Beveiliging, governance en naleving voor analyses op cloudschaal
Bij het plannen van de architectuur voor analyses op cloudschaal, zorg ervoor dat de architectuur robuust en veilig is. Dit artikel bevat informatie over beveiligings-, nalevings- en governanceontwerpcriteria voor cloudanalyses op ondernemingsniveau. In dit artikel worden ook ontwerpaanbevelingen en aanbevolen procedures besproken voor de implementatie van een analyse op cloudschaal in Azure. Bekijk beveiligingsgovernance en naleving op ondernemingsniveau om zich volledig voor te bereiden op governance van een bedrijfsoplossing.
Cloudoplossingen hosten in eerste instantie enkele, relatief geïsoleerde toepassingen. Naarmate de voordelen van cloudoplossingen duidelijk werden, werden grotere workloads gehost in de cloud, zoals SAP in Azure. Het werd dus essentieel om de beveiliging, betrouwbaarheid, prestaties en kosten van regionale implementaties gedurende de gehele levenscyclus van cloudservices aan te pakken.
De visie voor landingszonebeveiliging, naleving en governance op cloudschaal is om hulpprogramma's en processen te bieden waarmee u risico's kunt minimaliseren en effectieve beslissingen kunt nemen. De Azure-landingszones definiëren beveiligingsgovernance- en nalevingsrollen en -verantwoordelijkheden.
Het analysepatroon op cloudschaal is afhankelijk van verschillende beveiligingsfuncties die in Azure kunnen worden ingeschakeld. Deze functies omvatten versleuteling, op rollen gebaseerd toegangsbeheer, toegangsbeheerlijsten en netwerkbeperkingen.
Aanbevelingen voor beveiligingsontwerp
Zowel Microsoft als klanten delen de verantwoordelijkheid voor beveiliging. Raadpleeg best practices voor cyberbeveiliging door het Center for Internet Security voor geaccepteerde beveiligingsrichtlijnen. De volgende secties zijn aanbevelingen voor beveiligingsontwerp.
Versleuteling van gegevens in rust
Data-at-rest-versleuteling verwijst naar de versleuteling van gegevens zoals deze zich in de opslag bevinden en behandelt de beveiligingsrisico's met betrekking tot directe fysieke toegang tot opslagmedia. Data-at-rest is een kritiek beveiligingsbeheer omdat de onderliggende gegevens onherstelbaar zijn en niet kunnen worden gewijzigd zonder de ontsleutelingssleutel. DData-at-rest is een belangrijke laag in de diepgaande verdedigingsstrategie van Microsoft-datacenters. Vaak zijn er redenen voor naleving en governance om data-at-rest-versleuteling te implementeren.
Verschillende Azure-services ondersteunen data-at-rest-versleuteling, waaronder Azure Storage en Azure SQL-databases. Hoewel algemene concepten en modellen van invloed zijn op het ontwerp van Azure-services, kan elke service versleuteling van data-at-rest toepassen op verschillende stack-lagen of verschillende versleutelingsvereisten hebben.
Belangrijk
Voor alle services die data-at-rest-versleuteling ondersteunen, moet deze standaard zijn ingeschakeld.
Gegevens tijdens overdracht beveiligen
Gegevens worden beschouwd als onderweg of tijdens de vlucht wanneer ze van de ene locatie naar de andere worden verplaatst. Deze overdracht kan intern, on-premises of binnen Azure plaatsvinden, of extern, zoals via internet naar een eindgebruiker. Azure biedt verschillende mechanismen, waaronder versleuteling, om gegevens privé te houden tijdens de overdracht. Deze mechanismen omvatten:
- Communicatie via VPN's met IPsec/IKE-versleuteling.
- Transport Layer Security (TLS)
- Protocollen die beschikbaar zijn op virtuele Azure-machines, zoals Windows IPsec of SMB.
Versleuteling met behulp van MACsec (beveiliging voor mediatoegangsbeheer), een IEEE-standaard op de gegevenskoppelingslaag, wordt automatisch ingeschakeld voor al het Azure-verkeer tussen Azure-datacenters. Deze versleuteling zorgt voor vertrouwelijkheid en integriteit van klantgegevens. Zie Azure-klantgegevensbeschermingvoor meer informatie.
Sleutels en geheimen beheren
Gebruik Azure Key Vault om schijfversleutelingssleutels en -geheimen voor analyses op cloudschaal te beheren en te beheren. Key Vault biedt mogelijkheden voor het inrichten en beheren van SSL/TLS-certificaten. U kunt geheimen ook beveiligen met HSM's (Hardware Security Modules).
Microsoft Defender voor Cloud
Microsoft Defender voor Cloud biedt beveiligingswaarschuwingen en geavanceerde bedreigingsbeveiliging voor virtuele machines, SQL-databases, containers, webtoepassingen, virtuele netwerken en meer.
