你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
云规模分析的安全性、治理和合规性
在规划云规模分析体系结构时,应该特别注意确保体系结构可靠性和安全性。 本文介绍了企业级云规模分析的安全性、合规性和治理设计标准。 本文还介绍了有关在 Azure 上部署云规模分析的设计建议和最佳做法。 查看企业级安全治理和合规性,为企业解决方案的治理做好充分准备。
云解决方案最初托管单一的、相对孤立的应用程序。 随着云解决方案的优势越来越明显,云托管了更大规模的工作负载,例如 Azure 上的 SAP。 因此,在云服务的整个生命周期中,解决区域部署的安全性、可靠性、性能和成本问题变得至关重要。
Azure 上的云规模分析登陆区域安全性、合规性和治理的愿景是提供工具和流程来帮助你最大限度地降低风险并做出有效的决策。 Azure 登陆区域定义安全治理和合规性角色和责任。
云规模分析模式依赖于可以在 Azure 中启用的几个安全功能。 这些功能包括加密、基于角色的访问控制、访问控制列表和网络限制。
安全设计建议
Microsoft 和客户共同承担安全责任。 有关已接受的安全指南,请参阅 Internet 安全中心的网络安全最佳做法。 以下部分是安全性设计建议。
静态数据加密
静态数据加密指的是在存储中保留的数据加密,并解决与直接物理访问存储媒体相关的安全风险。 Dar 是一项重要的安全控制,因为基础数据不可恢复,并且在没有解密密钥的情况下无法更改。 Dar 是 Microsoft 数据中心的深层防御策略中的重要一层。 通常,出于合规性和治理原因,需要部署静态数据加密。
几个 Azure 服务支持静态数据加密(包括 Azure 存储和 Azure SQL 数据库)。 虽然常见的概念和模型会影响 Azure 服务的设计,但每个服务都可以在不同的堆栈层上应用静态数据加密或具有不同的加密要求。
重要
默认情况下,所有支持静态数据加密的服务都应该启用它。
传输中的安全数据
当数据从一个位置移动到另一个位置时,数据正在传输或使用中。 这可以是内部的、本地的或 Azure 内的,也可以是外部的,例如通过 Internet 发送给最终用户。 Azure 提供了多种机制(包括加密),以确保数据在传输中的私有性。 这些机制包括:
- 通过使用 IPsec/IKE 加密的 VPN 进行通信。
- 传输层安全性 (TLS) 1.2 或更高版本,由 Azure 组件(如 Azure 应用程序网关或 Azure Front Door)使用。
- Azure 虚拟机上可用的协议,例如 Windows IPsec 或 SMB。
使用 MACsec(媒体访问控制安全;一种数据链路层上的 IEEE 标准)的加密会自动为 Azure 数据中心之间的所有 Azure 流量启用。 这种加密可确保客户数据的机密性和完整性。 有关详细信息,请参阅 Azure 客户数据保护。
管理密钥和机密
若要控制和管理用于云规模分析的磁盘加密密钥和机密,请使用 Azure Key Vault。 密钥保管库具有预配和管理 SSL/TLS 证书的功能。 你还可以使用硬件安全模块 (HSM) 保护机密。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 为虚拟机、SQL 数据库、容器、Web 应用、网络等提供安全警报和高级威胁防护。
从“定价和设置”区域启用 Defender for Cloud 时,将同时启用以下 Microsoft Defender 计划,并为环境的计算、数据和服务层提供全面防护:
- 适用于服务器的 Microsoft Defender
- 适用于应用服务的 Microsoft Defender
- Microsoft Defender for Storage
- Microsoft Defender for SQL
- Microsoft Defender for Kubernetes
- 适用于容器注册表的 Microsoft Defender
- 适用于 Key Vault 的 Microsoft Defender
- 适用于资源管理器的 Microsoft Defender
- 适用于 DNS 的 Microsoft Defender
这些计划在 Defender for Cloud 文档中单独介绍。
重要
如果 Defender for Cloud 可用于平台即服务 (PaaS) 产品/服务,则应默认启用此功能,尤其是对于 Azure Data Lake Storage 帐户。 有关详细信息,请参阅 Microsoft Defender for Cloud 简介和配置 Microsoft Defender for Storage。
Microsoft Defender for Identity
Microsoft Defender for Identity 是高级数据安全产品/服务的一部分,它是用于高级安全功能的统一包。 Microsoft Defender for Identity 可通过 Azure 门户进行访问和管理。
重要
只要 Microsoft Defender for Identity 可用于你使用的 PaaS 服务,则默认启用它。
启用 Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的云原生安全信息和事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
网络
云规模分析规定的视图是对所有 PaaS 服务使用 Azure 专用终结点,而不是对所有基础结构即服务 (IaaS) 服务使用公共 IP。 有关详细信息,请参阅云规模分析网络。
合规性和治理设计建议
Azure 顾问可帮助你在 Azure 订阅上获得统一视图。 请咨询 Azure 顾问,以获得可靠性、复原能力、安全性、性能、卓越运营和成本建议。 以下部分是合规性和治理设计建议。
使用 Azure Policy
Azure Policy 有助于强制执行组织标准并进行大规模的合规性评估。 通过其合规性仪表板,它提供了环境整体状态的聚合视图,并能够向下钻取单个资源或策略。
Azure Policy 可以对现有资源执行批量修正,以及对新资源自动修正,从而帮助资源符合规范。 有几个内置策略可用,例如限制新资源的位置、需要资源上的标记及其值、使用托管磁盘创建 VM 或强制执行命名策略。
自动进行部署
可通过自动化部署节省时间并减少错误。 通过创建可重用的代码模板,降低端到端数据登陆区域和数据应用程序(用于创建数据产品)的部署复杂性。 这可最大程度地减少部署或重新部署解决方案的时间。 有关详细信息,请参阅了解用于 Azure 中云规模分析的 DevOps 自动化
为生产工作负载锁定资源
在项目开始时,创建所需的核心数据管理和数据登陆区域 Azure 资源。 当所有添加、移动和更改都完成并且 Azure 部署正常运行时,锁定所有资源。 然后,只有管理员才能解锁或修改资源,例如数据目录。 有关详细信息,请参阅锁定资源以防止意外更改。
实现基于角色的访问控制
可以在 Azure 订阅上自定义基于角色的访问控制 (RBAC) 以管理谁有权访问 Azure 资源、他们可以对这些资源执行哪些操作以及他们有权访问哪些领域。 例如,你可以允许团队成员将核心资产部署到数据登陆区域,但阻止它们更改任何网络组件。
合规性和治理方案
以下建议适用于各种合规性和治理方案。 这些方案代表一种经济高效且可缩放的解决方案。
| 方案 | 建议 |
|---|---|
| 为标准命名约定配置治理模型,并基于成本中心提取报告。 | 使用 Azure Policy 和标记满足你的要求。 |
| 避免意外删除 Azure 资源。 | 使用 Azure 资源锁来防止意外删除。 |
| 获得 Azure 资源的成本优化、复原能力、安全性、卓越运营和性能机会领域的整合视图。 | 使用 Azure 顾问获取跨“Azure 上的 SAP”订阅的整合视图。 |