Безопасность, управление и соответствие облачным аналитикам
При планировании архитектуры облачной аналитики обратите особое внимание на то, чтобы архитектура была надежной и безопасной. В этой статье рассматриваются критерии проектирования безопасности, соответствия и управления для облачной аналитики данных в масштабе предприятия. В этой статье также рассматриваются рекомендации по проектированию и рекомендации по развертыванию облачной аналитики в Azure. Просмотрите управление безопасностью в масштабе предприятия и соответствие требованиям, чтобы полностью подготовиться к управлению решением на уровне предприятия.
Облачные решения изначально размещали отдельные относительно изолированные приложения. По мере того как преимущества облачных решений стали понятными, в облаке были размещены крупные рабочие нагрузки, такие как SAP в Azure. Таким образом, важно решить проблему безопасности, надежности, производительности и стоимости региональных развертываний на протяжении всего жизненного цикла облачных служб.
Видение безопасности целевой зоны облачной аналитики, соответствия требованиям и управления в Azure заключается в предоставлении средств и процессов, которые помогают свести к минимуму риск и принять эффективные решения. Целевые зоны (landing zones) Azure определяют роли и обязанности в области управления безопасностью и соблюдения требований.
Шаблон аналитики в облаке зависит от нескольких функций безопасности, которые можно включить в Azure. К этим функциям относятся шифрование, управление доступом на основе ролей, списки управления доступом и ограничения сети.
Рекомендации по проектированию безопасности
Корпорация Майкрософт и клиенты несут ответственность за безопасность. Для получения признанных рекомендаций по безопасности см. лучшие практики кибербезопасности от Центра интернет-безопасности. Ниже приведены рекомендации по проектированию безопасности.
Шифрование неактивных данных
Шифрование неактивных данных относится к шифрованию данных по мере сохранения в хранилище и устраняет риски безопасности, связанные с прямым физическим доступом носителей хранилища. Данные в состоянии покоя — это критически важный элемент управления безопасностью, поскольку базовые данные недоступны и не могут быть изменены без их ключа расшифровки. DData-at-rest — это важный уровень в стратегии защиты центров обработки данных Майкрософт. Часто существуют причины, связанные с соблюдением требований и управлением, для развертывания шифрования данных в состоянии покоя.
Несколько служб Azure поддерживают шифрование неактивных данных, включая службу хранилища Azure и базы данных SQL Azure. Хотя общие понятия и модели влияют на проектирование служб Azure, каждая служба может применять шифрование неактивных данных на разных уровнях стека или иметь разные требования к шифрованию.
Важный
Все службы, поддерживающие шифрование неактивных данных, должны быть включены по умолчанию.
Защита передаваемых данных
Данные считаются находящимися в передаче, когда они перемещаются из одного места в другое. Этот транзит может выполняться внутри локальной среды или в Azure или во внешней среде, например через Интернет для конечного пользователя. Azure предлагает несколько механизмов, включая шифрование, для сохранения конфиденциальности данных во время передачи. К этим механизмам относятся:
- Обмен данными через виртуальные сети с помощью шифрования IPsec/IKE.
- Безопасность транспортного уровня (TLS)
- Протоколы, доступные на виртуальных машинах Azure, таких как Windows IPsec или SMB.
Шифрование с помощью MACsec (безопасность управления доступом к мультимедиа), стандарт IEEE на уровне канала данных, автоматически включается для всего трафика Azure между центрами обработки данных Azure. Это шифрование обеспечивает конфиденциальность и целостность данных клиента. Дополнительные сведения см. в разделе "Защита данных клиентов Azure".
Управление ключами и секретами
Чтобы управлять ключами шифрования дисков и секретами для облачной аналитики, используйте Azure Key Vault. Key Vault имеет возможности для подготовки сертификатов SSL/TLS и управления ими. Вы также можете защитить секреты с помощью аппаратных модулей безопасности (HSM).
Microsoft Defender для облака
Microsoft Defender для облака предоставляет оповещения системы безопасности и расширенную защиту от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, виртуальных сетей и т. д.
При включении Defender для облака из области цен и параметров следующие планы Microsoft Defender включены одновременно и обеспечивают комплексную защиту для уровней вычислений, данных и служб вашей среды:
- Microsoft Defender для серверов
- Microsoft Defender для службы приложений
- Microsoft Defender для хранилища
- Microsoft Defender для SQL
- Microsoft Defender для Kubernetes
- Microsoft Defender для реестров контейнеров
- Microsoft Defender для Key Vault
- Microsoft Defender для Диспетчера ресурсов
- Защита DNS с помощью Microsoft Defender
Эти планы описаны отдельно в документации Defender для облака.
