Udostępnij za pośrednictwem

Strategia zabezpieczeń i zgodności platformy Azure: analiza pci DSS

  • Artykuł

Omówienie

Ta strategia zabezpieczeń i zgodności platformy Azure zawiera wskazówki dotyczące wdrażania architektury analizy danych na platformie Azure, która pomaga spełnić wymagania standardów zabezpieczeń danych branżowych kart płatniczych (PCI DSS 3.2). Prezentuje wspólną architekturę referencyjną i pokazuje właściwą obsługę danych karty kredytowej (w tym numer karty, wygaśnięcie i dane weryfikacyjne) w bezpiecznym, zgodnym środowisku wielowarstwowym. Ta strategia przedstawia sposoby, w jaki klienci mogą spełnić określone wymagania dotyczące zabezpieczeń i zgodności oraz stanowią podstawę dla klientów do tworzenia i konfigurowania własnych rozwiązań do analizy danych na platformie Azure.

Ta architektura referencyjna, przewodnik implementacji i model zagrożeń stanowią podstawę dla klientów w celu spełnienia wymagań PCI DSS 3.2. To rozwiązanie zapewnia punkt odniesienia, który ułatwia klientom wdrażanie obciążeń na platformie Azure w sposób zgodny ze standardem PCI DSS 3.2; jednak to rozwiązanie nie powinno być używane jako w środowisku produkcyjnym, ponieważ wymagana jest dodatkowa konfiguracja.

Osiągnięcie zgodności PCI DSS wymaga, aby akredytowany kwalifikowany program oceny zabezpieczeń (QSA) certyfikowanie produkcyjnego rozwiązania klienta. Klienci są odpowiedzialni za przeprowadzanie odpowiednich ocen zabezpieczeń i zgodności dowolnego rozwiązania utworzonego przy użyciu tej architektury, ponieważ wymagania mogą się różnić w zależności od specyfiki implementacji każdego klienta.

Diagram architektury i składniki

Ta strategia zabezpieczeń i zgodności platformy Azure udostępnia platformę analizy, na której klienci mogą tworzyć własne narzędzia analityczne. Architektura referencyjna przedstawia ogólny przypadek użycia, w którym klienci mogą wprowadzać dane za pośrednictwem zbiorczych importów danych przez administratora sql/danych lub za pośrednictwem aktualizacji danych operacyjnych za pośrednictwem użytkownika operacyjnego. Oba strumienie pracy zawierają Azure Functions do importowania danych do bazy danych Azure SQL. Azure Functions należy skonfigurować przez klienta za pośrednictwem Azure Portal w celu obsługi zadań importu unikatowych dla własnych wymagań analitycznych poszczególnych klientów.

Platforma Azure oferuje różne usługi raportowania i analizy dla klientów. To rozwiązanie obejmuje usługę Azure Machine Learning w połączeniu z usługą Azure SQL Database, aby szybko przeglądać dane i dostarczać szybsze wyniki dzięki inteligentniejszemu modelowaniu. Usługa Azure Machine Learning zwiększa szybkość zapytań, odnajdując nowe relacje między zestawami danych. Gdy dane zostały wytrenowane za pomocą kilku funkcji statystycznych, do 7 dodatkowych pul zapytań (łącznie z serwerem klienta) można zsynchronizować z tymi samymi modelami tabelarycznymi w celu rozłożenia obciążeń zapytań i skrócenia czasu odpowiedzi.

W przypadku rozszerzonych analiz i raportowania można skonfigurować bazy danych Azure SQL za pomocą indeksów magazynu kolumn. Zarówno usługi Azure Machine Learning, jak i bazy danych Azure SQL można skalować w górę lub w dół lub całkowicie wyłączać w odpowiedzi na użycie klientów. Cały ruch SQL jest szyfrowany przy użyciu protokołu SSL za pośrednictwem dołączania certyfikatów z podpisem własnym. Najlepszym rozwiązaniem jest użycie zaufanego urzędu certyfikacji na potrzeby zwiększonych zabezpieczeń.

