Najlepsze rozwiązania z zakresu zabezpieczeń i szyfrowania danych na platformie Azure
W tym artykule opisano najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych.
Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi możliwościami i zestawami funkcji platformy Azure. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł jest regularnie aktualizowany w celu odzwierciedlenia tych zmian.
Ochrona danych
Aby chronić dane w chmurze, należy uwzględnić możliwe stany, w których mogą wystąpić dane, oraz dostępne dla tego stanu kontrolki. Najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych platformy Azure odnoszą się do następujących stanów danych:
- Magazyn: Obejmuje to wszystkie obiekty magazynu informacji, kontenery i typy, które istnieją statycznie na nośniku fizycznym, zarówno magnetycznym, jak i optycznym.
- Podczas przesyłania: gdy dane są przesyłane między składnikami, lokalizacjami lub programami, są przesyłane. Przykłady to transfer przez sieć w ramach magistrali usług (z lokalnej do chmury i odwrotnie, w tym połączeń hybrydowych, takich jak usługa ExpressRoute) lub podczas procesu wejściowego/wyjściowego.
- W użyciu: gdy dane są przetwarzane, wyspecjalizowane maszyny wirtualne obliczeniowe firmy AMD i Intel oparte poufne maszyny wirtualne obliczeniowe przechowują dane zaszyfrowane w pamięci przy użyciu kluczy zarządzanych przez sprzęt.
Wybieranie rozwiązania do zarządzania kluczami
Ochrona kluczy jest niezbędna do ochrony danych w chmurze.
Usługa Azure Key Vault ułatwia ochronę kluczy kryptograficznych i wpisów tajnych używanych przez aplikacje i usługi w chmurze. Usługa Key Vault usprawnia proces zarządzania kluczami i pozwala zachować kontrolę nad kluczami, które mają dostęp do danych i szyfrują je. Deweloperzy mogą w klika minut utworzyć klucze do programowania i testowania, a następnie przeprowadzić ich migrację do kluczy produkcyjnych. W razie potrzeby administratorzy zabezpieczeń mogą przydzielić (i cofnąć) uprawnienia do używania kluczy.
Usługa Key Vault umożliwia tworzenie wielu bezpiecznych kontenerów nazywanych magazynami. Te magazyny są wspierane przez moduły HSM. Magazyny zmniejszają prawdopodobieństwo przypadkowej utraty danych zabezpieczeń dzięki centralizacji przechowywania wpisów tajnych aplikacji. Magazyny kluczy umożliwiają także kontrolowanie i rejestrowanie dostępu do wszelkich elementów, które są w nich przechowywane. Usługa Azure Key Vault może obsługiwać żądania i odnawianie certyfikatów protokołu Transport Layer Security (TLS). Udostępnia ona funkcje niezawodnego rozwiązania do zarządzania cyklem życia certyfikatów.
Usługa Azure Key Vault jest przeznaczona do obsługi kluczy aplikacji i wpisów tajnych. Usługa Key Vault nie jest przeznaczona do przechowywania haseł użytkowników.
Poniżej przedstawiono najlepsze rozwiązania w zakresie zabezpieczeń dotyczące korzystania z usługi Key Vault.
Najlepsze rozwiązanie: udzielanie dostępu użytkownikom, grupom i aplikacjom w określonym zakresie. Szczegóły: Użyj wstępnie zdefiniowanych ról kontroli dostępu opartej na rolach platformy Azure. Aby na przykład udzielić użytkownikowi dostępu do zarządzania magazynami kluczy, należy przypisać wstępnie zdefiniowaną rolę Współautor usługi Key Vault do tego użytkownika w określonym zakresie. Zakresem w tym przypadku będzie subskrypcja, grupa zasobów lub tylko określony magazyn kluczy. Jeśli wstępnie zdefiniowane role nie odpowiadają Twoim potrzebom, możesz zdefiniować własne role.
Najlepsze rozwiązanie: kontrolowanie, do czego użytkownicy mają dostęp. Szczegóły: Dostęp do magazynu kluczy jest kontrolowany za pomocą dwóch oddzielnych interfejsów: płaszczyzny zarządzania i płaszczyzny danych. Mechanizmy kontroli dostępu do płaszczyzny zarządzania i płaszczyzny danych działają niezależnie.
Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie, do czego użytkownicy mają dostęp. Jeśli na przykład chcesz udzielić aplikacji dostępu do używania kluczy w magazynie kluczy, musisz udzielić uprawnień dostępu do płaszczyzny danych tylko przy użyciu zasad dostępu do magazynu kluczy, a dla tej aplikacji nie jest wymagany dostęp do płaszczyzny zarządzania. Z drugiej strony, jeśli chcesz, aby użytkownik mógł odczytywać właściwości i tagi magazynu, ale nie ma dostępu do kluczy, wpisów tajnych lub certyfikatów, możesz udzielić temu użytkownikowi dostępu do odczytu przy użyciu kontroli dostępu opartej na rolach platformy Azure i nie jest wymagany żaden dostęp do płaszczyzny danych.