Wanneer u Defender for Cloud inschakelt vanuit het gebied met prijzen en instellingen, worden de volgende Microsoft Defender-abonnementen tegelijkertijd ingeschakeld en bieden ze uitgebreide verdediging voor de reken-, gegevens- en servicelagen van uw omgeving:
- Microsoft Defender voor servers
- Microsoft Defender voor App Service-
- Microsoft Defender voor Opslag
- Microsoft Defender voor SQL
- Microsoft Defender voor Kubernetes
- Microsoft Defender voor containerregisters
- Microsoft Defender voor Key Vault
- Microsoft Defender voor Resource Manager-
- Microsoft Defender voor DNS
Deze plannen worden afzonderlijk uitgelegd in de documentatie van Defender for Cloud.
Belangrijk
Als Defender for Cloud beschikbaar is voor PaaS-aanbiedingen (Platform as a Service), moet u deze functie standaard inschakelen, met name voor Azure Data Lake Storage-accounts. Zie Inleiding tot Microsoft Defender voor Cloud en Microsoft Defender for Storage configurerenvoor meer informatie.
Microsoft Defender for Identity
Microsoft Defender for Identity maakt deel uit van de geavanceerde aanbieding voor gegevensbeveiliging. Dit is een geïntegreerd pakket voor geavanceerde beveiligingsmogelijkheden. Microsoft Defender for Identity kan worden geopend en beheerd via Azure Portal.
Belangrijk
Schakel Microsoft Defender for Identity standaard in wanneer deze beschikbaar is voor de PaaS-services die u gebruikt.
Microsoft Sentinel inschakelen
Microsoft Sentinel- is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.
Netwerken
De voorgeschreven weergave voor analyse op cloudschaal is het gebruik van privé-eindpunten van Azure voor alle PaaS-services en maakt geen gebruik van openbare IP-adressen voor alle IaaS-services (Infrastructure as a Service). Zie cloudgebaseerde analysenetwerkenvoor meer informatie.
Aanbevelingen voor nalevings- en governanceontwerp
Azure Advisor- helpt u een geconsolideerde weergave te krijgen voor uw Azure-abonnementen. Raadpleeg Azure Advisor voor betrouwbaarheid, tolerantie, beveiliging, prestaties, operationele uitmuntendheid en aanbevelingen voor kosten. De volgende secties zijn aanbevelingen voor naleving en governanceontwerp.
Azure Policy gebruiken
Azure Policy helpt bij het afdwingen van organisatiestandaarden en het beoordelen van naleving op schaal. Via het nalevingsdashboard biedt het een geaggregeerde weergave van de algehele status van de omgeving, met de mogelijkheid om in te zoomen op afzonderlijke resources of beleidsregels.
Azure Policy helpt uw resources in overeenstemming te brengen door bulksgewijs herstel van bestaande resources en automatisch herstel van nieuwe resources. Er zijn verschillende ingebouwde beleidsregels beschikbaar, bijvoorbeeld om de locatie van nieuwe resources te beperken, een tag en de bijbehorende waarde voor resources te vereisen, een virtuele machine te maken met een beheerde schijf of naamgevingsbeleid af te dwingen.
Implementaties automatiseren
U kunt tijd besparen en fouten verminderen door implementaties te automatiseren. Verminder de implementatiecomplexiteit van end-to-end landingszones en gegevenstoepassingen (die gegevensproducten maken) door hergebruikbare codesjablonen te maken. Deze automatisering minimaliseert de tijd voor het implementeren of opnieuw implementeren van oplossingen. Zie Inzicht in DevOps-automatisering voor de cloudanalyse in Azure voor meer informatie
Resources vergrendelen voor productieworkloads
Maak vereiste kerngegevensbeheerbronnen en data landing zone Azure-bronnen aan bij de start van uw project. Wanneer alle toevoegingen, verplaatsingen en wijzigingen zijn voltooid en de Azure-implementatie operationeel is, vergrendelt u alle resources. Vervolgens kan alleen een beheerder resources ontgrendelen of wijzigen. Zie Resources vergrendelen om onverwachte wijzigingente voorkomen voor meer informatie.
Op rollen gebaseerd toegangsbeheer implementeren
U kunt op rollen gebaseerd toegangsbeheer (RBAC) in Azure-abonnementen aanpassen om te beheren wie toegang heeft tot Azure-resources, wat ze met deze resources kunnen doen en tot welke gebieden ze toegang hebben. U kunt bijvoorbeeld toestaan dat teamleden kernassets implementeren in een gegevenslandingszone, maar voorkomen dat ze een van de netwerkonderdelen wijzigen.
Nalevings- en beheerscenario's
De volgende aanbevelingen zijn van toepassing op verschillende nalevings- en governancescenario's. Deze scenario's vertegenwoordigen een rendabele en schaalbare oplossing.
| Scenario | Aanbeveling |
|---|---|
| Stel een governancemodel op met standaardnaamgevingsconventies en genereer rapporten op basis van kostenplaatsen. | Gebruik Azure Policy en tags om te voldoen aan uw vereisten. |
| Vermijd onbedoeld verwijderen van Azure-resources. | Gebruik Azure-resourcevergrendelingen om onbedoeld verwijderen te voorkomen. |
| Krijg een geconsolideerde weergave van verkoopkansen voor kostenoptimalisatie, tolerantie, beveiliging, operationele uitmuntendheid en prestaties voor Azure-resources. | Gebruik Azure Advisor om een geconsolideerde weergave te krijgen in SAP op Azure-abonnementen. |