Gdy dane zostaną przekazane do bazy danych Azure SQL i wytrenowane przez usługę Azure Machine Learning, są szyfrowane zarówno przez użytkownika operacyjnego, jak i Administracja SQL/Data w usłudze Power BI. Usługa Power BI wyświetla dane intuicyjnie i ściąga informacje między wieloma zestawami danych, aby uzyskać lepszy wgląd. Wysoki stopień adaptacji i łatwa integracja z usługą Azure SQL Database zapewnia, że klienci mogą skonfigurować ją do obsługi szerokiej gamy scenariuszy zgodnie z potrzebami biznesowymi.

Rozwiązanie korzysta z kont usługi Azure Storage, które klienci mogą skonfigurować do korzystania z szyfrowania usługi Storage w celu zachowania poufności danych magazynowanych. Platforma Azure przechowuje trzy kopie danych w wybranym centrum danych klienta w celu zapewnienia odporności. Magazyn geograficznie nadmiarowy gwarantuje, że dane zostaną zreplikowane do dodatkowego centrum danych setki kilometrów i ponownie przechowywane jako trzy kopie w tym centrum danych, uniemożliwiając niekorzystne zdarzenie w podstawowym centrum danych klienta, co powoduje utratę danych.

W przypadku zwiększonych zabezpieczeń wszystkie zasoby w tym rozwiązaniu są zarządzane jako grupa zasobów za pośrednictwem usługi Azure Resource Manager. Kontrola dostępu oparta na rolach usługi Azure Active Directory służy do kontrolowania dostępu do wdrożonych zasobów, w tym kluczy w usłudze Azure Key Vault. Kondycja systemu jest monitorowana za pośrednictwem Azure Security Center i usługi Azure Monitor. Klienci konfigurują obie usługi monitorowania w celu przechwytywania dzienników i wyświetlania kondycji systemu w jednym, łatwym do nawigacji pulpicie nawigacyjnym.

usługa Azure SQL Database jest często zarządzana za pośrednictwem programu SQL Server Management Studio (SSMS), który działa z komputera lokalnego skonfigurowanego do uzyskiwania dostępu do bazy danych Azure SQL za pośrednictwem bezpiecznego połączenia sieci VPN lub usługi ExpressRoute. Firma Microsoft zaleca skonfigurowanie połączenia sieci VPN lub usługi ExpressRoute na potrzeby zarządzania i importowania danych do grupy zasobów architektury referencyjnej.

Analiza diagramu architektury referencyjnej PCI DSS dla

To rozwiązanie korzysta z następujących usług platformy Azure. Szczegóły architektury wdrażania znajdują się w sekcji Architektura wdrażania .

  • Application Insights
  • Usługa Azure Active Directory
  • Azure Data Catalog
  • Usługa Azure Disk Encryption
  • Azure Event Grid
  • Azure Functions
  • W usłudze Azure Key Vault
  • Azure Machine Learning
  • Azure Monitor
  • Azure Security Center
  • Azure SQL Database
  • Azure Storage
  • Azure Virtual Network
    • (1) /16 Sieć
    • (2) /24 Sieci
    • (2) Sieciowe grupy zabezpieczeń
  • Pulpit nawigacyjny usługi Power BI

Architektura wdrażania

Poniższa sekcja zawiera szczegółowe informacje o elementach wdrażania i implementacji.

Azure Event Grid: Azure Event Grid umożliwia klientom łatwe tworzenie aplikacji przy użyciu architektur opartych na zdarzeniach. Użytkownicy wybierają zasób platformy Azure, do którego chcesz zasubskrybować, i nadać programowi obsługi zdarzeń lub elementowi webhook punkt końcowy, do którego ma być wysyłane zdarzenie. Klienci mogą zabezpieczyć punkty końcowe elementu webhook, dodając parametry zapytania do adresu URL elementu webhook podczas tworzenia subskrypcji zdarzeń. Azure Event Grid obsługuje tylko punkty końcowe elementu webhook HTTPS. Azure Event Grid umożliwia klientom kontrolowanie poziomu dostępu udzielonego różnym użytkownikom w celu wykonywania różnych operacji zarządzania, takich jak wyświetlanie listy subskrypcji zdarzeń, tworzenie nowych i generowanie kluczy. Usługa Event Grid korzysta z kontroli dostępu opartej na rolach platformy Azure.

Azure Functions: Azure Functions to bezserwerowa usługa obliczeniowa, która umożliwia użytkownikom uruchamianie kodu na żądanie bez konieczności jawnego aprowizowania infrastruktury ani zarządzania nią. Za pomocą usługi Azure Functions można uruchamiać skrypty lub fragmenty kodu w reakcji na różne zdarzenia.

Azure Machine Learning: Usługa Azure Machine Learning to technika nauki o danych, która umożliwia komputerom używanie istniejących danych do prognozowania przyszłych zachowań, wyników i trendów.

Azure Data Catalog: Data Catalog ułatwia odnajdywanie i zrozumienie źródeł danych przez użytkowników, którzy zarządzają danymi. Typowe źródła danych można zarejestrować, otagować i wyszukać dane finansowe. Dane pozostają w istniejącej lokalizacji, ale kopia metadanych jest dodawana do Data Catalog wraz z odwołaniem do lokalizacji źródła danych. Te metadane są również indeksowane, aby można było je łatwo odnaleźć za pomocą wyszukiwania oraz uczynić je zrozumiałymi dla użytkowników, którzy je odnajdą.

Sieć wirtualna

Architektura definiuje prywatną sieć wirtualną z przestrzenią adresową 10.200.0.0/16.

Sieciowe grupy zabezpieczeń: sieciowe grupy zabezpieczeń zawierają listy kontroli dostępu, które zezwalają na ruch w sieci wirtualnej lub zezwalają na ruch. Sieciowe grupy zabezpieczeń mogą służyć do zabezpieczania ruchu na poziomie podsieci lub pojedynczej maszyny wirtualnej. Istnieją następujące sieciowe grupy zabezpieczeń:

  • Sieciowa grupa zabezpieczeń dla usługi Active Directory
  • Sieciowa grupa zabezpieczeń obciążenia

Każda z sieciowych grup zabezpieczeń ma otwarte określone porty i protokoły, dzięki czemu rozwiązanie może działać bezpiecznie i poprawnie. Ponadto dla każdej sieciowej grupy zabezpieczeń są włączone następujące konfiguracje:

Podsieci: każda podsieć jest skojarzona z odpowiednią sieciową grupą zabezpieczeń.

Dane przesyłane

Platforma Azure domyślnie szyfruje całą komunikację z centrami danych i z centrów danych platformy Azure. Wszystkie transakcje w usłudze Azure Storage za pośrednictwem Azure Portal są wykonywane za pośrednictwem protokołu HTTPS.

Dane magazynowane

Architektura chroni dane magazynowane za pomocą szyfrowania, inspekcji bazy danych i innych miar.

Azure Storage: aby spełnić wymagania dotyczące zaszyfrowanych danych magazynowanych, wszystkie usługi Azure Storage używają szyfrowania usługi Storage. Pomaga to chronić i chronić dane posiadaczy kart w zakresie obsługi organizacyjnych zobowiązań w zakresie zabezpieczeń i wymagań dotyczących zgodności zdefiniowanych przez PCI DSS 3.2.

Azure Disk Encryption: usługa Azure Disk Encryption korzysta z funkcji BitLocker systemu Windows w celu zapewnienia szyfrowania woluminów dla dysków danych. Rozwiązanie integruje się z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy szyfrowania dysków i zarządzanie nimi.

Azure SQL Database: wystąpienie bazy danych Azure SQL używa następujących środków zabezpieczeń bazy danych:

  • Uwierzytelnianie i autoryzacja usługi Active Directory umożliwia zarządzanie tożsamościami użytkowników bazy danych i innych usług firmy Microsoft w jednej centralnej lokalizacji.
  • Inspekcja bazy danych SQL śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage.
  • Azure SQL Baza danych jest skonfigurowana do używania przezroczystego szyfrowania danych, które wykonuje szyfrowanie i odszyfrowywanie bazy danych w czasie rzeczywistym, skojarzone kopie zapasowe i pliki dziennika transakcji w celu ochrony informacji magazynowanych. Przezroczyste szyfrowanie danych zapewnia pewność, że przechowywane dane nie podlegają nieautoryzowanemu dostępowi.
  • Reguły zapory uniemożliwiają dostęp do serwerów baz danych do momentu udzielenia odpowiednich uprawnień. Zapora udziela dostępu do bazy danych na podstawie źródłowego adresu IP każdego żądania.
  • Wykrywanie zagrożeń SQL umożliwia wykrywanie i reagowanie na potencjalne zagrożenia w miarę ich występowania przez dostarczanie alertów zabezpieczeń dla podejrzanych działań bazy danych, potencjalnych luk w zabezpieczeniach, ataków polegających na wstrzyknięciu kodu SQL i nietypowych wzorców dostępu do bazy danych.
  • Zaszyfrowane kolumny zapewniają, że poufne dane nigdy nie są wyświetlane jako zwykły tekst w systemie bazy danych. Po włączeniu szyfrowania danych tylko aplikacje klienckie lub serwery aplikacji z dostępem do kluczy mogą uzyskiwać dostęp do danych w postaci zwykłego tekstu.
  • Właściwości rozszerzone mogą służyć do zaprzestania przetwarzania podmiotów danych, ponieważ umożliwia użytkownikom dodawanie właściwości niestandardowych do obiektów bazy danych i tagowanie danych jako "Wycofane" w celu obsługi logiki aplikacji w celu zapobiegania przetwarzaniu skojarzonych danych finansowych.
  • Zabezpieczenia na poziomie wiersza umożliwiają użytkownikom definiowanie zasad w celu ograniczenia dostępu do danych w celu zaprzestania przetwarzania.
  • SQL Database dynamiczne maskowanie danych ogranicza narażenie poufnych danych przez maskowanie danych do nieuprzywilejowanych użytkowników lub aplikacji. Dynamiczne maskowanie danych może automatycznie odnajdywać potencjalnie poufne dane i sugerować zastosowanie odpowiednich masek. Pomaga to identyfikować i ograniczać dostęp do danych, tak aby nie zamykały bazy danych za pośrednictwem nieautoryzowanego dostępu. Klienci są odpowiedzialni za dostosowywanie dynamicznych ustawień maskowania danych w celu przestrzegania schematu bazy danych.

Zarządzanie tożsamościami

Następujące technologie zapewniają możliwości zarządzania dostępem do danych w środowisku platformy Azure:

  • Azure Active Directory to wielodostępna usługa zarządzania katalogami i tożsamościami firmy Microsoft. Wszyscy użytkownicy tego rozwiązania są utworzeni w usłudze Azure Active Directory, w tym użytkownicy, którzy uzyskują dostęp do bazy danych Azure SQL.
  • Uwierzytelnianie w aplikacji jest wykonywane przy użyciu usługi Azure Active Directory. Aby uzyskać więcej informacji, zobacz integrowanie aplikacji z usługą Azure Active Directory. Ponadto szyfrowanie kolumny bazy danych używa usługi Azure Active Directory do uwierzytelniania aplikacji w usłudze Azure SQL Database. Aby uzyskać więcej informacji, zobacz jak chronić poufne dane w usłudze Azure SQL Database.
  • Kontrola dostępu oparta na rolach platformy Azure umożliwia administratorom definiowanie precyzyjnych uprawnień dostępu w celu udzielenia tylko dostępu wymaganego przez użytkowników do wykonywania zadań. Zamiast udzielać każdemu użytkownikowi nieograniczonego uprawnienia do zasobów platformy Azure, administratorzy mogą zezwalać tylko na określone akcje na potrzeby uzyskiwania dostępu do danych. Dostęp do subskrypcji jest ograniczony do administratora subskrypcji.
  • Azure Active Directory Privileged Identity Management umożliwia klientom zminimalizowanie liczby użytkowników, którzy mają dostęp do określonych informacji. Administratorzy mogą używać Azure Active Directory Privileged Identity Management do odnajdywania, ograniczania i monitorowania tożsamości uprzywilejowanych oraz ich dostępu do zasobów. Ta funkcja może być również używana do wymuszania dostępu administracyjnego just in time na żądanie, gdy jest to konieczne.
  • Usługa Azure Active Directory Identity Protection wykrywa potencjalne luki w zabezpieczeniach wpływające na tożsamości organizacji, konfiguruje automatyczne odpowiedzi na wykryte podejrzane akcje związane z tożsamościami organizacji i bada podejrzane zdarzenia w celu podjęcia odpowiednich działań w celu ich rozwiązania.

Zabezpieczenia

Zarządzanie wpisami tajnymi: rozwiązanie korzysta z usługi Azure Key Vault do zarządzania kluczami i wpisami tajnymi. Usługa Azure Key Vault ułatwia ochronę kluczy kryptograficznych i kluczy tajnych używanych przez aplikacje i usługi w chmurze. Następujące możliwości usługi Azure Key Vault pomagają klientom chronić takie dane i uzyskiwać do ich dostępu:

  • Zaawansowane zasady dostępu są konfigurowane na podstawie potrzeb.
  • Key Vault zasady dostępu są definiowane z minimalnymi wymaganymi uprawnieniami do kluczy i wpisów tajnych.
  • Wszystkie klucze i wpisy tajne w Key Vault mają daty wygaśnięcia.
  • Wszystkie klucze w Key Vault są chronione przez wyspecjalizowane sprzętowe moduły zabezpieczeń. Typ klucza to klucz RSA chroniony przez moduł HSM 2048-bitowy.
  • Wszyscy użytkownicy i tożsamości otrzymują minimalne wymagane uprawnienia przy użyciu kontroli dostępu opartej na rolach.
  • Dzienniki diagnostyczne dla Key Vault są włączone z okresem przechowywania co najmniej 365 dni.
  • Dozwolone operacje kryptograficzne dla kluczy są ograniczone do wymaganych.

Azure Security Center: dzięki Azure Security Center klienci mogą centralnie stosować zasady zabezpieczeń i zarządzać nimi w obciążeniach, ograniczać narażenie na zagrożenia oraz wykrywać ataki i reagować na nie. Ponadto Azure Security Center uzyskuje dostęp do istniejących konfiguracji usług platformy Azure w celu zapewnienia zaleceń dotyczących konfiguracji i usług w celu poprawy stanu zabezpieczeń i ochrony danych.

Azure Security Center używa różnych funkcji wykrywania w celu powiadamiania klientów o potencjalnych atakach kierowanych do ich środowisk. Te alerty zawierają cenne informacje dotyczące przyczyny ich wyzwolenia, zasobów, których dotyczy atak, i źródła ataku. Azure Security Center zawiera zestaw wstępnie zdefiniowanych alertów zabezpieczeń, które są wyzwalane po wystąpieniu zagrożenia lub podejrzanej aktywności. Niestandardowe reguły alertów w Azure Security Center umożliwiają klientom definiowanie nowych alertów zabezpieczeń na podstawie danych, które są już zbierane ze środowiska.

Azure Security Center zapewnia priorytetowe alerty zabezpieczeń i zdarzenia, co ułatwia klientom odnajdywanie i rozwiązywanie potencjalnych problemów z zabezpieczeniami. Raport analizy zagrożeń jest generowany dla każdego wykrytego zagrożenia, aby pomóc zespołom reagowania na zdarzenia podczas badania i korygowania zagrożeń.

Rejestrowanie i przeprowadzanie inspekcji

Usługi platformy Azure intensywnie rejestrują aktywność systemu i użytkowników, a także kondycję systemu:

  • Dzienniki aktywności: dzienniki aktywności zapewniają wgląd w operacje wykonywane na zasobach w subskrypcji. Dzienniki aktywności mogą pomóc w określeniu inicjatora operacji, czasu wystąpienia i stanu.
  • Dzienniki diagnostyczne: dzienniki diagnostyczne zawierają wszystkie dzienniki emitowane przez każdy zasób. Te dzienniki obejmują dzienniki systemu zdarzeń systemu Windows, dzienniki usługi Azure Storage, dzienniki inspekcji Key Vault oraz dzienniki dostępu i zapory Application Gateway. Wszystkie dzienniki diagnostyczne są zapisywane na scentralizowanym i zaszyfrowanym koncie usługi Azure Storage na potrzeby archiwizacji. Przechowywanie jest konfigurowalne przez użytkownika( do 730 dni), aby spełnić wymagania dotyczące przechowywania specyficzne dla organizacji.

