Säkerhet, styrning och efterlevnad för analys i molnskala
När du planerar analysarkitektur i molnskala bör du vara särskilt uppmärksam på att arkitekturen är robust och säker. Den här artikeln behandlar designkriterier för säkerhet, efterlevnad och styrning för analys i molnskala i företagsskala. I den här artikeln beskrivs även designrekommendationer och metodtips för distribution av en analys i molnskala i Azure. Granska säkerhetsstyrning och efterlevnad i företagsskala för att på bästa sätt förbereda styrningen av en företagslösning.
Molnlösningarna var ursprungligen värd för enskilda, relativt isolerade program. När fördelarna med molnlösningar blev tydliga fanns arbetsbelastningar i större skala i molnet, till exempel SAP i Azure. Därför blev det viktigt att hantera säkerhet, tillförlitlighet, prestanda och kostnader för regionala distributioner under molntjänsternas livscykel.
Visionen för molnbaserad analyssäkerhet, efterlevnad och styrning i Azure är att tillhandahålla verktyg och processer som hjälper dig att minimera risker och fatta effektiva beslut. Azure-landningszonerna definierar säkerhetsstyrnings- och efterlevnadsroller och ansvarsområden.
Analysmönstret i molnskala förlitar sig på flera säkerhetsfunktioner som kan aktiveras i Azure. Dessa funktioner omfattar kryptering, rollbaserad åtkomstkontroll, åtkomstkontrollistor och nätverksbegränsningar.
Rekommendationer för säkerhetsdesign
Både Microsoft och kunder delar ansvaret för säkerheten. För accepterad säkerhetsvägledning, se bästa praxis för cybersäkerhet av Center for Internet Security. Följande avsnitt är rekommendationer för säkerhetsdesign.
Kryptering av vilande data
Vilande datakryptering refererar till kryptering av data eftersom de bevaras i lagringen och hanterar säkerhetsriskerna som rör direkt fysisk åtkomst till lagringsmedier. Vilande data är en kritisk säkerhetskontroll eftersom underliggande data inte kan återställas och inte kan ändras utan dess dekrypteringsnyckel. DData-at-rest är ett viktigt lager i den djupgående strategin för Microsofts datacenter. Det finns ofta kompatibilitets- och styrningsskäl för att distribuera data-i-vila-kryptering.
Flera Azure-tjänster stöder data-i-vila-kryptering, inklusive Azure Storage- och Azure SQL-databaser. Även om vanliga begrepp och modeller påverkar utformningen av Azure-tjänster kan varje tjänst tillämpa vilande datakryptering i olika stacklager eller ha olika krypteringskrav.
Viktig
Alla tjänster som stöder data-at-rest-kryptering bör ha den aktiverad som standard.
Skydda data under överföring
Data betraktas som i transit eller i rörelse när det flyttas från en plats till en annan. Den här överföringen kan ske internt, lokalt eller i Azure eller externt, till exempel via Internet till en slutanvändare. Azure erbjuder flera mekanismer, inklusive kryptering, för att hålla data privata under överföringen. Dessa mekanismer omfattar:
- Kommunikation via VPN med IPsec/IKE-kryptering.
- Transportskiktsäkerhet (TLS)
- Protokoll som är tillgängliga på virtuella Azure-datorer, till exempel Windows IPsec eller SMB.
Kryptering med MACsec (säkerhet för medieåtkomstkontroll), en IEEE-standard på datalänklagret, aktiveras automatiskt för all Azure-trafik mellan Azure-datacenter. Den här krypteringen säkerställer kundens datasekretess och integritet. Mer information finns i Azure-kunddataskydd.
Hantera nycklar och hemligheter
Om du vill styra och hantera diskkrypteringsnycklar och hemligheter för analys i molnskala använder du Azure Key Vault. Key Vault har funktioner för etablering och hantering av SSL/TLS-certifikat. Du kan också skydda hemligheter med maskinvarusäkerhetsmoduler (HSM).
Microsoft Defender för molnet
Microsoft Defender för molnet tillhandahåller säkerhetsaviseringar och avancerat skydd mot hot för virtuella datorer, SQL-databaser, containrar, webbprogram, virtuella nätverk med mera.
När du aktiverar Defender för molnet från pris- och inställningsområdet aktiveras följande Microsoft Defender-planer samtidigt och ger omfattande skydd för beräknings-, data- och tjänstskikten i din miljö:
- Microsoft Defender för servrar
- Microsoft Defender för App Service
- Microsoft Defender för Lagring
- Microsoft Defender för SQL
- Microsoft Defender för Kubernetes
- Microsoft Defender för containerregister
- Microsoft Defender för Key Vault
- Microsoft Defender för resursadministratör
- Microsoft Defender för DNS
Dessa planer förklaras separat i Defender for Cloud-dokumentationen.