Важный
Где Защитник для облака доступен для предложений платформы как услуги (PaaS), этот компонент следует включить по умолчанию, особенно для учетных записей Azure Data Lake Storage. Дополнительные сведения см. в разделе Введение в Microsoft Defender для облака и настройка Microsoft Defender для хранилища.
Microsoft Defender для идентичности
Microsoft Defender для удостоверений является частью расширенного предложения по обеспечению безопасности данных, который является унифицированным пакетом для расширенных возможностей безопасности. Microsoft Defender for Identity можно управлять через портал Azure.
Важный
Активируйте Microsoft Defender для удостоверений сразу по умолчанию, как только он станет доступен для используемых вами служб PaaS.
Включение Microsoft Sentinel
Microsoft Sentinel — это масштабируемое, облачно-родное решение для управления событиями информационной безопасности (SIEM) и автоматического реагирования (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии, предоставляя единое решение для обнаружения оповещений, видимости угроз, упреждающего охоты и реагирования на угрозы.
Сети
Рекомендованный подход в облачной аналитике заключается в использовании частных конечных точек Azure для всех PaaS-сервисов и избегании использования публичных IP-адресов для всех IaaS-сервисов. Для получения дополнительной информации см. раздел Сетевые технологии аналитики для облака.
Рекомендации по проектированию соответствия требованиям и управлению
Azure Advisor помогает получить консолидированное представление по подпискам Azure. Обратитесь к помощнику по Azure для обеспечения надежности, устойчивости, безопасности, производительности, эффективности работы и рекомендаций по затратам. Ниже приведены рекомендации по проектированию соответствия требованиям и управлению.
Использование политики Azure
Политика Azure помогает применять организационные стандарты и оценивать соответствие в большом масштабе. С помощью панели мониторинга соответствия она предоставляет агрегированное представление общего состояния среды с возможностью детализации отдельных ресурсов или политик.
Политика Azure помогает обеспечить соответствие ресурсов путем массового исправления существующих ресурсов и автоматического исправления новых ресурсов. Некоторые встроенные политики доступны, например, чтобы ограничить расположение новых ресурсов, требовать тег и его значение на ресурсах, создавать виртуальную машину с помощью управляемого диска или применять политики именования.
Автоматизация развертываний
Вы можете сэкономить время и уменьшить ошибки, автоматив развертывания. Уменьшите сложность развертывания комплексных целевых зон данных и приложений данных (которые создают продукты данных), создавая повторно используемые шаблоны кода. Эта автоматизация сводит к минимуму время развертывания или повторного развертывания решений. Дополнительные сведения см. в статье Общие сведения об автоматизации DevOps для аналитики в масштабе облака в Azure
Блокировка ресурсов для производственных рабочих нагрузок
Создайте необходимые основные ресурсы Azure для управления данными и создание зоны приземления данных в самом начале проекта. Когда все дополнения, перемещения и изменения завершены, а развертывание Azure работает, заблокируйте все ресурсы. Затем только администратор может разблокировать или изменить ресурсы. Дополнительные сведения см. в разделе Блокировка ресурсов, чтобы предотвратить непредвиденные изменения.
Реализация управления доступом на основе ролей
Вы можете настроить управление доступом на основе ролей (RBAC) в подписках Azure, чтобы управлять тем, кто имеет доступ к ресурсам Azure, что они могут с ними делать и к каким областям у них есть доступ. Например, можно разрешить членам группы развертывать основные ресурсы в целевой зоне данных, но не изменять любые сетевые компоненты.
Сценарии соответствия требованиям и управления
Следующие рекомендации применяются к различным сценариям соответствия требованиям и управлению. Эти сценарии представляют собой экономичное и масштабируемое решение.
| Сценарий | Рекомендация |
|---|---|
| Настройте модель управления с помощью стандартных соглашений об именовании и формируйте отчеты на основе центра затрат. | Используйте политику Azure и теги для удовлетворения ваших требований. |
| Избегайте случайного удаления ресурсов Azure. | Используйте блокировки ресурсов Azure, чтобы предотвратить случайное удаление. |
| Получите консолидированное представление областей возможностей для оптимизации затрат, устойчивости, безопасности, операционного превосходства и производительности ресурсов Azure. | Используйте Azure Advisor, чтобы получить консолидированное представление для подписок SAP на Azure. |