Zabezpečení, zásady správného řízení a dodržování předpisů pro analýzy škálování cloudu
Při plánování architektury analýzy škálování cloudu věnujte zvláštní pozornost tomu, aby byla tato architektura robustní a zabezpečená. Tento článek se zabývá kritérii návrhu zabezpečení, dodržování předpisů a zásad správného řízení pro analýzy cloudu na podnikové úrovni. Tento článek se také zabývá doporučeními návrhu a osvědčenými postupy pro nasazení cloudových analýz v Azure. Projděte si zásady správného řízení zabezpečení a dodržování předpisů na podnikové úrovni a plně se připravte na zásady správného řízení podnikového řešení.
Cloudová řešení původně hostovala jednotlivé, relativně izolované aplikace. Jakmile se ukázaly výhody cloudových řešení, hostovaly se v cloudu rozsáhlejší úlohy, jako je SAP v Azure. Proto se stalo zásadním řešit zabezpečení, spolehlivost, výkon a náklady na regionální nasazení v průběhu životního cyklu cloudových služeb.
Vizí zabezpečení, dodržování předpisů a zásad správného řízení cílových zón analýzy škálování cloudu v Azure je poskytovat nástroje a procesy, které vám pomůžou minimalizovat rizika a efektivně se rozhodovat. Cílové zóny Azure definují role a odpovědnosti zásad správného řízení zabezpečení a dodržování předpisů.
Model analýzy škálování cloudu závisí na několika funkcích zabezpečení, které je možné povolit v Azure. Mezi tyto funkce patří šifrování, řízení přístupu na základě role, seznamy řízení přístupu a omezení sítí.
Doporučení k návrhu zabezpečení
Microsoft i zákazníci sdílejí odpovědnost za zabezpečení. Přijaté pokyny k zabezpečení najdete v osvědčených postupech pro kybernetickou bezpečnost od Centra pro internetovou bezpečnost. Následující části obsahují doporučení k návrhu zabezpečení.
Šifrování neaktivních uložených dat
Šifrování neaktivních uložených dat označuje šifrování dat, která zůstávají v úložišti, a řeší bezpečnostní rizika související s přímým fyzickým přístupem k úložným médiím. Dar je kritická kontrola zabezpečení, protože podkladová data nejsou obnovitelná a bez dešifrovacího klíče je nelze změnit. Dar je důležitou vrstvou ve strategii hloubkové ochrany datových center Microsoftu. Často existují důvody dodržování předpisů a zásad správného řízení pro nasazení šifrování neaktivních uložených dat.
Několik služeb Azure podporuje šifrování neaktivních uložených dat, včetně Azure Storage a Azure SQL databází. I když návrh služeb Azure ovlivňují běžné koncepty a modely, každá služba může použít šifrování neaktivních uložených dat v různých vrstvách zásobníku nebo může mít jiné požadavky na šifrování.
Důležité
Ve výchozím nastavení by ho měly mít povolené všechny služby, které podporují šifrování neaktivních uložených dat.
Zabezpečení přenášených dat
Data jsou přenášená nebo přenášená, když se přesunují z jednoho místa na druhé. Může to být interně, místně nebo v rámci Azure nebo externě, například přes internet ke koncovému uživateli. Azure nabízí několik mechanismů, včetně šifrování, které udržují přenášená data jako soukromá. Mezi tyto mechanismy patří:
- Komunikace prostřednictvím sítí VPN s využitím šifrování IPsec/IKE.
- Protokol TLS (Transport Layer Security) 1.2 nebo novější používaný komponentami Azure, jako je Azure Application Gateway nebo Azure Front Door.
- Protokoly dostupné v Azure Virtual Machines, jako je Windows IPsec nebo SMB.
Šifrování pomocí MACsec (zabezpečení řízení přístupu k médiím), standardu IEEE ve vrstvě datového propojení, je automaticky povoleno pro veškerý provoz Azure mezi datovými centry Azure. Toto šifrování zajišťuje důvěrnost a integritu dat zákazníků. Další informace najdete v tématu Ochrana dat zákazníků Azure.
Správa klíčů a tajných kódů
Pokud chcete řídit a spravovat klíče a tajné kódy šifrování disků pro analýzy na úrovni cloudu, použijte Azure Key Vault. Key Vault má funkce pro zřizování a správu certifikátů SSL/TLS. Tajné kódy můžete chránit také pomocí modulů hardwarového zabezpečení (HSM).
Microsoft Defender for Cloud
Microsoft Defender for Cloud poskytuje výstrahy zabezpečení a pokročilou ochranu před hrozbami pro virtuální počítače, databáze SQL, kontejnery, webové aplikace, virtuální sítě a další.
Když povolíte Defender for Cloud z oblasti cen a nastavení, povolí se současně následující Microsoft Defender plány, které poskytují komplexní ochranu výpočetních, datových a servisních vrstev vašeho prostředí:
- Microsoft Defender pro servery
- Microsoft Defender pro App Service
- Microsoft Defender pro úložiště
- Microsoft Defender pro SQL
- Microsoft Defender pro Kubernetes
- Microsoft Defender pro registry kontejnerů
- Microsoft Defender pro Key Vault
- Microsoft Defender pro Resource Manager
- Microsoft Defender pro DNS
Tyto plány jsou vysvětleny samostatně v dokumentaci k Defenderu for Cloud.
Důležité
Pokud je Defender for Cloud dostupný pro nabídky PaaS (platforma jako služba), měli byste tuto funkci povolit ve výchozím nastavení, zejména pro účty Azure Data Lake Storage. Další informace najdete v tématu Úvod do Microsoft Defender for Cloud a konfigurace Microsoft Defender pro úložiště.
Microsoft Defender for Identity
Microsoft Defender for Identity je součástí nabídky pokročilého zabezpečení dat, což je jednotný balíček pro pokročilé možnosti zabezpečení. Microsoft Defender for Identity je možné přistupovat a spravovat prostřednictvím Azure Portal.
Důležité
Ve výchozím nastavení povolte Microsoft Defender for Identity vždy, když je k dispozici pro služby PaaS, které používáte.
Povolení služby Microsoft Sentinel
Microsoft Sentinel je škálovatelné řešení SOAR (Security Information Event Management) a automatizované reakce na orchestraci zabezpečení (SOAR) nativní pro cloud. Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzy hrozeb v rámci celého podniku a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.
Sítě
Předepisované zobrazení analýzy škálování cloudu spočívá v používání privátních koncových bodů Azure pro všechny služby PaaS a nepoužívat veřejné IP adresy pro všechny služby infrastruktury jako služby (IaaS). Další informace najdete v tématu Cloudové analytické sítě.
Doporučení k návrhu dodržování předpisů a zásad správného řízení
Azure Advisor vám pomůže získat konsolidované zobrazení napříč předplatnými Azure. Informace o spolehlivosti, odolnosti, zabezpečení, výkonu, efektivitě provozu a nákladech najdete v Azure Advisoru. Následující části obsahují doporučení k návrhu dodržování předpisů a zásad správného řízení.
Použití Azure Policy
Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém. Prostřednictvím řídicího panelu dodržování předpisů poskytuje agregované zobrazení celkového stavu prostředí s možností přejít k podrobnostem o jednotlivých prostředcích nebo zásadách.
Azure Policy pomáhá zajistit dodržování předpisů pro vaše prostředky prostřednictvím hromadné nápravy stávajících prostředků a automatické nápravy nových prostředků. K dispozici je několik předdefinovaných zásad, například kvůli omezení umístění nových prostředků, vyžadování značky a její hodnoty u prostředků, vytvoření virtuálního počítače pomocí spravovaného disku nebo vynucení zásad pojmenování.
Automatizace nasazení
Automatizací nasazení můžete ušetřit čas a snížit počet chyb. Snižte složitost nasazení komplexních cílových zón dat a datových aplikací (které vytvářejí datové produkty) vytvořením opakovaně použitelných šablon kódu. Tím se minimalizuje doba potřebná k nasazení nebo opětovnému nasazení řešení. Další informace najdete v tématu Principy automatizace DevOps pro analýzy škálování cloudu v Azure.
Uzamčení prostředků pro produkční úlohy
Na začátku projektu vytvořte požadovanou základní správu dat a cílovou zónu dat Azure. Po dokončení všech přidání, přesunů a změn a nasazení Azure je funkční, zamkněte všechny prostředky. Pak může odemknout nebo upravit prostředky, jako je katalog dat, pouze správce. Další informace najdete v článku Zabránění neočekávaným změnám zamknutím prostředků.
Implementace řízení přístupu na základě role
Můžete přizpůsobit řízení přístupu na základě role (RBAC) u předplatných Azure a spravovat, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a ke kterým oblastem má přístup. Můžete například členům týmu povolit nasazení základních prostředků do cílové zóny dat, ale zabránit jim v tom, aby změnili některou ze síťových komponent.
Scénáře dodržování předpisů a zásad správného řízení
Následující doporučení platí pro různé scénáře dodržování předpisů a zásad správného řízení. Tyto scénáře představují nákladově efektivní a škálovatelné řešení.
| Scenario | Doporučení |
|---|---|
| Nakonfigurujte model zásad správného řízení se standardními zásadami vytváření názvů a na základě nákladového střediska si můžete vyžádat sestavy. | Ke splnění vašich požadavků použijte Azure Policy a značky. |
| Vyhněte se náhodnému odstranění prostředků Azure. | K zabránění náhodnému odstranění použijte zámky prostředků Azure. |
| Získejte konsolidované zobrazení oblastí příležitostí pro optimalizaci nákladů, odolnost, zabezpečení, efektivitu provozu a výkon prostředků Azure. | Pomocí Azure Advisoru získáte konsolidované zobrazení napříč předplatnými SAP v Azure. |
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro