Biztonság, szabályozás és megfelelőség felhőalapú elemzésekhez
A felhőalapú elemzési architektúra tervezésekor különös figyelmet kell fordítani arra, hogy az architektúra robusztus és biztonságos legyen. Ez a cikk a nagyvállalati szintű felhőalapú elemzések biztonsági, megfelelőségi és irányítási tervezési kritériumait ismerteti. Ez a cikk a felhőalapú elemzések Azure-beli üzembe helyezésének tervezési javaslatait és ajánlott eljárásait is ismerteti. Tekintse át a nagyvállalati szintű biztonsági szabályozást és megfelelőséget , hogy teljes mértékben felkészüljön egy vállalati megoldás irányítására.
A felhőmegoldások kezdetben önálló, viszonylag elkülönített alkalmazásokat üzemeltetnek. Ahogy a felhőmegoldások előnyei egyértelművé váltak, a nagyobb méretű számítási feladatok a felhőben üzemeltek, például az Azure-beli SAP-ben. Ezért létfontosságúvá vált a regionális üzemelő példányok biztonságának, megbízhatóságának, teljesítményének és költségeinek kezelése a felhőszolgáltatások teljes életciklusa során.
A felhőalapú elemzés kezdőzónájának biztonságával, megfelelőségével és szabályozásával kapcsolatos elképzelés az, hogy olyan eszközöket és folyamatokat biztosítson, amelyek segítenek minimalizálni a kockázatokat és hatékony döntéseket hozni. Az Azure-beli kezdőzónák határozzák meg a biztonsági irányítási és megfelelőségi szerepköröket és felelősségeket.
A felhőalapú elemzési minta számos olyan biztonsági funkcióra támaszkodik, amelyek engedélyezhetők az Azure-ban. Ezek a funkciók közé tartozik a titkosítás, a szerepköralapú hozzáférés-vezérlés, a hozzáférés-vezérlési listák és a hálózatkezelési korlátozások.
Biztonsági tervezési javaslatok
A Microsoft és az ügyfelek is osztoznak a biztonságért. Az elfogadott biztonsági útmutatásért tekintse meg a Center for Internet Security kiberbiztonsági ajánlott eljárásait . Az alábbi szakaszok biztonsági tervezési javaslatok.
Inaktív adatok titkosítása
Az inaktív adatok titkosítása a tárolóban maradó adatok titkosítására utal, és kezeli a tároló adathordozók közvetlen fizikai hozzáférésével kapcsolatos biztonsági kockázatokat. A Dar kritikus biztonsági vezérlő, mivel a mögöttes adatok helyreállíthatatlanok, és a visszafejtési kulcsuk nélkül nem módosíthatók. A Dar a Microsoft-adatközpontok mélységi védelmi stratégiájának fontos rétege. Gyakran vannak megfelelőségi és irányítási okok az inaktív adatok titkosításának üzembe helyezéséhez.
Számos Azure-szolgáltatás támogatja az inaktív adatok titkosítását, beleértve az Azure Storage-t és a Azure SQL-adatbázisokat. Bár a gyakori fogalmak és modellek befolyásolják az Azure-szolgáltatások kialakítását, minden szolgáltatás különböző veremrétegekre alkalmazhatja az inaktív adatok titkosítását, vagy eltérő titkosítási követelményekkel rendelkezhet.
Fontos
Minden olyan szolgáltatásnak, amely támogatja az inaktív adatok titkosítását, alapértelmezés szerint engedélyezve kell lennie.
Az átvitel alatt lévő adatok védelme
Az adatok átvitel alatt vagy repülés közben haladnak, amikor egyik helyről a másikra kerülnek. Ez lehet belsőleg, a helyszínen vagy az Azure-ban, vagy külsőleg, például az interneten keresztül egy végfelhasználó felé. Az Azure számos mechanizmust kínál, többek között titkosítást az adatok átvitel közbeni privát állapotban tartásához. Ezen mechanizmusok az alábbiak:
- KOMMUNIKÁCIÓ VPN-eken keresztül IPsec/IKE-titkosítással.
- A Transport Layer Security (TLS) 1.2-es vagy újabb verzióját olyan Azure-összetevők használják, mint a Azure Application Gateway vagy az Azure Front Door.
- Az Azure Virtual Machines elérhető protokollok, például Windows IPsec vagy SMB.
Az adatkapcsolati réteg IEEE szabványa, a MACsec (médiahozzáférés-vezérlés biztonsága) használatával történő titkosítás automatikusan engedélyezve van az Azure-adatközpontok közötti összes Azure-forgalomhoz. Ez a titkosítás biztosítja az ügyféladatok bizalmasságát és integritását. További információ: Azure-beli ügyféladatok védelme.
Kulcsok és titkos kódok kezelése
A felhőalapú elemzések lemeztitkosítási kulcsainak és titkos kulcsainak szabályozásához és kezeléséhez használja az Azure Key Vault. Key Vault SSL-/TLS-tanúsítványok kiépítésére és kezelésére vonatkozó képességekkel rendelkezik. A titkos kulcsokat hardveres biztonsági modulokkal (HSM-ekkel) is megvédheti.
Microsoft Defender for Cloud
A Microsoft Defender for Cloud biztonsági riasztásokat és fejlett fenyegetésvédelmet biztosít a virtuális gépek, SQL-adatbázisok, tárolók, webalkalmazások, virtuális hálózatok és egyebek számára.
