Zabezpieczenia, ład i zgodność na potrzeby analizy w skali chmury
Podczas planowania architektury analizy w skali chmury należy zwrócić szczególną uwagę na zapewnienie, że architektura jest niezawodna i bezpieczna. Ten artykuł dotyczy kryteriów projektowania zabezpieczeń, zgodności i ładu na potrzeby analizy w skali chmury w skali przedsiębiorstwa. W tym artykule omówiono również zalecenia dotyczące projektowania i najlepsze rozwiązania dotyczące wdrażania analizy w skali chmury na platformie Azure. Przejrzyj zarządzanie bezpieczeństwem w skali przedsiębiorstwa, aby w pełni przygotować się do zapewnienia zgodności i zarządzania rozwiązaniem przedsiębiorstwa.
Rozwiązania w chmurze początkowo były hostowane dla pojedynczych, stosunkowo izolowanych aplikacji. Ponieważ korzyści wynikające z rozwiązań w chmurze stały się jasne, obciążenia na większą skalę były hostowane w chmurze, takie jak SAP na platformie Azure. Dlatego istotne stało się rozwiązanie problemów z zabezpieczeniami, niezawodnością, wydajnością i kosztami wdrożeń regionalnych w całym cyklu życia usług w chmurze.
Wizją zabezpieczeń, zgodności i ładu w strefie docelowej analizy w skali chmury na platformie Azure jest zapewnienie narzędzi i procesów, które pomagają zminimalizować ryzyko i podejmować skuteczne decyzje. Strefy docelowe Azure definiują role i obowiązki dotyczące zarządzania bezpieczeństwem i zgodności.
Wzorzec analizy w skali chmury opiera się na kilku funkcjach zabezpieczeń, które można włączyć na platformie Azure. Te funkcje obejmują szyfrowanie, kontrolę dostępu opartą na rolach, listy kontroli dostępu i ograniczenia sieci.
Zalecenia dotyczące projektowania zabezpieczeń
Zarówno firma Microsoft, jak i klienci mają wspólną odpowiedzialność za bezpieczeństwo. Aby uzyskać zaakceptowane wskazówki dotyczące zabezpieczeń, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi cyberbezpieczeństwa przez Centrum zabezpieczeń internetowych. W poniższych sekcjach przedstawiono zalecenia dotyczące projektowania zabezpieczeń.
Szyfrowanie danych spoczynkowych
Szyfrowanie danych w stanie spoczynku odnosi się do szyfrowania danych w momencie gdy są przechowywane i adresuje ryzyka bezpieczeństwa związane z bezpośrednim fizycznym dostępem do nośników danych. Dane w spoczynku są krytyczną kontrolą zabezpieczeń, ponieważ bazowe dane są niemożliwe do odzyskania i nie można ich zmienić bez klucza deszyfrującego. DData-at-rest to ważna warstwa w strategii ochrony w centrach danych firmy Microsoft. Często istnieją powody zgodności z przepisami i zarządzania, aby wdrożyć szyfrowanie danych w stanie spoczynku.
Kilka usług platformy Azure obsługuje szyfrowanie danych magazynowanych, w tym usługi Azure Storage i bazy danych Azure SQL Database. Chociaż typowe pojęcia i modele mają wpływ na projektowanie usług platformy Azure, każda usługa może stosować szyfrowanie danych magazynowanych w różnych warstwach stosu lub mieć różne wymagania dotyczące szyfrowania.
Ważny
Wszystkie usługi obsługujące szyfrowanie danych magazynowanych powinny być domyślnie włączone.
Zabezpieczanie danych podczas przesyłania
Uważa się, że dane są w tranzycie lub w locie, gdy przechodzą z jednej lokalizacji do innej. Ten tranzyt może wystąpić wewnętrznie, lokalnie lub na platformie Azure albo zewnętrznie, na przykład przez Internet do użytkownika końcowego. Platforma Azure oferuje kilka mechanizmów, w tym szyfrowanie, aby dane były prywatne podczas przesyłania. Te mechanizmy obejmują:
- Komunikacja za pośrednictwem sieci VPN przy użyciu szyfrowania IPsec/IKE.
- Bezpieczeństwo warstwy transportowej (TLS)
- Protokoły dostępne na maszynach wirtualnych platformy Azure, takie jak protokół IPsec systemu Windows lub SMB.
Szyfrowanie z wykorzystaniem MACsec (ochrona kontroli dostępu do mediów), standardu IEEE na warstwie łącza danych, jest automatycznie włączane dla całego ruchu Azure między centrami danych. To szyfrowanie zapewnia poufność i integralność danych klienta. Aby uzyskać więcej informacji, zobacz Ochrona danych klientów Azure.
Zarządzanie kluczami i tajemnicami
Aby kontrolować klucze szyfrowania dysków i wpisy tajne na potrzeby analizy w skali chmury i zarządzać nimi, użyj usługi Azure Key Vault. Usługa Key Vault ma możliwości aprowizowania certyfikatów SSL/TLS i zarządzania nimi. Można również chronić tajemnice za pomocą sprzętowych modułów zabezpieczeń (HSM).
Microsoft Defender for Cloud
Usługa Microsoft Defender for Cloud zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci wirtualnych i nie tylko.
Po włączeniu usługi Defender for Cloud z obszaru cen i ustawień następujące plany usługi Microsoft Defender są włączone jednocześnie i zapewniają kompleksowe zabezpieczenia warstw obliczeniowych, danych i usług środowiska:
- Microsoft Defender dla serwerów
- Microsoft Defender for App Service
- Microsoft Defender for Storage
- Microsoft Defender for SQL
- Microsoft Defender for Kubernetes
- Microsoft Defender dla rejestrów kontenerów
- Microsoft Defender for Key Vault
- Microsoft Defender dla Resource Manager
- usługi Microsoft Defender dla systemu DNS
Te plany zostały wyjaśnione oddzielnie w dokumentacji usługi Defender for Cloud.
Ważny
Jeśli usługa Defender for Cloud jest dostępna dla ofert typu platforma jako usługa (PaaS), należy włączyć tę funkcję domyślnie, szczególnie w przypadku kont usługi Azure Data Lake Storage. Aby uzyskać więcej informacji, zobacz
Microsoft Defender for Identity
Usługa Microsoft Defender for Identity jest częścią zaawansowanej oferty zabezpieczeń danych, która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń. Dostęp do usługi Microsoft Defender for Identity można uzyskać i zarządzać za pośrednictwem witryny Azure Portal.
Ważny
Włącz usługę Microsoft Defender for Identity domyślnie za każdym razem, gdy jest ona dostępna dla używanych usług PaaS.
Włączanie usługi Microsoft Sentinel
Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania zdarzeniami bezpieczeństwa (SIEM) i zautomatyzowana odpowiedź orkiestracji zabezpieczeń (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając jedno rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.
Sieci komputerowe
Zalecany widok analizy w skali chmury polega na używaniu prywatnych punktów końcowych platformy Azure dla wszystkich usług PaaS, a nie publicznych adresów IP dla wszystkich usług typu infrastruktura jako usługa (IaaS). Aby uzyskać więcej informacji, sprawdź analizę sieciową w skali chmury.
Zalecenia dotyczące projektowania zgodności i ładu
Azure Advisor pomaga uzyskać skonsolidowany widok w ramach subskrypcji platformy Azure. Zapoznaj się z usługą Azure Advisor, aby uzyskać informacje o niezawodności, odporności, bezpieczeństwie, wydajności, doskonałości operacyjnej i zaleceniach dotyczących kosztów. W poniższych sekcjach przedstawiono zalecenia dotyczące zgodności i projektowania ładu.
Korzystanie z usługi Azure Policy
Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Poprzez pulpit nawigacyjny zgodności umożliwia uzyskanie całościowego obrazu stanu środowiska, z opcją przechodzenia do szczegółowych informacji o poszczególnych zasobach lub politykach.
Usługa Azure Policy pomaga zapewnić zgodność zasobów dzięki zbiorczemu korygowaniu istniejących zasobów i automatycznemu korygowaniu nowych zasobów. Dostępnych jest kilka wbudowanych zasad, na przykład aby ograniczyć lokalizację nowych zasobów, wymagać tagu i jego wartości w zasobach, utworzyć maszynę wirtualną przy użyciu dysku zarządzanego lub wymusić zasady nazewnictwa.
Automatyzowanie wdrożeń
Możesz zaoszczędzić czas i zmniejszyć błędy, automatyzując wdrożenia. Uprość wdrażanie kompleksowych stref lądowania danych i aplikacji przetwarzających dane (które tworzą produkty danych), tworząc szablony kodu wielokrotnego użytku. Ta automatyzacja minimalizuje czas wdrażania lub ponownego wdrażania rozwiązań. Aby uzyskać więcej informacji, zobacz
Rezerwacja zasobów przeznaczonych do obciążeń produkcyjnych
Utwórz wymagane podstawowe zasoby platformy Azure do zarządzania danymi i strefy docelowej danych na początku projektu. Po zakończeniu wszystkich dodatków, przenosin i zmian oraz gdy wdrożenie platformy Azure jest operacyjne, zablokować wszystkie zasoby. Następnie tylko administrator może odblokować lub zmodyfikować zasoby. Aby uzyskać więcej informacji, zobacz Zablokuj zasoby, aby zapobiec nieoczekiwanym zmianom.
Implementowanie kontroli dostępu opartej na rolach
Możesz dostosować kontrolę dostępu opartą na rolach (RBAC) w subskrypcjach platformy Azure, aby zarządzać osobami mającymi dostęp do zasobów platformy Azure, co mogą robić z tymi zasobami i obszarami, do których mają dostęp. Można na przykład zezwolić członkom zespołu na wdrażanie podstawowych zasobów w strefie docelowej danych, ale uniemożliwić im zmianę dowolnego składnika sieciowego.
Scenariusze zgodności i ładu
Poniższe zalecenia dotyczą różnych scenariuszy zgodności z przepisami i zarządzania. Te scenariusze reprezentują ekonomiczne i skalowalne rozwiązanie.
| Scenariusz | Zalecenie |
|---|---|
| Skonfiguruj model ładu przy użyciu standardowych konwencji nazewnictwa i pobieraj raporty na podstawie centrum kosztów. | Użyj usługi Azure Policy i tagów, aby spełnić wymagania. |
| Unikaj przypadkowego usunięcia zasobów platformy Azure. | Użyj blokad zasobów platformy Azure, aby zapobiec przypadkowemu usunięciu. |
| Uzyskaj skonsolidowany widok obszarów do optymalizacji kosztów, wzmacniania odporności, poprawy bezpieczeństwa, doskonałości operacyjnej i wydajności zasobów Azure. | Użyj usługi Azure Advisor, aby uzyskać skonsolidowany widok dla oprogramowania SAP w subskrypcjach platformy Azure. |