你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
云规模分析的安全性、治理和合规性
规划云规模分析体系结构时,请特别注意确保体系结构可靠且安全。 本文介绍企业级云规模分析的安全性、合规性和治理设计标准。 本文还讨论了在 Azure 上部署云规模分析的设计建议和最佳做法。 查看企业级安全治理和合规性,为企业解决方案的治理做好充分准备。
云解决方案最初托管了单个相对隔离的应用程序。 随着云解决方案的优势变得清晰,大型工作负荷托管在云中,例如 Azure 上的 SAP。 因此,在云服务的整个生命周期内,解决区域部署的安全性、可靠性、性能和成本问题变得至关重要。
云规模分析登陆区域安全性、合规性和 Azure 治理的愿景是提供工具和流程,帮助你将风险降到最低并做出有效的决策。 Azure 登陆区域定义安全治理和合规性角色和职责。
云规模分析模式依赖于可在 Azure 中启用的多个安全功能。 这些功能包括加密、基于角色的访问控制、访问控制列表和网络限制。
安全设计建议
Microsoft和客户都共同负责安全。 有关已接受的安全指南,请参阅互联网安全中心的网络安全最佳实践。 以下部分是安全设计建议。
静态数据加密
数据静态加密指的是在数据保存在存储中时进行加密,并应对与存储介质直接物理访问相关的安全风险。 静止数据是一项关键的安全控制措施,因为基础数据在没有解密密钥的情况下不可恢复且无法更改。 DData-at-rest 是Microsoft数据中心的深层防御策略中的一个重要层。 通常,出于合规性和治理原因,需要部署静态数据加密。
多个 Azure 服务支持静态数据加密,包括 Azure 存储和 Azure SQL 数据库。 尽管常见概念和模型会影响 Azure 服务的设计,但每个服务都可以在不同的堆栈层应用静态数据加密,或者有不同的加密要求。
重要
默认情况下,支持静态数据加密的所有服务都应启用它。
保护传输中的数据
当数据从一个位置移动到另一个位置时,将被视为在传输或飞行中。 此传输可以在内部、本地或 Azure 内部发生,或者在外部发生,例如通过 Internet 向最终用户发送。 Azure 提供了多种机制,包括加密,用于在传输期间保持数据私密性。 这些机制包括:
- 使用 IPsec/IKE 加密通过 VPN 进行通信。
- 传输层安全性 (TLS)
- Azure 虚拟机上可用的协议,例如 Windows IPsec 或 SMB。
在数据链路层使用符合 IEEE 标准的 MACsec(媒体访问控制安全性)进行加密,会自动为 Azure 数据中心之间的所有 Azure 流量启用加密。 此加密可确保客户数据保密性和完整性。 有关详细信息,请参阅 Azure 客户数据保护。
管理密钥和机密
若要控制和管理用于云规模的分析的磁盘加密密钥和机密,请使用 Azure Key Vault。 Key Vault 具有预配和管理 SSL/TLS 证书的功能。 还可以使用硬件安全模块(HSM)保护机密。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 为虚拟机、SQL 数据库、容器、Web 应用程序、虚拟网络等提供安全警报和高级威胁防护。
从定价和设置区域启用 Defender for Cloud 时,同时启用以下 Microsoft Defender 计划,并为环境的计算、数据和服务层提供全面的防御:
- Microsoft Defender 服务器版
- 适用于应用服务的 Microsoft Defender
- 适用于存储的 Microsoft Defender
- Microsoft Defender for SQL
- Microsoft Defender for Kubernetes
- 适用于容器注册表的 Microsoft Defender
- 适用于 Key Vault 的 Microsoft Defender
- 适用于资源管理器的 Microsoft Defender
- 适用于 DNS 的 Microsoft Defender
这些计划在 Defender for Cloud 文档中单独解释。
重要
如果 Defender for Cloud 可用于平台即服务(PaaS)产品/服务,则应默认启用此功能,尤其是对于 Azure Data Lake Storage 帐户。 有关详细信息,请参阅 Microsoft Defender for Cloud 简介,并配置 Microsoft Defender for Storage。
Microsoft Defender for Identity
Microsoft Defender for Identity 是高级数据安全产品/服务的一部分,这是高级安全功能的统一包。 可以通过 Azure 门户访问和管理 Microsoft Defender for Identity。
重要
默认启用 Microsoft Defender for Identity,只要它可用于使用的 PaaS 服务。
启用 Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的、云原生的安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。 Microsoft Sentinel 在整个企业中提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单个解决方案。
联网
云规模分析规定的视图是对所有 PaaS 服务使用 Azure 专用终结点,而不是对所有基础结构即服务 (IaaS) 服务使用公共 IP。 有关详细信息,请参阅 云规模分析网络。
合规性和治理设计建议
Azure Advisor 可帮助你在 Azure 订阅中获取统一视图。 有关可靠性、复原能力、安全性、性能、卓越运营和成本建议,请参阅 Azure 顾问。 以下部分是合规性和治理设计建议。
使用 Azure Policy
Azure Policy 可帮助实施组织标准并大规模评估合规性。 它通过其合规性仪表板提供环境总体状态的聚合视图,并能够向下钻取到单个资源或策略。
Azure Policy 通过批量修正现有资源以及自动修正新资源,帮助您的资源实现合规。 可以使用多个内置策略,例如限制新资源的位置、需要标记及其对资源的值、使用托管磁盘创建 VM 或强制实施命名策略。
自动化部署
可以通过自动化部署来节省时间和减少错误。 通过创建可重用的代码模板,减少端到端数据登陆区域和数据应用程序(创建数据产品)的部署复杂性。 此自动化可最大程度地减少部署或重新部署解决方案的时间。 有关详细信息,请参阅了解用于 Azure 中云规模分析的 DevOps 自动化
为生产工作负载锁定资源
在项目开始时创建所需的核心数据管理和数据登陆区域 Azure 资源。 完成所有添加、移动和更改并且 Azure 部署正常运行时,请锁定所有资源。 然后,只有管理员才能解锁或修改资源。 有关详细信息,请参阅锁定资源以防止意外更改。
实现基于角色的访问控制
可以在 Azure 订阅上自定义基于角色的访问控制(RBAC),以管理谁有权访问 Azure 资源、他们可以对这些资源执行的操作以及他们有权访问的区域。 例如,可以允许团队成员将核心资产部署到数据登陆区域,但阻止他们更改任何网络组件。
合规性和治理场景
以下建议适用于各种合规性和治理方案。 这些方案代表经济高效且可缩放的解决方案。
| 场景 | 建议 |
|---|---|
| 使用标准命名约定配置治理模型,并根据成本中心拉取报表。 | 使用 Azure Policy 和标签来满足您的要求。 |
| 避免意外删除 Azure 资源。 | 使用 Azure 资源锁防止意外删除。 |
| 获取针对 Azure 资源的成本优化、复原能力、安全性、卓越运营和性能的机会领域的综合视图。 | 使用 Azure 顾问获取跨“Azure 上的 SAP”订阅的整合视图。 |