Best practices van Azure voor gegevensbeveiliging en versleuteling
In dit artikel worden aanbevolen procedures voor gegevensbeveiliging en -versleuteling beschreven.
De aanbevolen procedures zijn gebaseerd op een consensus van mening en ze werken met de huidige mogelijkheden en functiesets van het Azure-platform. Meningen en technologieën veranderen in de loop van de tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.
Gegevens beveiligen
Als u gegevens in de cloud wilt beveiligen, moet u rekening houden met de mogelijke statussen waarin uw gegevens kunnen optreden en welke besturingselementen voor die status beschikbaar zijn. Best practices voor Azure-gegevensbeveiliging en -versleuteling hebben betrekking op de volgende gegevensstatussen:
- At rest: dit omvat alle informatieopslagobjecten, containers en typen die statisch bestaan op fysieke media, of het nu magnetische of optische schijf is.
- In transit: wanneer gegevens worden overgedragen tussen onderdelen, locaties of programma's, worden deze onderweg. Voorbeelden zijn overdracht via het netwerk, via een servicebus (van on-premises naar de cloud en omgekeerd, inclusief hybride verbindingen zoals ExpressRoute) of tijdens een invoer-/uitvoerproces.
- In gebruik: wanneer gegevens worden verwerkt, houden de gespecialiseerde AMD & Intel-chipset gebaseerde Confidential Compute-VM's de gegevens versleuteld in het geheugen met behulp van door hardware beheerde sleutels.
Een oplossing voor sleutelbeheer kiezen
Het beveiligen van uw sleutels is essentieel voor het beveiligen van uw gegevens in de cloud.
Met Azure Key Vault kunt u de cryptografische sleutels en geheimen beveiligen die cloudtoepassingen en -services gebruiken. Key Vault stroomlijnt het beheerproces voor sleutels en zorgt dat u de controle houdt over de sleutels waarmee uw gegevens toegankelijk zijn en worden versleuteld. Ontwikkelaars kunnen binnen enkele minuten sleutels voor ontwikkel- en testdoeleinden maken en deze vervolgens migreren naar productiesleutels. Beveiligingsadministrator kunnen wanneer dit nodig is machtigingen aan sleutels verlenen (en intrekken).
U kunt Key Vault gebruiken om meerdere beveiligde containers te maken, ook wel kluizen genoemd. Deze kluizen worden ondersteund door HSM's. Kluizen verminderen de kans op onbedoeld verlies van beveiligingsinformatie door de opslag van toepassingsgeheimen te centraliseren. Sleutelkluizen regelen en registreren ook de toegang tot alles wat erin is opgeslagen. Azure Key Vault kan TLS-certificaten (Transport Layer Security) aanvragen en vernieuwen. Het biedt functies voor een robuuste oplossing voor levenscyclusbeheer van certificaten.
Azure Key Vault is ontworpen ter ondersteuning van toepassingssleutels en -geheimen. Key Vault is niet bedoeld als een archief voor gebruikerswachtwoorden.
Hieronder volgen de aanbevolen beveiligingsprocedures voor het gebruik van Key Vault.
Best practice: toegang verlenen aan gebruikers, groepen en toepassingen op een bepaald bereik. Details: Vooraf gedefinieerde Azure RBAC-rollen gebruiken. Als u bijvoorbeeld toegang wilt verlenen aan een gebruiker voor het beheren van sleutelkluizen, wijst u de vooraf gedefinieerde rol Key Vault-inzender toe aan deze gebruiker voor een bepaald bereik. Het bereik in dit geval is een abonnement, een resourcegroep of alleen een specifieke sleutelkluis. Als de vooraf gedefinieerde rollen niet aan uw behoeften voldoen, kunt u uw eigen rollen definiëren.
Best practice: bepalen waartoe gebruikers toegang hebben. Detail: De toegang tot een sleutelkluis wordt beheerd via twee afzonderlijke interfaces: het beheervlak en het gegevensvlak. Het toegangsbeheer van de beheerlaag en het toegangsbeheer van de gegevenslaag werken onafhankelijk van elkaar.
