مشاركة عبر

مخطط أمان وتوافق Azure: تحليلات PCI DSS

  • مقالة

نظرة عامة

يوفر مخطط أمان وتوافق Azure هذا إرشادات لنشر بنية تحليلات البيانات في Azure التي تساعد مع متطلبات معايير أمان بيانات صناعة بطاقات الدفع (PCI DSS 3.2). وهو يعرض بنية مرجعية مشتركة ويوضح المعالجة المناسبة لبيانات بطاقة الائتمان (بما في ذلك رقم البطاقة وانتهاء الصلاحية وبيانات التحقق) في بيئة آمنة ومتوافقة ومتعددة المستويات. يوضح هذا المخطط الطرق التي يمكن للعملاء من خلالها تلبية متطلبات الأمان والتوافق المحددة ويعمل كأساس للعملاء لإنشاء وتكوين حلول تحليلات البيانات الخاصة بهم في Azure.

توفر هذه البنية المرجعية ودليل التنفيذ ونموذج التهديد أساسا للعملاء للامتثال لمتطلبات PCI DSS 3.2. يوفر هذا الحل أساسا لمساعدة العملاء على نشر أحمال العمل إلى Azure بطريقة متوافقة مع PCI DSS 3.2؛ ومع ذلك، لا يجب استخدام هذا الحل كما هو في بيئة إنتاج لأن التكوين الإضافي مطلوب.

يتطلب تحقيق التوافق مع PCI DSS أن يصدق تقييم الأمان المؤهل المعتمد (QSA) على حل عميل الإنتاج. يتحمل العملاء مسؤولية إجراء تقييمات الأمان والتوافق المناسبة لأي حل تم إنشاؤه باستخدام هذه البنية، حيث قد تختلف المتطلبات بناء على تفاصيل تنفيذ كل عميل.

رسم تخطيطي ومكونات البنية

يوفر مخطط الأمان والتوافق Azure هذا نظاما أساسيا للتحلليلات يمكن للعملاء بناء عليه أدوات التحليل الخاصة بهم. توضح البنية المرجعية حالة استخدام عامة حيث يقوم العملاء بإدخال البيانات إما من خلال استيراد البيانات المجمعة من قبل مسؤول SQL/البيانات أو من خلال تحديثات البيانات التشغيلية عبر مستخدم تشغيلي. يتضمن كل من تدفقات العمل وظائف Azure لاستيراد البيانات إلى قاعدة بيانات Azure SQL. يجب تكوين Azure Functions بواسطة العميل من خلال مدخل Microsoft Azure للتعامل مع مهام الاستيراد الفريدة لمتطلبات التحليلات الخاصة بكل عميل.

يقدم Azure مجموعة متنوعة من خدمات التقارير والتحليلات للعملاء. يتضمن هذا الحل التعلم الآلي من Azure جنبا إلى جنب مع قاعدة بيانات Azure SQL للاستعراض السريع للبيانات وتقديم نتائج أسرع من خلال النمذجة الذكية. يزيد التعلم الآلي من Azure من سرعات الاستعلام عن طريق اكتشاف علاقات جديدة بين مجموعات البيانات. بمجرد تدريب البيانات من خلال العديد من الوظائف الإحصائية، يمكن مزامنة ما يصل إلى 7 تجمعات استعلام إضافية (إجمالي 8 بما في ذلك خادم العميل) مع نفس النماذج الجدولية لنشر أحمال عمل الاستعلام وتقليل أوقات الاستجابة.

للحصول على تحليلات وإعداد تقارير محسنة، يمكن تكوين قواعد بيانات Azure SQL باستخدام فهارس تخزين الأعمدة. يمكن توسيع نطاق كل من قواعد بيانات التعلم الآلي من Azure وقواعد بيانات Azure SQL لأعلى أو لأسفل أو إيقاف تشغيلها تماما استجابة لاستخدام العملاء. يتم تشفير جميع حركة مرور SQL باستخدام SSL من خلال تضمين الشهادات الموقعة ذاتيا. كأفضل ممارسة، توصي Azure باستخدام مرجع مصدق موثوق به لتحسين الأمان.

بمجرد تحميل البيانات إلى قاعدة بيانات Azure SQL وتدريبها بواسطة التعلم الآلي من Azure، يتم هضمها بواسطة كل من المستخدم التشغيلي وSQL/Data مسؤول مع Power BI. يعرض Power BI البيانات بشكل بديهي ويجمع المعلومات معا عبر مجموعات بيانات متعددة لرسم رؤية أكبر. تضمن درجة قابلية التكيف العالية والتكامل السهل مع قاعدة بيانات Azure SQL أن العملاء يمكنهم تكوينها للتعامل مع مجموعة واسعة من السيناريوهات كما هو مطلوب من قبل احتياجات أعمالهم.

يستخدم الحل حسابات تخزين Azure، التي يمكن للعملاء تكوينها لاستخدام تشفير خدمة التخزين للحفاظ على سرية البيانات الثابتة. يخزن Azure ثلاث نسخ من البيانات داخل مركز البيانات المحدد للعميل للمرونة. يضمن التخزين الجغرافي المتكرر نسخ البيانات إلى مركز بيانات ثانوي على بعد مئات الأميال وتخزينها مرة أخرى على شكل ثلاث نسخ داخل مركز البيانات هذا، ما يمنع حدوث حدث سلبي في مركز البيانات الأساسي للعميل من أن يؤدي إلى فقدان البيانات.

لتحسين الأمان، تتم إدارة جميع الموارد في هذا الحل كمجموعة موارد من خلال Azure Resource Manager. يتم استخدام التحكم في الوصول المستند إلى الدور في Azure Active Directory للتحكم في الوصول إلى الموارد المنشورة، بما في ذلك مفاتيحها في Azure Key Vault. تتم مراقبة صحة النظام من خلال مركز أمان Azure وAzure Monitor. يقوم العملاء بتكوين كل من خدمات المراقبة لالتقاط السجلات وعرض صحة النظام في لوحة معلومات واحدة قابلة للتنقل بسهولة.

تتم إدارة قاعدة بيانات Azure SQL بشكل شائع من خلال SQL Server Management Studio (SSMS)، والذي يعمل من جهاز محلي تم تكوينه للوصول إلى قاعدة بيانات Azure SQL عبر اتصال VPN أو ExpressRoute آمن. توصي Microsoft بتكوين اتصال VPN أو ExpressRoute للإدارة واستيراد البيانات إلى مجموعة موارد البنية المرجعية.

تحليلات لرسم تخطيطي للبنية المرجعية ل PCI DSS

يستخدم هذا الحل خدمات Azure التالية. تفاصيل بنية التوزيع موجودة في قسم بنية النشر .

  • Application Insights
  • Azure Active Directory
  • Azure Data Catalog
  • تشفير قرص Azure
  • Azure Event Grid
  • دالات Azure
  • Azure Key Vault
  • التعلم الآلي من Azure
  • Azure Monitor
  • مركز أمان Azure
  • قاعدة بيانات Azure SQL
  • تخزين Azure
  • شبكة Azure الظاهرية
    • (1) /16 شبكة
    • (2) /24 شبكة
    • (2) مجموعات أمان الشبكة
  • لوحة معلومات Power BI

بنية النشر

يوضح القسم التالي بالتفصيل عناصر التوزيع والتنفيذ.

Azure Event Grid: تسمح Azure Event Grid للعملاء بإنشاء تطبيقات بسهولة باستخدام البنيات المستندة إلى الحدث. يحدد المستخدمون مورد Azure الذي يرغبون في الاشتراك فيه ويمنحون معالج الأحداث أو خطاف الويب نقطة نهاية لإرسال الحدث إليها. يمكن للعملاء تأمين نقاط نهاية خطاف الويب عن طريق إضافة معلمات الاستعلام إلى عنوان URL لخطاف الويب عند إنشاء اشتراك حدث. تدعم Azure Event Grid نقاط نهاية خطاف الويب HTTPS فقط. تسمح Azure Event Grid للعملاء بالتحكم في مستوى الوصول الممنوح للمستخدمين المختلفين للقيام بعمليات إدارة مختلفة مثل اشتراكات أحداث القائمة وإنشاء اشتراكات جديدة وإنشاء مفاتيح. تستخدم Event Grid التحكم في الوصول المستند إلى الدور في Azure.