Dzienniki usługi Azure Monitor: te dzienniki są konsolidowane w dziennikach usługi Azure Monitor na potrzeby przetwarzania, przechowywania i raportowania pulpitu nawigacyjnego. Po zebraniu dane są zorganizowane w oddzielne tabele dla każdego typu danych w obszarach roboczych usługi Log Analytics, co umożliwia analizowanie wszystkich danych niezależnie od oryginalnego źródła. Ponadto Azure Security Center integruje się z dziennikami usługi Azure Monitor, umożliwiając klientom korzystanie z zapytań Kusto w celu uzyskiwania dostępu do danych zdarzeń zabezpieczeń i łączenia ich z danymi z innych usług.

W ramach tej architektury uwzględniono następujące rozwiązania do monitorowania platformy Azure:

  • Ocena usługi Active Directory: rozwiązanie Active Directory Health Check ocenia ryzyko i kondycję środowisk serwera w regularnych odstępach czasu i udostępnia listę zaleceń specyficznych dla wdrożonej infrastruktury serwera.
  • Ocena SQL: rozwiązanie SQL Health Check ocenia ryzyko i kondycję środowisk serwera w regularnych odstępach czasu i udostępnia klientom priorytetową listę zaleceń specyficznych dla wdrożonej infrastruktury serwera.
  • Kondycja agenta: rozwiązanie Agent Health zgłasza liczbę wdrożonych agentów i ich dystrybucję geograficzną, a także liczbę agentów, które nie odpowiadają, oraz liczbę agentów, którzy przesyłają dane operacyjne.
  • Activity Log Analytics: rozwiązanie Activity Log Analytics pomaga w analizie dzienników aktywności platformy Azure we wszystkich subskrypcjach platformy Azure dla klienta.

Azure Automation: Azure Automation przechowuje, uruchamia i zarządza elementami Runbook. W tym rozwiązaniu elementy Runbook pomagają zbierać dzienniki z usługi Azure SQL Database. Rozwiązanie automation Change Tracking umożliwia klientom łatwe identyfikowanie zmian w środowisku.

Azure Monitor: usługa Azure Monitor pomaga użytkownikom śledzić wydajność, utrzymywać bezpieczeństwo i identyfikować trendy, umożliwiając organizacjom przeprowadzanie inspekcji, tworzenie alertów i archiwizowanie danych, w tym śledzenie wywołań interfejsu API w zasobach platformy Azure.

Application Insights: Usługa Application Insights to rozszerzalna usługa zarządzania wydajnością aplikacji (APM) dla deweloperów sieci Web na wielu platformach. Wykrywa anomalie wydajności i zawiera zaawansowane narzędzia analityczne, które ułatwiają diagnozowanie problemów i zrozumienie, co użytkownicy rzeczywiście robią z aplikacją. Ma ona na celu ułatwienie użytkownikom ciągłego zwiększania wydajności i użyteczności.

Model zagrożeń

Diagram przepływu danych dla tej architektury referencyjnej jest dostępny do pobrania lub można go znaleźć poniżej. Ten model może pomóc klientom zrozumieć punkty potencjalnego ryzyka w infrastrukturze systemu podczas wprowadzania modyfikacji.

Analiza diagramu architektury referencyjnej PCI DSS

Dokumentacja dotycząca zgodności

Strategia zabezpieczeń i zgodności platformy Azure — PCI DSS Customer Responsibility Matrix zawiera listę obowiązków dotyczących wszystkich wymagań PCI DSS 3.2.

Strategia zabezpieczeń i zgodności platformy Azure — PCI DSS Data Analytics Implementation Matrix (Macierz implementacji analizy danych PCI DSS 3.2) zawiera szczegółowe opisy sposobu, w jaki implementacja spełnia wymagania każdej objętej kontroli.

Wskazówki i zalecenia

Sieć VPN i usługa ExpressRoute

Aby bezpiecznie nawiązać połączenie z zasobami wdrożonym w ramach tej architektury referencyjnej analizy danych, należy skonfigurować bezpieczny tunel sieci VPN lub usługę ExpressRoute . Odpowiednio konfigurując sieć VPN lub usługę ExpressRoute, klienci mogą dodać warstwę ochrony danych przesyłanych.