Najlepsze rozwiązanie: przechowywanie certyfikatów w magazynie kluczy. Certyfikaty mają wysoką wartość. W nieprawidłowych rękach zabezpieczenia aplikacji lub zabezpieczenia danych mogą zostać naruszone. Szczegóły: Usługa Azure Resource Manager może bezpiecznie wdrażać certyfikaty przechowywane w usłudze Azure Key Vault na maszynach wirtualnych platformy Azure podczas wdrażania maszyn wirtualnych. Ustawiając odpowiednie zasady dostępu dla magazynu kluczy, możesz również kontrolować, kto uzyskuje dostęp do certyfikatu. Kolejną zaletą jest zarządzanie wszystkimi certyfikatami w jednym miejscu za pomocą usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz Deploy Certificates to VMs from customer-managed Key Vault (Wdrażanie certyfikatów na maszynach wirtualnych z zarządzanej przez klienta usługi Key Vault ).
Najlepsze rozwiązanie: upewnij się, że można odzyskać usunięcie magazynów kluczy lub obiektów magazynu kluczy. Szczegóły: Usunięcie magazynów kluczy lub obiektów magazynu kluczy może być przypadkowe lub złośliwe. Włącz usuwanie nietrwałe i funkcje ochrony przed ochrony przed przeczyszczaniem w usłudze Key Vault, szczególnie w przypadku kluczy używanych do szyfrowania danych w spoczynku. Usunięcie tych kluczy jest równoznaczne z utratą danych, więc w razie potrzeby możesz odzyskać usunięte magazyny i obiekty magazynu. Regularnie przećwicz operacje odzyskiwania usługi Key Vault.
Uwaga
Jeśli użytkownik ma uprawnienia współautora (RBAC platformy Azure) do płaszczyzny zarządzania magazynu kluczy, może udzielić sobie dostępu do płaszczyzny danych, ustawiając zasady dostępu do magazynu kluczy. Zalecamy ścisłą kontrolę nad tym, kto ma dostęp współautora do magazynów kluczy, aby mieć pewność, że tylko autoryzowane osoby będą mogły uzyskiwać dostęp do magazynów kluczy, kluczy, wpisów tajnych i certyfikatów oraz zarządzać nimi.
Zarządzanie bezpiecznymi stacjami roboczymi
Uwaga
Administrator subskrypcji lub właściciel powinien używać stacji roboczej z bezpiecznym dostępem lub stacji roboczej z uprzywilejowanym dostępem.
Ponieważ zdecydowana większość ataków dotyczy użytkownika końcowego, punkt końcowy staje się jednym z głównych punktów ataku. Osoba atakująca, która naruszy zabezpieczenia punktu końcowego, może użyć poświadczeń użytkownika w celu uzyskania dostępu do danych organizacji. Większość ataków punktów końcowych korzysta z faktu, że użytkownicy są administratorami na lokalnych stacjach roboczych.
Najlepsze rozwiązanie: użyj bezpiecznej stacji roboczej do zarządzania, aby chronić poufne konta, zadania i dane. Szczegóły: Użyj stacji roboczej z dostępem uprzywilejowanym, aby zmniejszyć obszar narażony na ataki na stacjach roboczych. Te bezpieczne stacje robocze zarządzania mogą pomóc w ograniczeniu niektórych z tych ataków i zapewnić bezpieczeństwo danych.
Najlepsze rozwiązanie: Zapewnianie ochrony punktu końcowego. Szczegóły: Wymuszanie zasad zabezpieczeń na wszystkich urządzeniach, które są używane do korzystania z danych, niezależnie od lokalizacji danych (chmury lub środowiska lokalnego).
Ochrona danych magazynowanych
Szyfrowanie danych magazynowanych to obowiązkowy krok w kierunku prywatności, zgodności i niezależności danych.
Najlepsze rozwiązanie: stosowanie szyfrowania dysków w celu ochrony danych. Szczegóły: Użyj usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Linux lub usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Windows. Szyfrowanie dysków łączy w sobie standardową w branży funkcję dm-crypt systemu Linux lub funkcji BitLocker systemu Windows w celu zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych.
Usługi Azure Storage i Azure SQL Database domyślnie szyfrują dane magazynowane, a wiele usług oferuje szyfrowanie jako opcję. Za pomocą usługi Azure Key Vault można zachować kontrolę nad kluczami, za pomocą których jest uzyskiwany dostęp do danych i następuje ich szyfrowanie. Aby dowiedzieć się więcej, zobacz Obsługa modelu szyfrowania dostawców zasobów platformy Azure.
Najlepsze rozwiązania: Używanie szyfrowania w celu ograniczenia ryzyka związanego z nieautoryzowanym dostępem do danych. Szczegóły: Szyfruj dyski przed zapisaniem do nich poufnych danych.
Organizacje, które nie wymuszają szyfrowania danych, są bardziej narażone na problemy z poufnością danych. Na przykład nieautoryzowani lub nieautoryzowani użytkownicy mogą kradnąć dane na kontach, których bezpieczeństwo naruszono, lub uzyskać nieautoryzowany dostęp do danych zakodowanych w formacie Clear Format. Firmy muszą również udowodnić, że są sumienni i wykorzystują odpowiednie mechanizmy kontroli zabezpieczeń w celu zwiększenia bezpieczeństwa danych w celu zapewnienia zgodności z przepisami branżowymi.
Ochrona danych podczas przesyłania
Ochrona danych podczas ich przesyłania powinna być istotną częścią strategii ochrony danych. Ponieważ dane są przenoszone pomiędzy wieloma lokalizacjami, zazwyczaj zalecamy, aby do wymiany danych między różnymi lokalizacjami zawsze używać protokołów SSL/TLS. W niektórych sytuacjach może być konieczne odizolowanie całego kanału komunikacyjnego łączącego infrastruktury lokalne i chmury przy użyciu sieci VPN.
W przypadku danych przenoszonych między infrastrukturą lokalną i platformą Azure należy wziąć pod uwagę odpowiednie zabezpieczenia, takie jak protokół HTTPS lub sieć VPN. Podczas wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu użyj usługi Azure VPN Gateway.
Poniżej przedstawiono najlepsze rozwiązania dotyczące używania usługi Azure VPN Gateway, protokołu SSL/TLS i protokołu HTTPS.
Najlepsze rozwiązanie: Bezpieczny dostęp z wielu stacji roboczych znajdujących się lokalnie do sieci wirtualnej platformy Azure. Szczegóły: Użyj sieci VPN typu lokacja-lokacja.
Najlepsze rozwiązanie: Zabezpieczanie dostępu z poszczególnych stacji roboczych znajdujących się lokalnie do sieci wirtualnej platformy Azure. Szczegóły: Użyj sieci VPN typu punkt-lokacja.
Najlepsze rozwiązanie: Przenoszenie większych zestawów danych za pośrednictwem dedykowanego szybkiego łącza sieci WAN. Szczegóły: Użyj usługi ExpressRoute. Jeśli wybierzesz korzystanie z usługi ExpressRoute, możesz także szyfrować dane na poziomie aplikacji przy użyciu protokołu SSL/TLS lub innych protokołów w celu zapewnienia dodatkowej ochrony.
Najlepsze rozwiązanie: interakcja z usługą Azure Storage za pośrednictwem witryny Azure Portal. Szczegóły: wszystkie transakcje są wykonywane za pośrednictwem protokołu HTTPS. Do interakcji z usługą Azure Storage można również użyć interfejsu API REST usługi Storage za pośrednictwem protokołu HTTPS.
Organizacje, które nie chronią danych przesyłanych, są bardziej podatne na ataki typu man-in-the-middle, podsłuchiwanie i porwanie sesji. Takie ataki mogą być pierwszym krokiem do uzyskania dostępu do poufnych danych.
Ochrona danych w użyciu
Zmniejszyć potrzebę zaufania Uruchamianie obciążeń w chmurze wymaga zaufania. To zaufanie daje różnym dostawcom, którzy włączają różne składniki aplikacji.
- Dostawcy oprogramowania aplikacji: ufaj oprogramowaniu przez wdrażanie lokalnego oprogramowania typu open source lub tworzenie oprogramowania aplikacji w firmie.
- Dostawcy sprzętu: ufaj sprzętowi przy użyciu sprzętu lokalnego lub sprzętu wewnętrznego.
- Dostawcy infrastruktury: ufaj dostawcom chmury lub zarządzaj własnymi lokalnymi centrami danych.
Zmniejszenie obszaru podatnego na ataki Baza zaufanych obliczeń (TCB) odnosi się do wszystkich składników sprzętu, oprogramowania układowego i oprogramowania systemu, które zapewniają bezpieczne środowisko. Składniki wewnątrz TCB są uważane za "krytyczne". Jeśli bezpieczeństwo jednego składnika wewnątrz TCB zostanie naruszone, bezpieczeństwo całego systemu może być zagrożone. Niższy TCB oznacza wyższe bezpieczeństwo. Istnieje mniejsze ryzyko narażenia na różne luki w zabezpieczeniach, złośliwe oprogramowanie, ataki i złośliwe osoby.
