أفضل ممارسات أمان البيانات والتشفير في Azure

توضح هذه المقالة أفضل الممارسات لأمن البيانات وتشفيرها.

تستند أفضل الممارسات إلى توافق الآراء، وتعمل مع قدرات النظام الأساسي الحالي لـ Azure ومجموعات الميزات. تتغير الآراء والتقنيات بمرور الوقت ويتم تحديث هذه المقالة بشكل منتظم لتعكس تلك التغييرات.

تتماشى هذه المقالة مع نموذج أمان الثقة الصفرية من مايكروسوفت، الذي يعامل البيانات كواحدة من الركائز الحاسمة التي تتطلب الحماية في جميع المراحل. للتحكم الأمني التوجيهي مع تطبيق سياسة Azure، راجع Microsoft Cloud Security Benchmark v2 - Data Protection.

حماية البيانات

للمساعدة في حماية البيانات في السحابة، تحتاج إلى حساب الحالات المحتملة التي يمكن أن تحدث فيها بياناتك وعناصر التحكم المتوفرة لتلك الحالة. تتعلق أفضل الممارسات لأمان البيانات والتشفير في Azure بحالات البيانات التالية:

  • البيانات الثابتة:يتضمن ذلك جميع كائنات تخزين المعلومات والحاويات والأنواع الموجودة بشكل ثابت على الوسائط الفعلية، سواء أكانت قرصاً مغناطيسياً أم ضوئياً.
  • البيانات أثناء النقل: عندما يتم نقل البيانات بين المكونات أو المواقع أو البرامج، تكون بيانات متنقلة. ومن الأمثلة على ذلك النقل عبر الشبكة، أو عبر ناقل خدمة (من محلي إلى سحابي والعكس صحيح، بما في ذلك الاتصالات المختلطة مثل ExpressRoute)، أو أثناء عملية الإدخال/الإخراج.
  • قيد الاستخدام: عند معالجة البيانات، تحتفظ الأجهزة الظاهرية للحوسبة السرية المستندة إلى مجموعة شرائح AMD و Intel المتخصصة بالبيانات المشفرة في الذاكرة باستخدام المفاتيح المدارة للأجهزة.

اختيار حل إدارة رئيسي

حماية المفاتيح ضرورية لحماية بياناتك في السحابة.

يقدم Azure العديد من الخدمات المختلفة لحماية مفاتيح التشفير الخاصة بك باستخدام HSMs. توفر هذه العروض قابلية التوسع والتوافر السحابي مع منحك تحكما كاملا في مفاتيحك. لمزيد من المعلومات والإرشادات حول الاختيار من بين عروض إدارة المفاتيح هذه، راجع كيفية اختيار حل إدارة مفاتيح Azure المناسب. يوصى باستخدام Azure Key Vault Premium أو Azure Key Vault Managed HSM لإدارة التشفير في مفاتيح السكون.

الإدارة باستخدام محطات عمل آمنة

إشعار

يجب أن يستخدم مسؤول الاشتراك أو المالك محطة عمل وصول آمنة أو محطة عمل وصول متميزة.

نظراً لأن الغالبية العظمى من الهجمات تستهدف المستخدم النهائي، تصبح نقطة النهاية إحدى نقاط الهجوم الأساسية. يمكن للمهاجم الذي يخترق نقطة النهاية استخدام بيانات اعتماد المستخدم للوصول إلى بيانات المؤسسة. تستفيد معظم هجمات نقطة النهاية من حقيقة أن المستخدمين هم المسؤولون في محطات العمل المحلية الخاصة بهم.

  • استخدم محطة عمل إدارة آمنة لحماية الحسابات والمهام والبيانات الحساسة: استخدم محطة عمل ذات امتيازات الوصول لتقليل سطح الهجوم في محطات العمل. يمكن أن تساعدك محطات عمل الإدارة الآمنة هذه في التخفيف من بعض هذه الهجمات والتأكد من أن بياناتك أكثر أماناً.

  • ضمان حماية نقاط النهاية: فرض سياسات الأمان على جميع الأجهزة المستخدمة لاستهلاك البيانات، بغض النظر عن موقع البيانات (السحابة أو الموقع).

حماية البيانات الثابتة

يُعد تشفير البيانات غير النشطة خطوة إلزامية نحو خصوصية البيانات والامتثال وسيادة البيانات.

  • طبق التشفير على المضيف للمساعدة في حماية بياناتك: استخدم التشفير في المضيف - تشفير من طرف إلى طرف لجهازك الافتراضي. التشفير عند المضيف هو خيار في الآلة الافتراضية يعزز تخزين الأقراص Server-Side تشفير Azure لضمان تشفير جميع الأقراص المؤقتة وذاكرة التخزين المؤقت للأقراص أثناء السكون وتشفير تدفق البيانات إلى مجموعات التخزين.

تقوم معظم خدمات Azure، مثل Azure Storage وقاعدة بيانات Azure SQL، بتشفير البيانات الثابتة افتراضيا. يمكنك استخدام Azure Key Vault للحفاظ على التحكم في المفاتيح التي تصل إلى بياناتك وتشفّرها. راجع دعم نموذج تشفير موفري موارد Azure لمعرفة المزيد.

  • استخدم التشفير للمساعدة في تقليل المخاطر المتعلقة بالوصول غير المصرح به للبيانات: قم بتشفير خدماتك قبل أن تكتب لها بيانات حساسة.

  • فهم سلوك تدوير المفاتيح: عندما تقوم بتدوير مفتاح تشفير المفتاح (KEK)، تقوم الخدمة بإعادة تغليف مفاتيح تشفير البيانات (DEKs) مع النسخة الجديدة من المفتاح. البيانات الأساسية نفسها لا تعاد تشفيرها. يجب أن تبقى نسخ المفاتيح القديمة والجديدة مفعلة حتى اكتمال إعادة التغليف. لمزيد من المعلومات، راجع Configure auto-rotate key في Azure Key Vault.

  • رد على المشتبه باختراق المفتاح بالتدوير أولا: إذا اشتبهت في أن مفتاحا يديره العميل قد تم اختراقه، قم بالتدوير إلى مفتاح جديد وأعد تكوين الخدمات التابعة قبل تعطيل أو حذف المفتاح القديم. تعطيل أو حذف مفتاح يؤدي إلى إخراج الخدمات التابعة فورا من الخارج لكنها لا تعيد تشفير أي مفاتيح تشفير بيانات، مما يعني أنها لا تزال معرضة لخطر فك التشفير بواسطة مفتاح تشفير المفتاح المخترق. للاطلاع على إجراءات الاستجابة الكاملة للحوادث، انظر اعتبارات الأمان الاحتياطية.

  • استخدم RSA-OAEP-256 لتغليف المفاتيح: RSA-OAEP-256 هو خوارزمية التغليف الموصى بها للمفاتيح التي يديرها العملاء. RSA-OAEP (بدون لاحقة -256) تستخدم SHA-1 وتعتبر الإرث.

المؤسسات التي لا تفرض تشفير البيانات أكثر عرضة لمشكلات سرية البيانات. يجب على الشركات أيضًا إثبات أنها تعمل بجد وتستخدم ضوابط أمان صحيحة لتعزيز أمان بياناتها للامتثال للوائح الصناعة.

حماية البيانات المتنقلة

يجب أن تكون حماية البيانات المتنقلة جزءًا أساسيًا من استراتيجية حماية بياناتك. نظرًا إلى أن البيانات تنتقل بين العديد من المواقع، فإننا نوصي عمومًا باستخدام بروتوكولات SSL/TLS دائمًا لتبادل البيانات عبر مواقع مختلفة. في بعض الظروف، قد ترغب في عزل قناة الاتصال بالكامل بين البنى التحتية المحلية والسحابة باستخدام VPN.

لنقل البيانات بين البنية الأساسية المحلية وAzure، ضع في اعتبارك الضمانات المناسبة مثل HTTPS أو VPN. استخدم Azure VPN Gateway عند إرسال نسبة استخدام الشبكة بشكل مشفر بين شبكة Azure ظاهرية وموقع محلي عبر الإنترنت العام.

إليك التالي أفضل الممارسات الخاصة باستخدام Azure VPN Gateway وSSL/TLS وHTTPS.

  • الوصول الآمن من عدة محطات عمل تقع في الموقع إلى شبكة افتراضية لمنصة Azure: استخدم VPN من موقع إلى موقع.

  • الوصول الآمن من محطة عمل فردية تقع في الموقع إلى شبكة افتراضية لجهاز Azure: استخدم VPN من نقطة إلى موقع.

  • نقل مجموعات بيانات أكبر عبر رابط WAN عالي السرعة مخصص: استخدم ExpressRoute. إذا اخترت استخدام ExpressRoute، فإنه يمكنك أيضًا تشفير البيانات على مستوى التطبيق باستخدام SSL/TLS أو بروتوكولات أخرى لتوفير حماية إضافية.

  • تفاعل مع Azure Storage عبر بوابة Azure: جميع المعاملات تتم عبر HTTPS. يمكنك أيضاً استخدام واجهة برمجة تطبيقات REST لـ Storage عبر HTTPS للتفاعل مع Azure Storage.

تكون المنظمات التي تفشل في حماية البيانات المتنقلة أكثر عرضة لهجمات الدخلاءوالتنصت وتتبع الجلسات. يمكن أن تكون هذه الهجمات الخطوة الأولى للوصول إلى البيانات السرية.

حماية البيانات المستخدمة

تقليل الحاجة إلى الثقة يتطلب تشغيل أحمال العمل على السحابة الثقة. بإمكانك منح هذه الثقة لمزودين مختلفين لتمكين مكونات مختلفة من التطبيق.

  • موردو برامج التطبيقات: الوثوق بالبرامج من خلال التوزيع المحلي، أو باستخدام المصدر المفتوح، أو عن طريق إنشاء برامج تطبيقات داخلية.
  • موردو الأجهزة: الثقة في الأجهزة باستخدام الأجهزة المحلية أو الأجهزة الداخلية.
  • موفرو البنية الأساسية: الثقة في موفري السحابة أو إدارة مراكز البيانات المحلية الخاصة بك.

تقليل سطح الهجوم تشير قاعدة الحوسبة الموثوق بها (TCB) إلى جميع مكونات الأجهزة والبرامج الثابتة والبرامج الخاصة بالنظام التي توفر بيئة آمنة. تعتبر المكونات داخل TCB "حرجة". إذا تعرض أحد المكونات داخل TCB للخطر، فقد يتعرض أمان النظام بأكمله للخطر. انخفاض قاعدة الحوسبة الموثوقة يعني ارتفاع الأمن. هناك مخاطر أقل للتعرض للعديد من نقاط الضعف والبرامج الضارة والهجمات والأشخاص المؤذيين.

يمكن أن تساعدك الحوسبة السرية في Azure على:

  • منع الوصول غير المصرح به: قم بتشغيل البيانات الحساسة في السحابة. ثق بأن Azure يوفر أفضل حماية ممكنة للبيانات، مع تغيير بسيط أو بدون تغيير عما يتم إنجازه اليوم.
  • تلبية التوافق التنظيمي: قم بالترحيل إلى السحابة والاحتفاظ بالتحكم الكامل في البيانات لتلبية اللوائح الحكومية لحماية المعلومات الشخصية وتأمين IP التنظيمي.
  • ضمان التعاون الآمن وغير الموثوق به: قم بمعالجة المشاكل على نطاق العمل على مستوى الصناعة من خلال تمشيط البيانات عبر المؤسسات، وحتى المنافسين، لفتح تحليلات البيانات الواسعة والرؤى الأعمق.
  • عزل المعالجة: تقديم موجة جديدة من المنتجات التي تزيل المسؤولية عن البيانات الخاصة مع المعالجة العمياء. لا يمكن حتى استرداد بيانات المستخدم من قبل موفر الخدمة.

تعرف على المزيد حول الحوسبة السرية.

البريد الإلكتروني الآمن والمستندات والبيانات الحساسة

تريد التحكم في البريد الإلكتروني والمستندات والبيانات الحساسة التي تشاركها خارج شركتك وتأمينها. حماية المعلومات في Azure حل مستند إلى السحابة يساعد المؤسسات على تصنيف المستندات ورسائل البريد الإلكتروني وتسميتها وحمايتها. يمكن تطبيق ذلك تلقائياً بواسطة المسؤولين الذين يحددون القواعد والشروط، أو يدوياً بواسطة المستخدمين، أو الطريقتين معاً؛ حيث يُعطى المستخدمين توصيات.

يمكن تحديد التصنيف في جميع الأوقات، بغض النظر عن مكان تخزين البيانات أو مع من تتم مشاركتها. تتضمن التسميات علامات مرئية مثل رأس أو تذييل أو علامة مائية. تتم إضافة بيانات التعريف إلى الملفات ورؤوس البريد الإلكتروني في نص واضح. يضمن النص الواضح أن الخدمات الأخرى، مثل الحلول لمنع فقدان البيانات، يمكنها تحديد التصنيف واتخاذ الإجراءات المناسبة.

تستخدم تقنية الحماية إدارة حقوق Azure (Azure RMS). تم دمج هذه التقنية مع خدمات وتطبيقات Microsoft السحابية الأخرى، مثل Microsoft 365 ومعرف Microsoft Entra. تستخدم تقنية الحماية نُهج التشفير والهوية والتخويل. تظل الحماية التي يتم تطبيقها من خلال Azure RMS مع المستندات ورسائل البريد الإلكتروني، بشكل مستقل عن الموقع داخل المؤسسة أو خارجها والشبكات وخوادم الملفات والتطبيقات.

يحافظ حل حماية المعلومات هذا على التحكم في بياناتك، حتى عندما تتم مشاركتها مع أشخاص آخرين. يمكنك أيضا استخدام Azure RMS مع تطبيقات خط العمل الخاصة بك وحلول حماية المعلومات من موردي البرامج، سواء كانت هذه التطبيقات والحلول محلية أو في السحابة.

نوصيك بما يلي:

  • توزيع حماية بيانات Azure لمؤسستك.
  • تطبيق التسميات التي تعكس متطلبات عملك. على سبيل المثال: تطبيق تسمية باسم "سري للغاية" على جميع المستندات ورسائل البريد الإلكتروني التي تحتوي على بيانات سرية للغاية، لتصنيف هذه البيانات وحمايتها. بعد ذلك، يمكن للمستخدمين المعتمدين فقط الوصول إلى هذه البيانات، مع أي قيود تحددها.
  • تكوين تسجيل الاستخدام لـ Azure RMS بحيث يمكنك مراقبة كيفية استخدام مؤسستك لخدمة الحماية.

قد تكون المؤسسات الضعيفة في تصنيف البيانات وحماية الملفات أكثر عرضة لتسرب البيانات أو إساءة استخدام البيانات. باستخدام حماية الملفات المناسبة، يمكنك تحليل تدفق البيانات للحصول على نتيجة تحليلات لعملك، والكشف عن السلوكيات الخطرة واتخاذ تدابير تصحيحية، وتتبع الوصول إلى المستندات، وغير ذلك.

الخطوات التالية

  • Last updated on