azure Portal.
Důležitý
Ve výchozím nastavení povolte Microsoft Defender for Identity vždy, když je k dispozici pro služby PaaS, které používáte.
Povolení služby Microsoft Sentinel
Microsoft Sentinel je škálovatelné, cloudové řešení pro správu informací a událostí o zabezpečení (SIEM) a pro automatickou odezvu řízenou orchestrací zabezpečení (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.
Síťování
Předepsané zobrazení analýzy na úrovni cloudu spočívá v používání privátních koncových bodů Azure pro všechny služby PaaS a nepoužívá veřejné IP adresy pro všechny služby typu infrastruktura jako služba (IaaS). Další informace najdete v tématu sítě cloudové analýzy.
Doporučení k návrhu dodržování předpisů a zásad správného řízení
azure Advisor vám pomůže získat konsolidované zobrazení napříč předplatnými Azure. Informace o spolehlivosti, odolnosti, zabezpečení, výkonu, efektivitě provozu a doporučeních k nákladům najdete v Azure Advisoru. Následující části jsou doporučení k návrhu dodržování předpisů a zásad správného řízení.
Použití Azure Policy
azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Prostřednictvím řídicího panelu dodržování předpisů poskytuje agregované zobrazení celkového stavu prostředí s možností přejít k podrobnostem o jednotlivých prostředcích nebo zásadách.
Azure Policy pomáhá přivést vaše prostředky do souladu s předpisy prostřednictvím hromadné nápravy stávajících prostředků a automatické nápravy nových prostředků. K dispozici je několik předdefinovaných zásad, například k omezení umístění nových prostředků, vyžadování značky a její hodnoty pro prostředky, vytvoření virtuálního počítače pomocí spravovaného disku nebo vynucení zásad pojmenování.
Automatizovat nasazení
Automatizací nasazení můžete ušetřit čas a snížit počet chyb. Snižte složitost nasazení komplexních cílových zón dat a datových aplikací (které vytvářejí datové produkty) vytvořením opakovaně použitelných šablon kódu. Tato automatizace minimalizuje dobu nasazení nebo opětovného nasazení řešení. Další informace najdete v tématu Principy automatizace DevOps pro analýzy v cloudovém měřítku v Azure
Uzamčení prostředků pro produkční úlohy
Na začátku projektu vytvořte požadované základní prostředky pro správu dat a cílové zóny dat v Azure. Až se dokončí všechny doplňky, přesuny a změny a nasazení Azure je funkční, zamkněte všechny prostředky. Potom prostředky může odemknout nebo upravit pouze správce. Další informace najdete v tématu Uzamčení prostředků, abyste zabránili neočekávaným změnám.
Implementace řízení přístupu na základě role
Řízení přístupu na základě role (RBAC) v předplatných Azure můžete přizpůsobit tak, aby spravoval, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup. Můžete například členům týmu povolit, aby nasadili základní prostředky do cílové zóny dat, ale zabránili jim v tom, aby změnili některou ze síťových komponent.
Scénáře dodržování předpisů a zásad správného řízení
Následující doporučení platí pro různé scénáře dodržování předpisů a zásad správného řízení. Tyto scénáře představují nákladově efektivní a škálovatelné řešení.
| Scénář | Doporučení |
|---|---|
| Nakonfigurujte model řízení se standardními pojmenovacími konvencemi a vytahujte sestavy na základě nákladového střediska. | Ke splnění vašich požadavků použijte Azure Policy a značky. |
| Vyhněte se náhodnému odstranění prostředků Azure. | Pomocí zámků prostředků Azure můžete zabránit náhodnému odstranění. |
| Získejte konsolidované zobrazení oblastí příležitostí pro optimalizaci nákladů, odolnost, zabezpečení, efektivitu provozu a výkon prostředků Azure. | Pomocí Azure Advisoru získáte konsolidované zobrazení napříč SAP v předplatných Azure. |