Poufne przetwarzanie na platformie Azure może pomóc:
- Zapobieganie nieautoryzowanemu dostępowi: uruchamianie poufnych danych w chmurze. Ufaj, że platforma Azure zapewnia najlepszą możliwą ochronę danych, z niewielkimi zmianami w porównaniu z tym, co robi się dzisiaj.
- Zgodność z przepisami: migrowanie do chmury i zapewnienie pełnej kontroli nad danymi w celu spełnienia przepisów rządowych dotyczących ochrony danych osobowych i bezpiecznego adresu IP organizacji.
- Zapewnij bezpieczną i niezaufaną współpracę: Rozwiązywanie problemów w skali roboczej w całej branży dzięki przeczesywaniu danych między organizacjami, a nawet konkurentami, aby odblokować szeroką analizę danych i bardziej szczegółowe informacje.
- Izolowanie przetwarzania: oferuje nową falę produktów, które usuwają odpowiedzialność za dane prywatne z przetwarzaniem ślepym. Dane użytkownika nie mogą być nawet pobierane przez dostawcę usług.
Dowiedz się więcej na temat poufnego przetwarzania.
Zabezpieczanie poczty e-mail, dokumentów i poufnych danych
Chcesz kontrolować i zabezpieczać pocztę e-mail, dokumenty i poufne dane udostępniane poza firmą. Azure Information Protection to rozwiązanie oparte na chmurze, które ułatwia organizacji klasyfikowanie, etykietowanie i ochronę dokumentów i wiadomości e-mail. Można to zrobić automatycznie przez administratorów, którzy definiują reguły i warunki, ręcznie przez użytkowników lub kombinację, w której użytkownicy otrzymują zalecenia.
Klasyfikacja jest możliwa do zidentyfikowania przez cały czas, niezależnie od tego, gdzie są przechowywane dane lub komu są udostępniane. Etykiety zawierają oznaczenia wizualne, takie jak nagłówek, stopka lub znak wodny. Metadane są dodawane do plików i nagłówków wiadomości e-mail w postaci zwykłego tekstu. Zwykły tekst zapewnia, że inne usługi, takie jak rozwiązania, które uniemożliwiają utratę danych, mogą identyfikować klasyfikację i podejmować odpowiednie działania.
Technologia ochrony korzysta z usługi Azure Rights Management (Azure RMS). Ta technologia jest zintegrowana z innymi usługami i aplikacjami firmy Microsoft w chmurze, takimi jak Microsoft 365 i Microsoft Entra ID. Ta technologia ochrony korzysta z zasad szyfrowania, tożsamości i autoryzacji. Ochrona stosowana za pośrednictwem usługi Azure RMS pozostaje w dokumentach i wiadomościach e-mail niezależnie od lokalizacji wewnątrz organizacji, sieci, serwerów plików i aplikacji.
To rozwiązanie do ochrony informacji zapewnia kontrolę nad danymi nawet wtedy, gdy są udostępniane innym osobom. Usługę Azure RMS można również używać z własnymi aplikacjami biznesowymi i rozwiązaniami ochrony informacji od dostawców oprogramowania, niezależnie od tego, czy te aplikacje i rozwiązania są lokalne, czy w chmurze.
Zalecamy wykonanie następujących czynności:
- Wdrażanie usługi Azure Information Protection dla organizacji.
- Zastosuj etykiety odzwierciedlające wymagania biznesowe. Na przykład: Zastosuj etykietę o nazwie "wysoce poufne" do wszystkich dokumentów i wiadomości e-mail zawierających dane ściśle tajne, aby sklasyfikować i chronić te dane. Następnie tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do tych danych z określonymi ograniczeniami.
- Skonfiguruj rejestrowanie użycia dla usługi Azure RMS , aby monitorować sposób korzystania z usługi ochrony w organizacji.
Organizacje, które są słabe w zakresie klasyfikacji danych i ochrony plików, mogą być bardziej podatne na wyciek danych lub niewłaściwe użycie danych. Dzięki właściwej ochronie plików możesz analizować przepływy danych, aby uzyskać wgląd w firmę, wykrywać ryzykowne zachowania i podejmować środki naprawcze, śledzić dostęp do dokumentów itd.
Następne kroki
Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.
Dostępne są następujące zasoby, aby uzyskać bardziej ogólne informacje na temat zabezpieczeń platformy Azure i powiązanych usługi firmy Microsoft:
- Blog zespołu ds. zabezpieczeń platformy Azure — aby uzyskać aktualne informacje na temat najnowszych informacji w usłudze Azure Security
- Centrum zabezpieczeń firmy Microsoft — gdzie luki w zabezpieczeniach firmy Microsoft, w tym problemy z platformą Azure, mogą być zgłaszane lub za pośrednictwem poczty e-mail secure@microsoft.com