Ha engedélyezi a Felhőhöz készült Defendert a díjszabási és beállítási területen, a következő Microsoft Defender csomagok egyidejűleg engedélyezve lesznek, és átfogó védelmet nyújtanak a környezet számítási, adat- és szolgáltatásrétegei számára:
- Microsoft Defender kiszolgálókhoz
- Microsoft Defender App Service
- Microsoft Defender a Storage-hoz
- Az SQL-hez készült Microsoft Defender
- Microsoft Defender a Kuberneteshez
- tárolóregisztrációs adatbázisok Microsoft Defender
- Key Vault Microsoft Defender
- Resource Manager Microsoft Defender
- DNS-Microsoft Defender
Ezeket a csomagokat a Felhőhöz készült Defender dokumentációja külön ismerteti.
Fontos
Ha a Felhőhöz készült Defender szolgáltatásként nyújtott platform (PaaS) ajánlatokhoz érhető el, alapértelmezés szerint engedélyeznie kell ezt a funkciót, különösen Azure Data Lake Storage fiókok esetében. További információ: Bevezetés a felhőbeli Microsoft Defender használatába és a Microsoft Defender konfigurálása a Storage-hoz.
Microsoft Defender for Identity
Microsoft Defender for Identity a speciális adatbiztonsági ajánlat része, amely a speciális biztonsági képességek egységes csomagja. Microsoft Defender for Identity a Azure Portal keresztül érhetők el és kezelhetők.
Fontos
Alapértelmezés szerint engedélyezze Microsoft Defender for Identity, amikor az elérhető a használt PaaS-szolgáltatásokhoz.
A Microsoft Sentinel engedélyezése
A Microsoft Sentinel egy méretezhető, natív felhőbeli, biztonsági információs eseménykezelés (SIEM) és biztonsági vezénylési automatizált válasz (SOAR) megoldás. A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül, és egyetlen megoldást kínál a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív veszélyforrás-keresésre és a veszélyforrás-reagálásra.
Hálózatkezelés
A felhőalapú elemzések előírt nézete az, hogy azure-beli privát végpontokat használ az összes PaaS-szolgáltatáshoz, és nem használ nyilvános IP-címeket a szolgáltatott infrastruktúra (IaaS) összes szolgáltatásához. További információ: Felhőalapú elemzési hálózatkezelés.
Megfelelőségi és irányítási tervezési javaslatok
Az Azure Advisor segítségével összevont nézetet kaphat azure-előfizetései között. A megbízhatóságra, rugalmasságra, biztonságra, teljesítményre, működési kiválóságra és költségre vonatkozó javaslatokért tekintse meg az Azure Advisort. A következő szakaszok a megfelelőségi és irányítási tervezési javaslatok.
Azure Policy használata
Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. A megfelelőségi irányítópultján keresztül összesített képet nyújt a környezet általános állapotáról, amely lehetővé teszi az egyes erőforrások vagy szabályzatok részletezését.
Azure Policy a meglévő erőforrások tömeges szervizelése és az új erőforrások automatikus szervizelése révén segít az erőforrások megfelelővé tételében. Számos beépített szabályzat érhető el, például az új erőforrások helyének korlátozásához, egy címke és az erőforrások értékének megköveteléséhez, virtuális gép felügyelt lemez használatával történő létrehozásához vagy elnevezési szabályzatok kikényszerítéséhez.
Üzembe helyezés automatizálása
Az üzembe helyezés automatizálásával időt takaríthat meg és csökkentheti a hibákat. Újrafelhasználható kódsablonok létrehozásával csökkentheti a végpontok közötti adat-kezdőzónák és adatalkalmazások üzembe helyezésének összetettségét (amelyek adattermékeket hoznak létre). Ez minimálisra csökkenti a megoldások üzembe helyezéséhez vagy ismételt üzembe helyezéséhez szükséges időt. További információ: A DevOps automatizálásának ismertetése az Azure-beli felhőalapú elemzésekhez
Erőforrások zárolása éles számítási feladatokhoz
A projekt elején hozza létre a szükséges alapvető adatkezelési és adat-kezdőzóna Azure-erőforrásait. Ha az összes hozzáadás, áthelyezés és módosítás befejeződött, és az Azure üzembe helyezése működőképes, zárolja az összes erőforrást. Ezután csak egy rendszergazda oldhatja fel vagy módosíthatja az erőforrásokat, például egy adatkatalógust. További információ: Erőforrások zárolása a váratlan módosítások megelőzése érdekében.
Szerepköralapú hozzáférés-vezérlés implementálása
Az Azure-előfizetéseken testre szabhatja a szerepköralapú hozzáférés-vezérlést (RBAC), így kezelheti, hogy ki férhet hozzá az Azure-erőforrásokhoz, mit tehetnek ezekkel az erőforrásokkal, és milyen területekhez férhetnek hozzá. Engedélyezheti például, hogy a csapattagok központi adategységeket helyezzenek üzembe egy adat-célzónán, de megakadályozzák, hogy bármely hálózati összetevőt módosítsák.
Megfelelőségi és irányítási forgatókönyvek
Az alábbi javaslatok különböző megfelelőségi és szabályozási forgatókönyvekre vonatkoznak. Ezek a forgatókönyvek költséghatékony és méretezhető megoldást jelentenek.
| Eset | Ajánlás |
|---|---|
| Konfiguráljon egy szabályozási modellt szabványos elnevezési konvenciókkal, és kérje le a jelentéseket a költséghely alapján. | Az Azure Policy és a címkék használatával feleljen meg a követelményeknek. |
| Kerülje az Azure-erőforrások véletlen törlését. | Az Azure-erőforrászárolások használatával megelőzheti a véletlen törlést. |
| Összesített képet kaphat az Azure-erőforrások költségoptimalizálási, rugalmassági, biztonsági, működési kiválósági és teljesítménybeli lehetőségeiről. | Az Azure Advisor használatával összevont nézetet kaphat az AZURE-előfizetéseken futó SAP-ról. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: