你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 数据资源管理器中的安全性
本文介绍 Azure 数据资源管理器中的安全性,以帮助你保护云中的数据和资源,并满足企业的安全需求。 确保群集安全非常重要。 可通过一项或多项 Azure 功能来保护群集,包括安全访问和存储。 本文提供的信息可帮助你确保群集安全。
有关贵企业或组织合规性的更多资源,请参阅 Azure 合规性文档。
网络安全性
网络安全性是我们许多有安全意识的企业客户共有的一项要求。 其目的是隔离网络流量,并限制 Azure 数据资源管理器和相应通信的受攻击面。 因此,你可以阻止源自非 Azure 数据资源管理器网段的流量,并确保只有来自已知源的流量进入 Azure 数据资源管理器终结点。 这包括源自本地或 Azure 外部的以 Azure 为目标的流量,或反之。 Azure 数据资源管理器支持通过以下功能来实现此目标:
- 专用终结点(推荐)
- 虚拟网络 (VNet) 注入
强烈建议使用专用终结点来保护对群集的网络访问。 此选项与虚拟网络注入相比具有许多优势,它可降低维护开销,包括更简单的部署过程,以及对虚拟网络变化更稳健。
标识和访问控制
基于角色的访问控制
使用基于角色的访问控制 (RBAC) 可以分离职责,并只向群集用户授予所需的访问权限。 可以仅允许分配给特定角色的用户执行某些操作,而不是为群集上的所有人提供不受限制的权限。 可以使用 Azure 门户、Azure CLI 或 Azure PowerShell针对数据库配置访问控制。
Azure 资源的托管标识
构建云应用程序时面临的一个常见难题是,如何管理代码中用于云服务身份验证的凭据。 保护这些凭据是一项重要任务。 不应将这些凭据存储在开发人员工作站中,或将其签入源代码管理。 虽然 Azure Key Vault 可用于安全存储凭据、机密以及其他密钥,但代码需要通过 Key Vault 的身份验证才能检索它们。
Azure 资源的 Microsoft Entra 托管标识功能可解决此问题。 此功能为 Azure 服务提供了 Microsoft Entra ID 中的自动托管标识。 可以使用此标识向支持 Microsoft Entra 身份验证的任何服务(包括 Key Vault)证明身份,无需在代码中放入任何凭据。 有关此服务的详细信息,请参阅 Azure 资源的托管标识概述页。
数据保护
Azure 磁盘加密
Azure 磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 它为群集虚拟机的 OS 和数据磁盘提供卷加密。 Azure 磁盘加密还与 Azure Key Vault 集成,使我们可以控制和管理磁盘加密密钥和机密,并确保 VM 磁盘上的所有数据已加密。
客户管理的密钥和 Azure Key Vault
默认情况下,数据使用 Microsoft 管理的密钥进行加密。 为了更进一步控制加密密钥,可以提供客户管理的密钥来用于对数据进行加密。 可以使用自己的密钥在存储级别管理数据的加密。 使用客户管理的密钥来保护和控制对根加密密钥(用于加密和解密所有数据)的访问。 客户管理的密钥在创建、轮换、禁用和撤销访问控制方面可提供更大的灵活性。 此外,你还可以审核用于保护数据的加密密钥。
使用 Azure Key Vault 来存储客户管理的密钥。 可以创建自己的密钥并将其存储在 Key Vault 中,或者使用 Azure Key Vault API 来生成密钥。 Azure 数据资源管理器群集和 Azure Key Vault 必须在同一个区域中,但可以在不同的订阅中。 有关 Azure Key Vault 的详细信息,请参阅什么是 Azure Key Vault?。 有关客户管理的密钥的详细说明,请参阅客户管理的密钥与 Azure Key Vault。 使用门户、C#、Azure 资源管理器模板、CLI 或 PowerShell 在 Azure 数据资源管理器群集中配置客户管理的密钥。
注意
客户管理的密钥依赖于 Azure 资源的托管标识,后者是 Microsoft Entra ID 的一项功能。 若要在 Azure 门户中配置客户管理的密钥,请按配置 Azure 数据资源管理器群集的托管标识中所述,将托管标识配置到群集。
将客户管理的密钥存储在 Azure 密钥保管库
若要在群集中启用客户管理的密钥,请使用 Azure Key Vault 来存储密钥。 必须同时启用密钥保管库上的“软删除”和“不清除”属性 。 密钥保管库必须与群集位于同一区域。 Azure 数据资源管理器使用 Azure 资源的托管标识向 Key Vault 进行身份验证,以执行加密和解密操作。 托管标识不支持跨目录方案。
轮换客户管理的密钥
可以根据自己的合规性策略,在 Azure 密钥保管库中轮换客户管理的密钥。 要轮换 Azure 密钥保管库中的密钥,请更新密钥版本或创建新密钥,然后更新群集以使用新的密钥 URI 加密数据。 可以使用 Azure CLI 或者在门户中执行这些步骤。 轮换密钥不会触发群集中现有数据的重新加密。
轮换密钥时,通常需要指定在创建群集时所用的同一标识。 (可选)配置新的用户分配标识以用于进行密钥访问,或者启用并指定群集的系统分配标识。
注意
确保针对为进行密钥访问而配置的标识设置了所需的“获取”、“解包密钥”和“包装密钥”权限。
更新密钥版本
更新密钥(用作客户管理的密钥)的版本是一种常见情况。 群集中的客户管理的密钥会自动更新,或者必须手动更新,具体取决于群集加密的配置情况。
撤消对客户管理的密钥的访问权限
若要撤消对客户管理的密钥的访问权限,请使用 PowerShell 或 Azure CLI。 有关详细信息,请参阅 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤消访问权限会阻止访问群集的存储级别中的所有数据,因为在这种情况下,Azure 数据资源管理器无法访问加密密钥。
注意
当 Azure 数据资源管理器识别到对客户管理的密钥的访问权限被撤消时,它会自动挂起群集,以删除所有缓存的数据。 重新授予对密钥的访问权限后,将自动恢复群集。