Sdílet prostřednictvím

Osvědčené postupy zabezpečení a šifrování dat v Azure

Tento článek popisuje osvědčené postupy zabezpečení a šifrování dat.

Osvědčené postupy vycházejí ze názorů a pracují s aktuálními možnostmi platformy Azure a sadami funkcí. Názory a technologie se v průběhu času mění a tento článek se pravidelně aktualizuje, aby tyto změny odrážely.

Tento článek je v souladu s modelem zabezpečení Nulové důvěryhodnosti Microsoftu, který zpracovává data jako jeden z důležitých pilířů vyžadujících ochranu ve všech fázích. Preskriptivní kontrolní mechanismy zabezpečení s vynuceným vynucováním azure Policy najdete v tématu Microsoft Cloud Security Benchmark v2 – Ochrana dat.

Ochrana dat

Pokud chcete lépe chránit data v cloudu, musíte zohlednit možné stavy, ve kterých se můžou vaše data vyskytovat, a jaké ovládací prvky jsou pro tento stav k dispozici. Osvědčené postupy pro zabezpečení a šifrování dat Azure se vztahují k následujícím stavům dat:

  • Neaktivní: To zahrnuje všechny objekty úložiště informací, kontejnery a typy, které existují staticky na fyzickém médiu, ať už magnetického nebo optického disku.
  • Když jsou data přenášena mezi komponentami, místy nebo programy, jsou v tranzitu. Příkladem je přenos přes síť přes službu Service Bus (z místního prostředí do cloudu a naopak, včetně hybridních připojení, jako je ExpressRoute), nebo během vstupního a výstupního procesu.
  • Při zpracování dat udržují specializované důvěrné výpočetní virtuální počítače založené na čipové sadě AMD a Intel data zašifrovaná v paměti pomocí hardwarově spravovaných klíčů.

Volba řešení pro správu klíčů

Ochrana klíčů je nezbytná k ochraně dat v cloudu.

Azure nabízí několik různých služeb pro ochranu kryptografických klíčů pomocí hsM. Tyto nabídky poskytují škálovatelnost a dostupnost cloudu a zároveň poskytují úplnou kontrolu nad vašimi klíči. Další informace a pokyny k výběru mezi těmito nabídkami pro správu klíčů najdete v tématu Jak zvolit správné řešení správy klíčů Azure. Pro správu klíčů pro šifrování dat v klidovém stavu se doporučuje Azure Key Vault Premium nebo Managed HSM služby Azure Key Vault.

Správa pomocí zabezpečených pracovních stanic

Poznámka:

Správce nebo vlastník předplatného by měl používat zabezpečenou pracovní stanici s přístupem nebo pracovní stanici s privilegovaným přístupem.

Vzhledem k tomu, že velká většina útoků cílí na koncového uživatele, koncový bod se stane jedním z primárních bodů útoku. Útočník, který narušil koncový bod, může pomocí přihlašovacích údajů uživatele získat přístup k datům organizace. Většina útoků koncových bodů využívá skutečnost, že uživatelé jsou správci na místních pracovních stanicích.

  • K ochraně citlivých účtů, úloh a dat použijte zabezpečenou pracovní stanici pro správu: Pomocí pracovní stanice s privilegovaným přístupem můžete snížit prostor pro útoky na pracovní stanice. Tyto pracovní stanice pro zabezpečenou správu vám můžou pomoct zmírnit některé z těchto útoků a zajistit, aby vaše data byla bezpečnější.

  • Zajištění ochrany koncových bodů: Vynucujte zásady zabezpečení na všech zařízeních, která se používají k využívání dat bez ohledu na umístění dat (cloudové nebo místní).

Ochrana dat v klidovém stavu

Šifrování neaktivních uložených dat je povinný krok směrem k ochraně osobních údajů, dodržování předpisů a suverenitě dat.