Gebruik Azure RBAC om te bepalen waartoe gebruikers toegang hebben. Als u bijvoorbeeld een toepassing toegang wilt verlenen tot het gebruik van sleutels in een sleutelkluis, hoeft u alleen toegangsmachtigingen voor het gegevensvlak toe te kennen met behulp van toegangsbeleid voor key vault en is er geen toegang tot het beheervlak nodig voor deze toepassing. Als u echter wilt dat een gebruiker kluiseigenschappen en -tags kan lezen, maar geen toegang heeft tot sleutels, geheimen of certificaten, kunt u deze gebruiker leestoegang verlenen met behulp van Azure RBAC en is er geen toegang tot het gegevensvlak vereist.
Best practice: Certificaten opslaan in uw sleutelkluis. Uw certificaten zijn van hoge waarde. In de verkeerde handen kan de beveiliging van uw toepassing of de beveiliging van uw gegevens worden aangetast. Detail: Azure Resource Manager kan certificaten die zijn opgeslagen in Azure Key Vault, veilig implementeren op Azure-VM's wanneer de VM's worden geïmplementeerd. Door het juiste toegangsbeleid voor de sleutelkluis in te stellen, bepaalt u ook wie toegang tot uw certificaat krijgt. Een ander voordeel is dat u al uw certificaten op één plek beheert in Azure Key Vault. Zie Certificaten implementeren op VM's vanuit door de klant beheerde Key Vault voor meer informatie.
Best practice: Zorg ervoor dat u een verwijdering van sleutelkluizen of sleutelkluisobjecten kunt herstellen. Detail: Het verwijderen van sleutelkluizen of sleutelkluisobjecten kan onbedoeld of schadelijk zijn. Schakel de beveiliging voor voorlopig verwijderen en opschonen van Key Vault in, met name voor sleutels die worden gebruikt voor het versleutelen van data-at-rest. Het verwijderen van deze sleutels is gelijk aan gegevensverlies, dus u kunt zo nodig verwijderde kluizen en kluisobjecten herstellen. Oefen regelmatig met Key Vault-herstelbewerkingen.
Notitie
Als een gebruiker inzendermachtigingen (Azure RBAC) heeft voor een sleutelkluisbeheerlaag, kan deze zichzelf toegang verlenen tot het gegevensvlak door een toegangsbeleid voor de sleutelkluis in te stellen. U wordt aangeraden nauw te bepalen wie inzendertoegang heeft tot uw sleutelkluizen, om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw sleutelkluizen, sleutels, geheimen en certificaten.
Beheren met beveiligde werkstations
Notitie
De abonnementsbeheerder of -eigenaar moet een werkstation voor beveiligde toegang of een werkstation voor bevoegde toegang gebruiken.
Omdat de overgrote meerderheid van aanvallen gericht is op de eindgebruiker, wordt het eindpunt een van de belangrijkste aanvalspunten. Een aanvaller die inbreuk op het eindpunt heeft, kan de referenties van de gebruiker gebruiken om toegang te krijgen tot de gegevens van de organisatie. De meeste eindpuntaanvallen profiteren van het feit dat gebruikers beheerders zijn op hun lokale werkstations.
Best practice: Gebruik een beveiligd beheerwerkstation om gevoelige accounts, taken en gegevens te beveiligen. Detail: Gebruik een bevoegde toegangswerkstation om de kwetsbaarheid voor aanvallen op werkstations te verminderen. Deze beveiligde beheerwerkstations kunnen u helpen sommige van deze aanvallen te beperken en ervoor te zorgen dat uw gegevens veiliger zijn.
Best practice: Eindpuntbeveiliging garanderen. Details: Beveiligingsbeleid afdwingen voor alle apparaten die worden gebruikt om gegevens te gebruiken, ongeacht de gegevenslocatie (cloud of on-premises).
Data-at-rest beschermen
Data encryption at rest is een verplichte stap in de richting van gegevensprivacy, naleving en gegevenssoevereine.
Best practice: Schijfversleuteling toepassen om uw gegevens te beschermen. Details: Azure Disk Encryption gebruiken voor Linux-VM's of Azure Disk Encryption voor Windows-VM's. Schijfversleuteling combineert de industriestandaard Linux dm-crypt- of Windows BitLocker-functie om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven.
Azure Storage en Azure SQL Database versleutelen standaard data-at-rest en veel services bieden versleuteling als optie. U kunt Azure Key Vault gebruiken om controle te houden over de codes die toegang tot uw gegevens hebben en deze versleutelen. Raadpleeg ondersteuning van het versleutelingsmodel van Azure-resourceproviders voor meer informatie.
Best practices: Gebruik versleuteling om risico's met betrekking tot onbevoegde gegevenstoegang te beperken. Details: Versleutel uw stations voordat u gevoelige gegevens naar deze stations schrijft.
Organisaties die geen gegevensversleuteling afdwingen, worden meer blootgesteld aan problemen met vertrouwelijkheid van gegevens. Zo kunnen onbevoegde of frauduleuze gebruikers gegevens stelen in gecompromitteerde accounts of onbevoegde toegang krijgen tot gegevens die zijn gecodeerd in Clear Format. Bedrijven moeten ook bewijzen dat ze ijverig zijn en de juiste beveiligingscontroles gebruiken om hun gegevensbeveiliging te verbeteren om te voldoen aan de branchevoorschriften.
Gegevens tijdens de overdracht beveiligen
Het beschermen van gegevens tijdens de overdracht moet een essentieel onderdeel zijn van uw strategie om gegevens te beschermen. Omdat gegevens tussen veel locaties worden verplaatst, adviseren we over het algemeen om SSL-/TLS-protocollen te gebruiken om gegevens tussen verschillende locaties uit te wisselen. In sommige omstandigheden wilt u mogelijk het gehele communicatiekanaal tussen uw lokale infrastructuur en de cloud isoleren met behulp van een VPN.
U kunt gepaste beschermingsmaatregelen gebruiken, zoals HTTPS of VPN, voor gegevens die worden verplaatst tussen uw lokale infrastructuur en Azure. Wanneer u versleuteld verkeer verzendt tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet, gebruikt u Azure VPN Gateway.
Hieronder volgen best practices die specifiek zijn voor het gebruik van Azure VPN Gateway, SSL/TLS en HTTPS.
Best practice: Beveilig de toegang vanaf meerdere on-premises werkstations naar een virtueel Azure-netwerk. Details: Gebruik site-naar-site-VPN.
Best practice: beveilig de toegang vanaf een afzonderlijk on-premises werkstation naar een virtueel Azure-netwerk. Details: Punt-naar-site-VPN gebruiken.
Best practice: Grotere gegevenssets verplaatsen via een toegewezen WAN-koppeling met hoge snelheid. Details: ExpressRoute gebruiken. Als u ervoor kiest om ExpressRoute te gebruiken, kunt u de gegevens ook in de toepassing zelf versleutelen door SSL/TLS of andere protocollen te gebruiken voor extra bescherming.
Best practice: Interactie met Azure Storage via Azure Portal. Detail: Alle transacties vinden plaats via HTTPS. U kunt de Storage REST API ook via HTTPS gebruiken om te communiceren met Azure Storage.
Organisaties die geen gegevens in transit beschermen, zijn gevoeliger voor man-in-the-middle-aanvallen, afluisteren en sessiekapping. Deze aanvallen kunnen de eerste stap zijn om toegang te krijgen tot vertrouwelijke gegevens.
Gegevens beveiligen die in gebruik zijn
Verminder de behoefte aan vertrouwensrelaties die workloads uitvoeren in de cloud vereist vertrouwen. U geeft deze vertrouwensrelatie aan verschillende providers die verschillende onderdelen van uw toepassing inschakelen.
- Softwareleveranciers van apps: vertrouw software door on-premises te implementeren, opensource te gebruiken of door interne toepassingssoftware te bouwen.
- Hardwareleveranciers: vertrouw hardware met behulp van on-premises hardware of interne hardware.
- Infrastructuurproviders: vertrouw cloudproviders of beheer uw eigen on-premises datacenters.
Het verminderen van de kwetsbaarheid voor aanvallen De Trusted Computing Base (TCB) verwijst naar alle hardware, firmware en softwareonderdelen van een systeem die een veilige omgeving bieden. De onderdelen in de TCB worden beschouwd als 'kritiek'. Als één onderdeel in de TCB is aangetast, kan de beveiliging van het hele systeem in gevaar worden gebracht. Een lagere TCB betekent een betere beveiliging. Er is minder risico voor blootstelling aan verschillende beveiligingsproblemen, malware, aanvallen en kwaadaardige personen.
Azure Confidential Computing kan u helpen:
- Onbevoegde toegang voorkomen: gevoelige gegevens uitvoeren in de cloud. Vertrouw erop dat Azure de best mogelijke gegevensbescherming biedt, met weinig tot geen wijzigingen van wat er vandaag wordt gedaan.
- Voldoen aan naleving van regelgeving: migreer naar de cloud en houd volledige controle over gegevens om te voldoen aan overheidsvoorschriften voor het beveiligen van persoonlijke gegevens en het beveiligde IP-adres van de organisatie.
- Zorg voor veilige en niet-vertrouwde samenwerking: los problemen op in de hele branche door gegevens te combineren tussen organisaties, zelfs concurrenten, om brede gegevensanalyses en diepere inzichten te ontsluiten.
- Isoleren van verwerking: Bied een nieuwe golf van producten die aansprakelijkheid voor privégegevens met blinde verwerking verwijderen. Gebruikersgegevens kunnen niet eens worden opgehaald door de serviceprovider.
Meer informatie over Confidential Computing.
E-mail, documenten en gevoelige gegevens beveiligen
U wilt e-mail, documenten en gevoelige gegevens beheren en beveiligen die u buiten uw bedrijf deelt. Azure Information Protection is een cloudoplossing waarmee een organisatie documenten en e-mailberichten kan classificeren, labelen en beveiligen. Dit kan automatisch worden gedaan door beheerders die regels en voorwaarden definiëren, handmatig door gebruikers of een combinatie waarbij gebruikers aanbevelingen krijgen.
Classificatie is altijd identificeerbaar, ongeacht waar de gegevens worden opgeslagen of met wie ze worden gedeeld. De labels bevatten visuele markeringen, zoals een koptekst, voettekst of watermerk. Metagegevens worden toegevoegd aan bestanden en e-mailkoppen in duidelijke tekst. De duidelijke tekst zorgt ervoor dat andere services, zoals oplossingen om gegevensverlies te voorkomen, de classificatie kunnen identificeren en passende actie kunnen ondernemen.
De beveiligingstechnologie maakt gebruik van Azure Rights Management (Azure RMS). Deze technologie is geïntegreerd met andere Microsoft-cloudservices en -toepassingen, zoals Microsoft 365 en Microsoft Entra ID. Deze beveiligingstechnologie maakt gebruik van beleid voor versleuteling, identiteit en autorisatie. Beveiliging die wordt toegepast via Azure RMS, blijft bij de documenten en e-mailberichten, onafhankelijk van de locatie binnen of buiten uw organisatie, netwerken, bestandsservers en toepassingen.
Deze oplossing voor gegevensbeveiliging houdt u de controle over uw gegevens, zelfs wanneer deze worden gedeeld met andere personen. U kunt Azure RMS ook gebruiken met uw eigen Line-Of-Business-toepassingen en gegevensbeveiligingsoplossingen van softwareleveranciers, ongeacht of deze toepassingen en oplossingen zich on-premises of in de cloud bevinden.
U wordt aangeraden dat u:
- Azure Information Protection implementeren voor uw organisatie.
- Pas labels toe die overeenkomen met uw zakelijke vereisten. Bijvoorbeeld: Pas een label met de naam Zeer vertrouwelijk toe op alle documenten en e-mailberichten die topgeheimen bevatten, om deze gegevens te classificeren en te beveiligen. Vervolgens hebben alleen geautoriseerde gebruikers toegang tot deze gegevens, met eventuele beperkingen die u opgeeft.
- Configureer gebruikslogboekregistratie voor Azure RMS , zodat u kunt controleren hoe uw organisatie de beveiligingsservice gebruikt.
Organisaties die zwak zijn voor gegevensclassificatie en bestandsbeveiliging kunnen gevoeliger zijn voor gegevenslekken of gegevensmisbruik. Met de juiste bestandsbeveiliging kunt u gegevensstromen analyseren om inzicht te krijgen in uw bedrijf, riskant gedrag detecteren en corrigerende maatregelen nemen, de toegang tot documenten bijhouden, enzovoort.
Volgende stappen
Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.
De volgende resources zijn beschikbaar voor algemene informatie over Azure-beveiliging en gerelateerde Microsoft-services:
- Azure Security Team-blog : voor actuele informatie over de nieuwste versie van Azure Security
- Microsoft Security Response Center : waar Beveiligingsproblemen van Microsoft, inclusief problemen met Azure, kunnen worden gerapporteerd of via e-mail naar secure@microsoft.com