Viktig
Om Defender för molnet är tillgängligt för PaaS-erbjudanden (plattform som en tjänst) bör du aktivera den här funktionen som standard, särskilt för Azure Data Lake Storage-konton. Mer information finns i Introduktion till Microsoft Defender för molnet och konfigurera Microsoft Defender för lagring.
Microsoft Defender för identitet
Microsoft Defender for Identity är en del av det avancerade datasäkerhetserbjudandet, som är ett enhetligt paket för avancerade säkerhetsfunktioner. Microsoft Defender för identitet kan nås och hanteras via Azure-portalen.
Viktig
Aktivera Microsoft Defender för identitet som standard när det är tillgängligt för de PaaS-tjänster som du använder.
Aktivera Microsoft Sentinel
Microsoft Sentinel är en skalbar, molnbaserad siem-lösning (Security Information Event Management) och soar-lösning (Security Orchestration Automated Response). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar.
Nätverkande
Den föreskrivna vyn för analys i molnskala är att använda privata Azure-slutpunkter för alla PaaS-tjänster och använder inte offentliga IP-adresser för alla IaaS-tjänster (infrastruktur som en tjänst). Mer information finns i nätverk för analys i molnskala.
Designrekommendationer för efterlevnad och styrning
Azure Advisor- hjälper dig att få en konsoliderad vy över dina Azure-prenumerationer. Kontakta Azure Advisor för tillförlitlighet, återhämtning, säkerhet, prestanda, driftskvalitet och kostnadsrekommendationer. Följande avsnitt är rekommendationer för efterlevnad och styrningsdesign.
Använd Azure Policy
Azure Policy hjälper till att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala. Via instrumentpanelen för efterlevnad ger den en samlad översikt över det övergripande tillståndet i miljön, med möjlighet att söka mer information om enskilda resurser eller policyer.
Azure Policy hjälper dig att säkerställa efterlevnad av dina resurser genom storskalig åtgärd av befintliga resurser och automatisk åtgärd av nya resurser. Flera inbyggda principer är tillgängliga, till exempel för att begränsa platsen för nya resurser, kräva en tagg och dess värde för resurser, skapa en virtuell dator med hjälp av en hanterad disk eller framtvinga namngivningsprinciper.
Automatisera implementeringar
Du kan spara tid och minska fel genom att automatisera distributioner. Minska distributionskomplexiteten för datalandningszoner och dataprogram från slutpunkt till slutpunkt (som skapar dataprodukter) genom att skapa återanvändbara kodmallar. Den här automatiseringen minimerar tiden för att distribuera eller distribuera om lösningar. Mer information finns i Förstå DevOps-automatisering för analys i molnskala i Azure
Säkerställa resurser för produktionen
Skapa nödvändiga Azure-resurser för kärndatahantering och datalandningszon i början av projektet. När alla tillägg, flyttningar och ändringar har slutförts och Azure-distributionen är i drift låser du alla resurser. Sedan kan bara en administratör låsa upp eller ändra resurser. För mer information, se Lås resurser för att förhindra oväntade ändringar.
Implementera rollbaserad åtkomstkontroll
Du kan anpassa rollbaserad åtkomstkontroll (RBAC) för Azure-prenumerationer för att hantera vem som har åtkomst till Azure-resurser, vad de kan göra med dessa resurser och vilka områden de har åtkomst till. Du kan till exempel tillåta gruppmedlemmar att distribuera kärntillgångar till en datalandningszon, men hindra dem från att ändra någon av nätverkskomponenterna.
Scenarier för efterlevnad och styrning
Följande rekommendationer gäller för olika scenarier för efterlevnad och styrning. Dessa scenarier representerar en kostnadseffektiv och skalbar lösning.
| Scenario | Rekommendation |
|---|---|
| Konfigurera en styrningsmodell med vanliga namngivningskonventioner och hämta rapporter baserat på kostnadsställe. | Använd Azure Policy och taggar för att uppfylla dina krav. |
| Undvik oavsiktlig borttagning av Azure-resurser. | Använd Azure-resurslås för att förhindra oavsiktlig borttagning. |
| Få en samlad vy över affärsmöjligheter för kostnadsoptimering, återhämtning, säkerhet, driftsprestanda och prestanda för Azure-resurser. | Använd Azure Advisor för att få en konsoliderad vy över SAP på Azure-prenumerationer. |