Erkunden der Sicherheit von Azure-VMs
Beachten Sie beim Untersuchen und Implementieren der Sicherheit der Azure-VM Folgendes:
Netzwerksicherheit
Aus Gründen der Netzwerksicherheit sollten Sie die Implementierung eines Umkreisnetzwerks in Erwägung ziehen, in dem sich eine verwaltete oder gehostete Firewall vor dem Subnetz für Web Dispatcher befindet. Aus Gründen der Speichersicherheit müssen Sie sicherstellen, dass Daten sowohl während ihrer Übertragung als auch im Ruhezustand verschlüsselt sind. Sie können Azure Disk Encryption verwenden, um VM-Datenträger zu verschlüsseln. Dieses Feature verwendet das BitLocker-Feature von Windows und DM-Crypt für Linux, um für eine Volumeverschlüsselung für das Betriebssystem und die Datenträger zu sorgen. Die Lösung funktioniert auch mit Azure Key Vault, um Sie dabei zu unterstützen, die Verschlüsselungsschlüssel und Geheimnisse für den Datenträger zu steuern und zu verwalten. Daten auf den VM-Datenträgern werden im Ruhezustand in Azure Storage verschlüsselt. Für die SAP HANA-Verschlüsselung von ruhenden Daten empfehlen wir die Verwendung der nativen SAP HANA-Verschlüsselungstechnologie.
Speichersicherheit
Daten in Azure Storage werden auf transparente Weise mit der AES-256-Verschlüsselung – einer der stärksten verfügbaren Blockchiffren – ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform. Die Azure Storage-Verschlüsselung ähnelt der BitLocker-Verschlüsselung unter Windows.
Die Azure Storage-Verschlüsselung ist für alle Speicherkonten aktiviert, einschließlich Resource Manager- und klassischer Speicherkonten, und kann nicht deaktiviert werden. Da Ihre Daten standardmäßig geschützt werden, müssen Sie weder Code noch Anwendungen ändern, um die Azure Storage-Verschlüsselung nutzen zu können.
Daten in einem neuen Speicherkonto werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Sie können von Microsoft verwaltete Schlüssel für die Verschlüsselung Ihrer Daten weiterhin nutzen oder die Verschlüsselung mit Ihren eigenen Schlüsseln verwalten.
Kunden, die hohe Anforderungen an den Schutz ihrer Daten stellen, können auch die 256-Bit-AES-Verschlüsselung auf Azure Storage-Infrastrukturebene aktivieren. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden Daten in einem Speicherkonto zweimal verschlüsselt – einmal auf Dienstebene und einmal auf Infrastrukturebene – und zwar mit zwei verschiedenen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln. Die doppelte Verschlüsselung von Azure Storage-Daten schützt vor dem Szenario, dass einer der Verschlüsselungsalgorithmen oder Schlüssel möglicherweise kompromittiert wurde. In diesem Szenario werden die Daten weiterhin durch die zusätzliche Verschlüsselungsebene geschützt.
Hinweis
Es wird im Allgemeinen nicht empfohlen, beide Azure Disk Encryption-Methoden mit der DBMS-Verschlüsselung zu kombinieren, da sich dies negativ auf die Leistung auswirken kann.
- Verfügbarkeitszonen führen zu einer Erhöhung der Latenz zwischen SAP- und Datenbankservern. Diese ist normalerweise unerheblich, schlägt sich aber in den Leistungswerten nieder. Dies ist der Kompromiss für die zusätzliche Betriebszeit von 0,04 %. Beachten Sie außerdem, dass bei Verfügbarkeitszonen eine zusätzliche Gebühr für zonenübergreifenden Netzwerkdatenverkehr anfällt.
- Vermeiden Sie es, die HANA-Verschlüsselung von ruhenden Daten mit Azure Disk Encryption auf demselben Server zu verwenden. Verwenden Sie für HANA nur die HANA Datenverschlüsselung.