  • Použití šifrování na hostiteli k ochraně dat: Použití šifrování na hostiteli – komplexní šifrování pro virtuální počítač. Šifrování v hostiteli je možnost virtuálního počítače, která vylepšuje službu Azure Disk Storage Server-Side Encryption, aby se zajistilo šifrování všech dočasných disků a mezipamětí disku v klidovém stavu a šifrování toku do clusterů úložiště.

Většina služeb Azure, jako je Azure Storage a Azure SQL Database, ve výchozím nastavení šifruje neaktivní uložená data. Ke kontrole nad klíči, které zajišťují přístup k vašim datům a jejich šifrování, můžete použít Azure Key Vault. Další informace najdete v tématu o podpoře modelů šifrování u poskytovatelů prostředků Azure.

  • Šifrování vám pomůže zmírnit rizika související s neoprávněným přístupem k datům: Před zápisem citlivých dat do nich zašifrujte služby.

Organizace, které nevynucují šifrování dat, jsou vystaveny problémům s důvěrností dat. Společnosti také musí prokázat, že jsou pilné a používají správné bezpečnostní mechanismy, aby zlepšily zabezpečení dat, aby byly v souladu s předpisy v odvětví.

Ochrana dat během přenosů

Ochrana dat během přenosu by měla tvořit jednu ze základních součástí vaší strategie ochrany dat. Protože data se neustále přesouvají mezi lokalitami, obecně doporučujeme při výměně dat mezi různými lokalitami vždy používat protokoly SSL/TLS. Za určitých okolností může být vhodné izolovat celý komunikační kanál mezi místní a cloudovou infrastrukturou pomocí sítě VPN.

U dat, která se přesouvají mezi vaší místní infrastrukturou a prostředím Azure, zvažte zapojení odpovídajících ochranných opatření, jako je protokol HTTPS nebo síť VPN. Při odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet použijte Azure VPN Gateway.

Následují osvědčené postupy specifické pro použití služby Azure VPN Gateway, SSL/TLS a HTTPS.

  • Zabezpečený přístup z několika pracovních stanic umístěných místně do virtuální sítě Azure: Použijte vpn typu site-to-site.

  • Zabezpečený přístup z jednotlivých pracovních stanic umístěných místně k virtuální síti Azure: Použijte vpn typu point-to-site.

  • Přesun větších datových sad přes vyhrazené vysokorychlostní připojení WAN: Použijte ExpressRoute. Pokud se rozhodnete použít ExpressRoute, můžete posílit ochranu šifrováním dat na úrovni aplikace pomocí SSL/TLS nebo jiných protokolů.

  • Interakce se službou Azure Storage prostřednictvím webu Azure Portal: Všechny transakce probíhají prostřednictvím protokolu HTTPS. K interakci se službou Azure Storage můžete také použít rozhraní REST API služby Storage přes HTTPS.

Organizace, které nezajistí ochranu přenášených dat, jsou náchylnější k útokům typu man-in-the-middle, odposlouchávání a napadení relací. Tyto útoky mohou představovat první krok k získání přístupu k důvěrným datům.

Ochrana používaných dat

Snižte potřebu důvěry Spuštění úloh v cloudu vyžaduje důvěru. Tento vztah důvěryhodnosti dáváte různým poskytovatelům, kteří umožňují různé součásti vaší aplikace.

  • Dodavatelé softwaru aplikací: Důvěřujte softwaru nasazením na místní infrastruktuře, používáním open-source softwaru nebo vytvořením vlastního aplikačního softwaru.
  • Dodavatelé hardwaru: Důvěřujte hardwaru tím, že použijete místní nebo interní hardware.
  • Poskytovatelé infrastruktury: Důvěřujte poskytovatelům cloudu nebo spravujte vlastní místní datová centra.

Omezení prostoru útoku Trusted Computing Base (TCB) odkazuje na veškerý hardware, firmware a softwarové komponenty systému, které poskytují zabezpečené prostředí. Komponenty uvnitř TCB jsou považovány za "kritické". Pokud dojde k ohrožení zabezpečení jedné komponenty uvnitř TCB, může být ohroženo zabezpečení celého systému. Nižší TCB znamená vyšší zabezpečení. Existuje menší riziko ohrožení zabezpečení, malwaru, útoků a škodlivých lidí.

Důvěrné výpočetní prostředí Azure vám může pomoct:

  • Zabránit neoprávněnému přístupu: Spusťte citlivá data v cloudu. Důvěřujte tomu, že Azure poskytuje nejlepší možnou ochranu dat, a to beze změny od toho, co se dnes dělá.
  • Splnění dodržování právních předpisů: Migrujte do cloudu a udržujte úplnou kontrolu nad daty, abyste vyhověli předpisům státní správy pro ochranu osobních údajů a zabezpečení IP adres organizace.
  • Zajistěte zabezpečenou spolupráci s řízenou důvěrou: řešte průmyslové problémy kombinováním dat mezi organizacemi, včetně konkurentů, což umožňuje využít rozsáhlé analýzy dat a hlubší vhledy.
  • Izolované zpracování: Nabízí novou vlnu produktů, které odstraňují odpovědnost za soukromá data se slepým zpracováním. Poskytovatel služeb ani nemůže načíst uživatelská data.

Přečtěte si další informace o důvěrném výpočetním prostředí.

Zabezpečení e-mailů, dokumentů a citlivých dat

Chcete řídit a zabezpečit e-maily, dokumenty a citlivá data, která sdílíte mimo vaši společnost. Azure Information Protection je cloudové řešení, které organizaci pomáhá klasifikovat, označovat a chránit dokumenty a e-maily. To můžou provádět automaticky správci, kteří definují pravidla a podmínky, ručně uživateli nebo kombinaci, ve které uživatelé získají doporučení.

Klasifikace je vždy identifikovatelná bez ohledu na to, kde jsou data uložená nebo s kým jsou sdílena. Popisky obsahují vizuální označení, jako je záhlaví, zápatí nebo vodoznak. Metadata se přidají do souborů a e-mailových hlaviček ve formátu prostého textu. Prostý text zajišťuje, aby ostatní služby, jako jsou řešení, aby zabránily ztrátě dat, mohly identifikovat klasifikaci a provést odpovídající akci.

Technologie ochrany používá Azure Rights Management (Azure RMS). Tato technologie je integrovaná s dalšími cloudovými službami a aplikacemi Microsoftu, jako je Microsoft 365 a Microsoft Entra ID. Tato technologie ochrany používá zásady šifrování, identity a autorizace. Ochrana použitá prostřednictvím Azure RMS zůstává s dokumenty a e-maily nezávisle na umístění uvnitř nebo mimo vaši organizaci, sítě, souborové servery a aplikace.

Toto řešení ochrany informací vám zajistí kontrolu nad vašimi daty, i když je sdílíte s jinými lidmi. Azure RMS můžete také používat s vlastními obchodními aplikacemi a řešeními ochrany informací od dodavatelů softwaru, ať už jsou tyto aplikace a řešení místní nebo v cloudu.

Doporučujeme, abyste:

  • Nasazení služby Azure Information Protection pro vaši organizaci
  • Použijte popisky, které odpovídají vašim obchodním požadavkům. Příklad: Aplikujte štítek nazvaný "vysoce důvěrné" na všechny dokumenty a e-maily, které obsahují nejpřísněji tajná data, abyste tato data klasifikovali a chránili. K datům pak budou mít přístup jenom oprávnění uživatelé s libovolnými omezeními, která zadáte.
  • Nakonfigurujte protokolování využití pro Azure RMS , abyste mohli monitorovat, jak vaše organizace používá službu ochrany.

Organizace, které jsou slabé při klasifikaci dat a ochraně souborů, můžou být náchylnější k úniku dat nebo zneužití dat. Díky správné ochraně souborů můžete analyzovat toky dat, abyste získali přehled o vaší firmě, zjistili rizikové chování a podnikli nápravná opatření, sledovali přístup k dokumentům atd.

Další kroky

  • Last updated on