Zaimplementowanie bezpiecznego tunelu VPN za pomocą platformy Azure umożliwia utworzenie wirtualnego połączenia prywatnego między siecią lokalną a usługą Azure Virtual Network. To połączenie odbywa się przez Internet i pozwala klientom bezpiecznie "tunelować" informacje wewnątrz zaszyfrowanego połączenia między siecią klienta a platformą Azure. Sieć VPN typu lokacja-lokacja to bezpieczna, dojrzała technologia, która została wdrożona przez przedsiębiorstwa o wszystkich rozmiarach od dziesięcioleci. Tryb tunelu IPsec jest używany w tej opcji jako mechanizm szyfrowania.

Ponieważ ruch w tunelu VPN przechodzi przez Internet za pomocą sieci VPN typu lokacja-lokacja, firma Microsoft oferuje kolejną, jeszcze bardziej bezpieczną opcję połączenia. Usługa Azure ExpressRoute to dedykowane połączenie sieci WAN między platformą Azure a lokalizacją lokalną lub dostawcą hostingu programu Exchange. Ponieważ połączenia usługi ExpressRoute nie przechodzą przez Internet, te połączenia oferują większą niezawodność, szybkość, mniejsze opóźnienia i wyższe zabezpieczenia niż typowe połączenia przez Internet. Ponadto, ponieważ jest to bezpośrednie połączenie dostawcy usług telekomunikacyjnych klienta, dane nie są przesyłane przez Internet i w związku z tym nie są do niego narażone.

Najlepsze rozwiązania dotyczące implementowania bezpiecznej sieci hybrydowej, która rozszerza sieć lokalną na platformę Azure, są dostępne.

Proces wyodrębniania transformacji i ładowania

Program PolyBase może ładować dane do Azure SQL Database bez konieczności oddzielnego narzędzia wyodrębniania, przekształcania, ładowania lub importowania. Technologia PolyBase umożliwia dostęp do danych za pośrednictwem zapytań języka T-SQL. Stos analizy biznesowej i analizy firmy Microsoft, a także narzędzia innych firm zgodne z SQL Server, mogą być używane z technologią PolyBase.

Konfiguracja usługi Azure Active Directory

Usługa Azure Active Directory jest niezbędna do zarządzania wdrażaniem i aprowizowaniem dostępu do personelu wchodzącego w interakcje ze środowiskiem. Istniejące Windows Server Active Directory można zintegrować z usługą Azure Active Directory za pomocą czterech kliknięć. Klienci mogą również powiązać wdrożona infrastrukturę usługi Active Directory (kontrolery domeny) z istniejącą usługą Azure Active Directory przez utworzenie wdrożonej infrastruktury usługi Active Directory jako poddomeny lasu usługi Azure Active Directory.

Disclaimer

  • This document is for informational purposes only. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI, WYRAŹNYCH, DOMNIEMANYCH ANI USTAWOWYCH, CO DO INFORMACJI W TYM DOKUMENCIE. Ten dokument jest dostarczany jako "w takim przypadku". Informacje i widoki wyrażone w tym dokumencie, w tym adresy URL i inne odwołania do witryn internetowych, mogą ulec zmianie bez powiadomienia. Klienci czytający ten dokument ponoszą ryzyko korzystania z niego.
  • Ten dokument nie zapewnia klientom żadnych praw do żadnej własności intelektualnej w żadnym produkcie lub rozwiązaniach firmy Microsoft.
  • Klienci mogą kopiować i używać tego dokumentu do celów wewnętrznych.
  • Niektóre zalecenia w tym dokumencie mogą spowodować zwiększenie użycia danych, sieci lub zasobów obliczeniowych na platformie Azure i zwiększenie kosztów licencji lub subskrypcji platformy Azure klienta.
  • Ta architektura ma służyć jako podstawa dla klientów w celu dostosowania się do określonych wymagań i nie powinna być używana jako w środowisku produkcyjnym.
  • Ten dokument został opracowany jako odwołanie i nie powinien być używany do definiowania wszystkich środków, za pomocą których klient może spełnić określone wymagania i przepisy dotyczące zgodności. Klienci powinni ubiegać się o pomoc prawną od swojej organizacji w zakresie zatwierdzonych implementacji klienta.