Azure Functions: Azure Functions هي خدمة حساب بدون خادم تمكن المستخدمين من تشغيل التعليمات البرمجية عند الطلب دون الحاجة إلى توفير البنية الأساسية أو إدارتها بشكل صريح. استخدم Azure Functions لتشغيل برنامج نصي أو جزء من التعليمات البرمجية استجابة لمجموعة متنوعة من الأحداث.

التعلم الآلي من Azure: التعلم الآلي من Azure هو تقنية علم بيانات تسمح لأجهزة الكمبيوتر باستخدام البيانات الموجودة للتنبؤ بالسلوكيات والنتائج والاتجاهات المستقبلية.

Azure كتالوج البيانات: كتالوج البيانات يجعل مصادر البيانات قابلة للاكتشاف والفهم بسهولة من قبل المستخدمين الذين يديرون البيانات. يمكن تسجيل مصادر البيانات الشائعة ووضع علامة عليها والبحث عن البيانات المالية. تبقى البيانات في موقعها الحالي، ولكن تتم إضافة نسخة من بيانات التعريف الخاصة بها إلى كتالوج البيانات، بالإضافة إلى مرجع إلى موقع مصدر البيانات. كما تتم فهرسة بيانات التعريف لجعل كل مصدر بيانات سهل الاكتشاف عبر البحث وسهل الفهم على المستخدمين الذين يكتشفونه.

شبكة ظاهرية

تحدد البنية شبكة ظاهرية خاصة بمساحة عنوان 10.200.0.0/16.

مجموعات أمان الشبكة: تحتوي مجموعات أمان الشبكة على قوائم التحكم في الوصول التي تسمح بنسبة استخدام الشبكة أو ترفضها داخل شبكة ظاهرية. يمكن استخدام مجموعات أمان الشبكة لتأمين نسبة استخدام الشبكة على مستوى شبكة فرعية أو جهاز ظاهري فردي. توجد مجموعات أمان الشبكة التالية:

  • مجموعة أمان شبكة ل Active Directory
  • مجموعة أمان الشبكة لحمل العمل

تحتوي كل مجموعة من مجموعات أمان الشبكة على منافذ وبروتوكولات محددة مفتوحة بحيث يمكن أن يعمل الحل بشكل آمن وصحيح. بالإضافة إلى ذلك، يتم تمكين التكوينات التالية لكل مجموعة أمان شبكة:

الشبكات الفرعية: ترتبط كل شبكة فرعية بمجموعة أمان الشبكة المقابلة لها.

البيانات المتنقلة

يقوم Azure بتشفير جميع الاتصالات من وإلى مراكز بيانات Azure بشكل افتراضي. تحدث جميع المعاملات إلى Azure Storage من خلال مدخل Microsoft Azure عبر HTTPS.

البيانات الثابتة

تحمي البنية البيانات الثابتة من خلال التشفير وتدقيق قاعدة البيانات والمقاييس الأخرى.

Azure Storage: لتلبية متطلبات البيانات المشفرة الثابتة، تستخدم جميع Azure Storageتشفير خدمة التخزين. يساعد هذا على حماية وحماية بيانات حامل البطاقة لدعم التزامات الأمان التنظيمية ومتطلبات التوافق المحددة بواسطة PCI DSS 3.2.

تشفير قرص Azure: يستفيد تشفير قرص Azure من ميزة BitLocker في Windows لتوفير تشفير وحدة التخزين لأقراص البيانات. يتكامل الحل مع Azure Key Vault للمساعدة في التحكم في مفاتيح تشفير القرص وإدارتها.

قاعدة بيانات Azure SQL: يستخدم مثيل قاعدة بيانات Azure SQL مقاييس أمان قاعدة البيانات التالية:

  • تتيح مصادقة Active Directory وتخويله إدارة الهوية لمستخدمي قاعدة البيانات وخدمات Microsoft الأخرى في موقع مركزي واحد.
  • يتعقب تدقيق قاعدة بيانات SQL أحداث قاعدة البيانات ويكتبها في سجل تدقيق في حساب تخزين Azure.
  • تم تكوين قاعدة بيانات Azure SQL لاستخدام تشفير البيانات الشفاف، والذي يقوم بالتشفير في الوقت الحقيقي وفك تشفير قاعدة البيانات والنسخ الاحتياطية المقترنة وملفات سجل المعاملات لحماية المعلومات الثابتة. يوفر تشفير البيانات الشفاف ضمانا بأن البيانات المخزنة لم تخضع للوصول غير المصرح به.
  • تمنع قواعد جدار الحماية جميع الوصول إلى خوادم قاعدة البيانات حتى يتم منح الأذونات المناسبة. يمنح جدار الحماية حق الوصول إلى قواعد البيانات استناداً إلى عنوان IP الأصلي لكل طلب.
  • يتيح SQL Threat Detection الكشف عن التهديدات المحتملة والاستجابة لها عند حدوثها من خلال توفير تنبيهات أمان لأنشطة قاعدة البيانات المشبوهة، والثغرات الأمنية المحتملة، وهجمات حقن SQL، وأنماط الوصول إلى قاعدة البيانات الشاذة.
  • تضمن الأعمدة المشفرة أن البيانات الحساسة لا تظهر أبدا كنص عادي داخل نظام قاعدة البيانات. بعد تمكين تشفير البيانات، يمكن فقط لتطبيقات العميل أو خوادم التطبيقات التي يمكنها الوصول إلى المفاتيح الوصول إلى بيانات النص العادي.
  • يمكن استخدام الخصائص الموسعة لإيقاف معالجة مواضيع البيانات، لأنها تسمح للمستخدمين بإضافة خصائص مخصصة إلى كائنات قاعدة البيانات ووضع علامة على البيانات على أنها "متوقفة" لدعم منطق التطبيق لمنع معالجة البيانات المالية المقترنة.
  • يمكن الأمان على مستوى الصف المستخدمين من تحديد النهج لتقييد الوصول إلى البيانات لإيقاف المعالجة.
  • يحد إخفاء البيانات الديناميكية لقاعدة بيانات SQL من التعرض للبيانات الحساسة عن طريق إخفاء البيانات للمستخدمين أو التطبيقات غير المميزة. يمكن أن يكتشف إخفاء البيانات الديناميكي تلقائيا البيانات الحساسة المحتملة ويقترح الأقنعة المناسبة التي سيتم تطبيقها. يساعد هذا على تحديد وتقليل الوصول إلى البيانات بحيث لا تخرج من قاعدة البيانات عبر الوصول غير المصرح به. يتحمل العملاء مسؤولية ضبط إعدادات إخفاء البيانات الديناميكية للالتزام بمخطط قاعدة البيانات الخاص بهم.

إدارة الهويات

توفر التقنيات التالية قدرات لإدارة الوصول إلى البيانات في بيئة Azure:

  • Azure Active Directory هو دليل Microsoft متعدد المستأجرين وخدمة إدارة الهوية المستندة إلى السحابة. يتم إنشاء جميع المستخدمين لهذا الحل في Azure Active Directory، بما في ذلك المستخدمين الذين يصلون إلى قاعدة بيانات Azure SQL.
  • يتم تنفيذ المصادقة على التطبيق باستخدام Azure Active Directory. لمزيد من المعلومات، راجع دمج التطبيقات مع Azure Active Directory. بالإضافة إلى ذلك، يستخدم تشفير عمود قاعدة البيانات Azure Active Directory لمصادقة التطبيق إلى قاعدة بيانات Azure SQL. لمزيد من المعلومات، راجع كيفية حماية البيانات الحساسة في قاعدة بيانات Azure SQL.
  • يتيح التحكم في الوصول المستند إلى الدور في Azure للمسؤولين تحديد أذونات الوصول الدقيقة لمنح مقدار الوصول الذي يحتاجه المستخدمون لأداء وظائفهم فقط. بدلا من منح كل مستخدم إذنا غير مقيد لموارد Azure، يمكن للمسؤولين السماح بإجراءات معينة فقط للوصول إلى البيانات. يقتصر الوصول إلى الاشتراك على مسؤول الاشتراك.
  • Azure Active Directory Privileged Identity Management تمكن العملاء من تقليل عدد المستخدمين الذين لديهم حق الوصول إلى معلومات معينة. يمكن للمسؤولين استخدام Azure Active Directory Privileged Identity Management لاكتشاف الهويات المتميزة وتقييدها ومراقبتها ووصولها إلى الموارد. يمكن أيضا استخدام هذه الوظيفة لفرض الوصول الإداري عند الطلب وفي الوقت المناسب عند الحاجة.
  • تكتشف Azure Active Directory Identity Protection الثغرات الأمنية المحتملة التي تؤثر على هويات المؤسسة، وتكوين الاستجابات التلقائية للكشف عن الإجراءات المشبوهة المتعلقة بهويات المؤسسة، والتحقيق في الحوادث المشبوهة لاتخاذ الإجراء المناسب لحلها.

الأمان

إدارة الأسرار: يستخدم الحل Azure Key Vault لإدارة المفاتيح والأسرار. يساعد Azure Key Vault في حماية مفاتيح التشفير والأسرار التي تستخدمها التطبيقات والخدمات السحابية. تساعد قدرات Azure Key Vault التالية العملاء على حماية مثل هذه البيانات والوصول إليها:

  • يتم تكوين نهج الوصول المتقدمة على أساس الحاجة.
  • يتم تعريف نهج الوصول Key Vault مع الحد الأدنى من الأذونات المطلوبة للمفاتيح والأسرار.
  • جميع المفاتيح والأسرار في Key Vault لها تواريخ انتهاء الصلاحية.
  • جميع المفاتيح في Key Vault محمية بواسطة وحدات أمان الأجهزة المتخصصة. نوع المفتاح هو مفتاح RSA المحمي من HSM 2048 بت.
  • يتم منح جميع المستخدمين والهويات الحد الأدنى من الأذونات المطلوبة باستخدام التحكم في الوصول المستند إلى الدور.
  • يتم تمكين سجلات التشخيص Key Vault مع فترة استبقاء لا تقل عن 365 يوما.
  • تقتصر عمليات التشفير المسموح بها للمفاتيح على تلك المطلوبة.

مركز أمان Azure: باستخدام Azure Security Center، يمكن للعملاء تطبيق نهج الأمان وإدارتها مركزيا عبر أحمال العمل، والحد من التعرض للتهديدات، واكتشاف الهجمات والاستجابة لها. بالإضافة إلى ذلك، يصل Azure Security Center إلى التكوينات الحالية لخدمات Azure لتوفير توصيات التكوين والخدمة للمساعدة في تحسين وضع الأمان وحماية البيانات.

يستخدم Azure Security Center مجموعة متنوعة من قدرات الكشف لتنبيه العملاء بالهجمات المحتملة التي تستهدف بيئاتهم. تحتوي هذه التنبيهات على معلومات قيمة حول ما أدى إلى التنبيه والموارد المستهدفة ومصدر الهجوم. يحتوي Azure Security Center على مجموعة من تنبيهات الأمان المحددة مسبقا، والتي يتم تشغيلها عند حدوث تهديد أو نشاط مريب. تسمح قواعد التنبيه المخصصة في Azure Security Center للعملاء بتحديد تنبيهات أمان جديدة استنادا إلى البيانات التي تم جمعها بالفعل من بيئتهم.

يوفر Azure Security Center تنبيهات وحوادث أمان ذات أولوية، ما يجعل من السهل على العملاء اكتشاف مشكلات الأمان المحتملة ومعالجتها. يتم إنشاء تقرير تحليل ذكي للمخاطر لكل تهديد تم اكتشافه لمساعدة فرق الاستجابة للحوادث في التحقيق في التهديدات ومعالجتها.

تسجيل الدخول والتدقيق

تقوم خدمات Azure بتسجيل النظام ونشاط المستخدم على نطاق واسع، بالإضافة إلى صحة النظام:

  • سجلات النشاط: توفر سجلات النشاط نظرة ثاقبة على العمليات التي يتم إجراؤها على الموارد في الاشتراك. يمكن أن تساعد سجلات النشاط في تحديد بادئ العملية ووقت حدوثها وحالتها.
  • سجلات التشخيص: تتضمن سجلات التشخيص جميع السجلات المنبعثة من كل مورد. تتضمن هذه السجلات سجلات نظام أحداث Windows وسجلات تخزين Azure وسجلات تدقيق Key Vault والوصول إلى بوابة التطبيق وسجلات جدار الحماية. تكتب جميع سجلات التشخيص إلى حساب تخزين Azure مركزي ومشفرة للأرشفة. الاستبقاء قابل للتكوين من قبل المستخدم، حتى 730 يوما، لتلبية متطلبات الاستبقاء الخاصة بالمؤسسة.

سجلات Azure Monitor: يتم دمج هذه السجلات في سجلات Azure Monitor للمعالجة والتخزين وإعداد تقارير لوحة المعلومات. بمجرد جمعها، يتم تنظيم البيانات في جداول منفصلة لكل نوع بيانات داخل مساحات عمل Log Analytics، ما يسمح بتحليل جميع البيانات معا بغض النظر عن مصدرها الأصلي. علاوة على ذلك، يتكامل Azure Security Center مع سجلات Azure Monitor مما يسمح للعملاء باستخدام استعلامات Kusto للوصول إلى بيانات أحداث الأمان الخاصة بهم ودمجها مع البيانات من خدمات أخرى.

يتم تضمين حلول مراقبة Azure التالية كجزء من هذه البنية:

  • تقييم Active Directory: يقيم حل Active Directory Health Check مخاطر وصحة بيئات الخادم على فاصل زمني منتظم ويوفر قائمة ذات أولوية من التوصيات الخاصة بالبنية الأساسية للخادم المنشور.
  • تقييم SQL: يقيم حل SQL Health Check مخاطر وصحة بيئات الخادم على فاصل زمني منتظم ويوفر للعملاء قائمة ذات أولوية من التوصيات الخاصة بالبنية الأساسية للخادم المنشور.
  • Agent Health: يبلغ حل Agent Health عن عدد العوامل التي يتم توزيعها وتوزيعها الجغرافي، بالإضافة إلى عدد العوامل غير المستجيبة وعدد العوامل التي تقدم بيانات تشغيلية.
  • تحليلات سجل النشاط: يساعد حل تحليلات سجل النشاط في تحليل سجلات نشاط Azure عبر جميع اشتراكات Azure للعميل.

Azure Automation: يخزن Azure Automation دفاتر التشغيل ويشغلها ويديرها. في هذا الحل، تساعد دفاتر التشغيل في جمع السجلات من قاعدة بيانات Azure SQL. يمكن حل تتبع تغيير التنفيذ التلقائي العملاء من تحديد التغييرات في البيئة بسهولة.

Azure Monitor: يساعد Azure Monitor المستخدمين على تعقب الأداء والحفاظ على الأمان وتحديد الاتجاهات من خلال تمكين المؤسسات من التدقيق وإنشاء التنبيهات وأرشفة البيانات، بما في ذلك تعقب استدعاءات واجهة برمجة التطبيقات في موارد Azure الخاصة بهم.

Application Insights: Application Insights هي خدمة إدارة أداء التطبيقات الموسعة (APM) لمطوري الويب على أنظمة أساسية متعددة. فهو يكشف عن الحالات الشاذة في الأداء ويتضمن أدوات تحليلات قوية للمساعدة في تشخيص المشكلات وفهم ما يفعله المستخدمون بالفعل بالتطبيق. وهي مصممة لمساعدة المستخدمين على تحسين الأداء وسهولة الاستخدام باستمرار.

نموذج التهديد

يتوفر الرسم التخطيطي لتدفق البيانات لهذه البنية المرجعية للتنزيل أو يمكن العثور عليه أدناه. يمكن أن يساعد هذا النموذج العملاء على فهم نقاط المخاطر المحتملة في البنية الأساسية للنظام عند إجراء تعديلات.

تحليلات لرسم تخطيطي للبنية المرجعية ل PCI DSS

وثائق التوافق

يسرد مخطط أمان وتوافق Azure - مصفوفة مسؤولية عملاء PCI DSS مسؤوليات جميع متطلبات PCI DSS 3.2.

يوفر مخطط الأمان والتوافق Azure - مصفوفة تنفيذ تحليلات بيانات PCI DSS معلومات حول متطلبات PCI DSS 3.2 التي تعالجها بنية تحليلات البيانات، بما في ذلك الأوصاف التفصيلية لكيفية تلبية التنفيذ لمتطلبات كل عنصر تحكم مشمول.

الإرشادات والتوصيات

VPN وExpressRoute

يجب تكوين نفق VPN آمن أو ExpressRoute لإنشاء اتصال بالموارد المنشورة كجزء من البنية المرجعية لتحليلات البيانات هذه بشكل آمن. من خلال إعداد VPN أو ExpressRoute بشكل مناسب، يمكن للعملاء إضافة طبقة من الحماية للبيانات المتنقلة.

من خلال تنفيذ نفق VPN آمن باستخدام Azure، يمكن إنشاء اتصال خاص ظاهري بين شبكة محلية وشبكة Azure الظاهرية. يحدث هذا الاتصال عبر الإنترنت ويسمح للعملاء ب "الاتصال النفقي" بأمان داخل ارتباط مشفر بين شبكة العميل وAzure. VPN من موقع إلى موقع هي تقنية آمنة وناضجة تم نشرها من قبل المؤسسات من جميع الأحجام لعقود. يتم استخدام وضع نفق IPsec في هذا الخيار كآلية تشفير.

نظرا لأن نسبة استخدام الشبكة داخل نفق VPN تعبر الإنترنت باستخدام VPN من موقع إلى موقع، فإن Microsoft توفر خيار اتصال آخر أكثر أمانا. Azure ExpressRoute هو ارتباط WAN مخصص بين Azure وموقع محلي أو موفر استضافة Exchange. نظرا لأن اتصالات ExpressRoute لا تنتقل عبر الإنترنت، فإن هذه الاتصالات توفر المزيد من الموثوقية وسرعات أسرع وزمن انتقال أقل وأمانا أعلى من الاتصالات النموذجية عبر الإنترنت. وعلاوة على ذلك، ونظرا لأن هذا اتصال مباشر لموفر الاتصالات لدى العميل، فإن البيانات لا تنتقل عبر الإنترنت وبالتالي لا تتعرض لها.

تتوفر أفضل الممارسات لتنفيذ شبكة مختلطة آمنة تعمل على توسيع شبكة محلية إلى Azure.

عملية استخراج وتحويل التحميل

يمكن ل PolyBase تحميل البيانات في قاعدة بيانات Azure SQL دون الحاجة إلى أداة استخراج أو تحويل أو تحميل أو استيراد منفصلة. يسمح PolyBase بالوصول إلى البيانات من خلال استعلامات T-SQL. يمكن استخدام مكدس المعلومات والتحليل للأعمال من Microsoft، بالإضافة إلى أدوات الجهات الخارجية المتوافقة مع SQL Server، مع PolyBase.

إعداد Azure Active Directory

Azure Active Directory ضروري لإدارة النشر وتوفير الوصول إلى الموظفين الذين يتفاعلون مع البيئة. يمكن دمج Windows Server Active Directory الحالي مع Azure Active Directory بأربع نقرات. يمكن للعملاء أيضا ربط البنية الأساسية ل Active Directory المنشورة (وحدات التحكم بالمجال) ب Azure Active Directory موجود عن طريق جعل البنية الأساسية ل Active Directory المنشورة مجالا فرعيا لغابة Azure Active Directory.

إخلاء المسئولية

  • هذا المستند لأغراض إعلامية فقط. لا تقدم MICROSOFT أي ضمانات، صريحة أو ضمنية أو قانونية، فيما يتعلق بالمعلومات الواردة في هذا المستند. يتم توفير هذا المستند "كما هو". قد تتغير المعلومات وطرق العرض المعبر عنها في هذا المستند، بما في ذلك عنوان URL ومراجع مواقع الويب الأخرى على الإنترنت، دون إشعار. يتحمل العملاء الذين يقرأون هذا المستند خطر استخدامه.
  • لا يوفر هذا المستند للعملاء أي حقوق قانونية لأي ملكية فكرية في أي منتج أو حلول Microsoft.
  • يمكن للعملاء نسخ هذا المستند واستخدامه لأغراض مرجعية داخلية.
  • قد تؤدي بعض التوصيات في هذا المستند إلى زيادة استخدام البيانات أو الشبكة أو حساب الموارد في Azure، وقد تزيد من ترخيص Azure للعميل أو تكاليف الاشتراك.
  • تهدف هذه البنية إلى أن تكون بمثابة أساس للعملاء للتكيف مع متطلباتهم المحددة ولا ينبغي استخدامها كما هي في بيئة الإنتاج.
  • تم تطوير هذه الوثيقة كمرجع ولا ينبغي استخدامها لتحديد جميع الوسائل التي يمكن للعميل من خلالها تلبية متطلبات ولوائح الامتثال المحددة. يجب على العملاء طلب الدعم القانوني من مؤسستهم بشأن تطبيقات العملاء المعتمدة.