Az Azure adatbiztonsági és titkosítási ajánlott eljárásai

  • Cikk

Ez a cikk az adatbiztonság és a titkosítás ajánlott eljárásait ismerteti.

Az ajánlott eljárások a véleményen alapuló konszenzuson alapulnak, és az Azure-platform jelenlegi képességeivel és funkciókészleteivel működnek együtt. A vélemények és a technológiák idővel változnak, és ez a cikk rendszeresen frissül, hogy tükrözze ezeket a változásokat.

Adatok védelme

A felhőbeli adatok védelme érdekében figyelembe kell vennie azokat a lehetséges állapotokat, amelyekben az adatok előfordulhatnak, és hogy milyen vezérlők érhetők el az adott állapothoz. Az Azure-beli adatbiztonság és -titkosítás ajánlott eljárásai a következő adatállapotokhoz kapcsolódnak:

  • Inaktív állapotban: Ez magában foglalja az összes olyan információtároló objektumot, tárolót és típust, amely statikusan létezik a fizikai adathordozón, akár mágneses, akár optikai lemezen.
  • Átvitel alatt: Amikor az adatok átvitele történik az összetevők, helyek vagy programok között, az átvitel alatt áll. Ilyen például a hálózaton keresztüli átvitel egy service buson keresztül (a helyszíniről a felhőbe és fordítva, beleértve a hibrid kapcsolatokat, például az ExpressRoute-ot), vagy egy bemeneti/kimeneti folyamat során.
  • Használatban: Az adatok feldolgozásakor a specializált AMD & Intel lapkakészlet-alapú bizalmas számítási virtuális gépek hardveresen felügyelt kulcsokkal titkosítják az adatokat a memóriában.

Kulcskezelési megoldás kiválasztása

A kulcsok védelme elengedhetetlen az adatok felhőbeli védelméhez.

Az Azure Key Vault segít a felhőalapú alkalmazások és szolgáltatások által használt titkosítási kulcsok és titkos kulcsok védelmében. A Key Vault leegyszerűsíti a kulcskezelési folyamatot, valamint lehetővé teszi az adatok titkosításához használt kulcsok feletti teljes körű felügyeletet. A fejlesztők a fejlesztéshez és a teszteléshez percek alatt létrehozhatják a kulcsokat, később pedig áttelepíthetik őket éles kulcsokká. A biztonsági rendszergazdák igény szerint adhatják meg (és vonhatják vissza) a kulcsokkal kapcsolatos engedélyeket.

A Key Vault használatával több biztonságos tárolót, úgynevezett tárolót hozhat létre. Ezek a tárolók HSM-ekkel vannak alátámasztva. A tárolók a titkos alkalmazáskulcsok központi tárolásával csökkentik a biztonsági információk véletlen elvesztésének kockázatát. A kulcstartók a bennük tárolt tartalomhoz való hozzáférést vezérlik és naplózzák is. Az Azure Key Vault képes kezelni a Transport Layer Security (TLS) tanúsítványok kérését és megújítását. A tanúsítványéletciklus-kezelés robusztus megoldásának funkcióit biztosítja.

Az Azure Key Vault az alkalmazáskulcsok és titkos kódok támogatására lett tervezve. A Key Vault nem a felhasználói jelszavak tárolására szolgál.

Az alábbiakban a Key Vault használatához ajánlott biztonsági eljárásokat követjük.

Ajánlott eljárás: Hozzáférés biztosítása felhasználókhoz, csoportokhoz és alkalmazásokhoz egy adott hatókörben. Részletek: Az Azure RBAC előre definiált szerepköreinek használata. Ha például hozzáférést szeretne adni egy felhasználónak a kulcstartók kezeléséhez, az előre definiált szerepkör Key Vault-közreműködőt rendelné hozzá ehhez a felhasználóhoz egy adott hatókörben. Ebben az esetben a hatókör egy előfizetés, egy erőforráscsoport vagy csak egy adott kulcstartó lehet. Ha az előre definiált szerepkörök nem felelnek meg az igényeinek, saját szerepköröket határozhat meg.

Ajánlott eljárás: Annak szabályozása, hogy a felhasználók milyen hozzáféréssel rendelkeznek. Részlet: A kulcstartóhoz való hozzáférést két külön interfészen keresztül lehet szabályozni: felügyeleti síkon és adatsíkon. A felügyeleti sík és az adatsík hozzáférés-vezérlése egymástól függetlenül működik.

Az Azure RBAC használatával szabályozhatja, hogy a felhasználók milyen hozzáféréssel rendelkeznek. Ha például hozzáférést szeretne adni egy alkalmazásnak a kulcstartóban lévő kulcsok használatához, csak az adatsík hozzáférési engedélyeit kell megadnia a kulcstartó hozzáférési szabályzatainak használatával, és ehhez az alkalmazáshoz nincs szükség felügyeletisík-hozzáférésre. Ezzel szemben, ha azt szeretné, hogy egy felhasználó elolvashassa a tároló tulajdonságait és címkéit, de nem férhessen hozzá kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz, olvasási hozzáférést adhat a felhasználónak az Azure RBAC használatával, és nincs szükség az adatsíkhoz való hozzáférésre.

Ajánlott eljárás: Tanúsítványok tárolása a kulcstartóban. A tanúsítványok nagy értékűek. Rossz kezekben az alkalmazás biztonsága vagy az adatok biztonsága sérülhet. Részletek: Az Azure Resource Manager biztonságosan üzembe helyezheti az Azure Key Vaultban tárolt tanúsítványokat az Azure-beli virtuális gépeken a virtuális gépek üzembe helyezésekor. Ha a kulcstartóhoz a megfelelő hozzáférési szabályzatokat állítja be, azt is szabályozhatja, hogy ki férhet hozzá a tanúsítványhoz. Egy másik előnye, hogy az összes tanúsítvány egy helyen kezelhető az Azure Key Vaultban. További információ: Tanúsítványok üzembe helyezése virtuális gépeken az ügyfél által felügyelt Key Vaultból .

Ajánlott eljárás: Győződjön meg arról, hogy helyreállíthatja a kulcstartók vagy kulcstartó-objektumok törlését. Részletek: A kulcstartók vagy a kulcstartó-objektumok törlése nem szándékos vagy rosszindulatú lehet. Engedélyezze a Key Vault visszaállítható törlés funkcióját és a végleges törlés elleni védelmet, elsősorban az olyan kulcsokhoz, amelyek az inaktív adatok védelmére vannak használva. Az ilyen kulcsok törlése az adatvesztéssel egyenértékű, ezért fontos, hogy a törölt kulcstartókat és kulcstartó-objektumokat szükség esetén vissza tudja állítani. Rendszeresen gyakorolja a Key Vault helyreállítási műveleteit.

Megjegyzés:

Ha egy felhasználó közreműködői engedélyekkel (Azure RBAC) rendelkezik egy kulcstartó felügyeleti síkhoz, egy kulcstartó hozzáférési szabályzatának beállításával hozzáférést adhat az adatsíkhoz. Javasoljuk, hogy szigorúan szabályozza, hogy kik férhetnek hozzá a kulcstartókhoz, hogy csak a jogosult személyek férhessenek hozzá a kulcstartókhoz, kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz.

Kezelés biztonságos munkaállomásokkal

Megjegyzés:

Az előfizetés rendszergazdájának vagy tulajdonosának biztonságos hozzáférési munkaállomást vagy emelt szintű hozzáférési munkaállomást kell használnia.

Mivel a támadások túlnyomó többsége a végfelhasználót célozza, a végpont lesz az egyik elsődleges támadási pont. A végpontot veszélyeztető támadók a felhasználó hitelesítő adataival férhetnek hozzá a szervezet adataihoz. A legtöbb végponti támadás kihasználja azt a tényt, hogy a felhasználók rendszergazdák a helyi munkaállomásaikon.

Ajánlott eljárás: Használjon biztonságos felügyeleti munkaállomást a bizalmas fiókok, feladatok és adatok védelméhez. Részletek: A munkaállomások támadási felületének csökkentéséhez használjon emelt szintű hozzáférési munkaállomást . Ezek a biztonságos felügyeleti munkaállomások segíthetnek enyhíteni a támadások némelyikét, és gondoskodhatnak arról, hogy adatai biztonságosabbak legyenek.

Ajánlott eljárás: Végpontvédelem biztosítása. Részletek: Biztonsági szabályzatok kikényszerítése az adatok felhasználására használt összes eszközön az adathelytől (felhőtől vagy helyszínitől) függetlenül.

Az inaktív adatok védelme

Az inaktív adatok titkosítása kötelező lépés az adatvédelem, a megfelelőség és az adatok szuverenitása felé.

Ajánlott eljárás: Lemeztitkosítás alkalmazása az adatok védelme érdekében. Részletek: Az Azure Disk Encryption használata Linux rendszerű virtuális gépekhez vagy Azure Disk Encryption windowsos virtuális gépekhez. A Lemeztitkosítás egyesíti az iparági szabványnak megfelelő Linux dm-crypt vagy Windows BitLocker funkciót, hogy mennyiségi titkosítást biztosítson az operációs rendszer és az adatlemezek számára.

Az Azure Storage és az Azure SQL Database alapértelmezés szerint titkosítja az inaktív adatokat, és számos szolgáltatás kínál titkosítást lehetőségként. Az Azure Key Vault használatával szabályozhatja az adatokat elérő és titkosító kulcsokat. További információ: Az Azure erőforrás-szolgáltatói titkosítási modelljének támogatása.

Ajánlott eljárások: Titkosítással csökkentheti a jogosulatlan adathozzáféréssel kapcsolatos kockázatokat. Részletek: Titkosítsa a meghajtókat, mielőtt bizalmas adatokat ír hozzájuk.

Az adattitkosítást nem kényszerítő szervezetek jobban ki vannak téve az adattitkosítással kapcsolatos problémáknak. Előfordulhat például, hogy illetéktelen vagy gazember felhasználók ellopják az adatokat a feltört fiókokban, vagy jogosulatlan hozzáférést kapnak a Clear Format kóddal kódolt adatokhoz. A vállalatoknak azt is bizonyítaniuk kell, hogy szorgalmasak, és megfelelő biztonsági ellenőrzésekkel javítják adatbiztonságukat az iparági előírásoknak való megfelelés érdekében.

Az átvitel alatt álló adatok védelme

Az átvitel alatt álló adatok védelmének fontos szerepet kell kapnia az adatvédelmi stratégiában. Mivel az adatok oda-vissza mozognak számos hely között, általában azt javasoljuk, hogy mindig használjon SSL/TLS protokollt a különböző helyek közötti adatcserékhez. Bizonyos körülmények között érdemes lehet a helyszíni és a felhőbeli infrastruktúra közötti teljes kommunikációs csatornát elkülöníteni egy VPN használatával.

A helyszíni infrastruktúra és az Azure között mozgó adatok esetében célszerű megfontolni a megfelelő védelmi lehetőségek, például a HTTPS vagy a VPN használatát. Ha titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül, használja az Azure VPN Gatewayt.

Az alábbi ajánlott eljárások az Azure VPN Gateway, az SSL/TLS és a HTTPS használatára vonatkoznak.

Ajánlott eljárás: Biztonságos hozzáférés több helyszíni munkaállomásról egy Azure-beli virtuális hálózathoz. Részletek: Helyek közötti VPN használata.

Ajánlott eljárás: Biztonságos hozzáférés a helyszíni munkaállomásról egy Azure-beli virtuális hálózathoz. Részletek: Pont–hely VPN használata.

Ajánlott eljárás: Nagyobb adathalmazok áthelyezése dedikált, nagy sebességű WAN-hivatkozásra. Részletek: Használja az ExpressRoute-ot. Ha az ExpressRoute használata mellett dönt, az adatokat az alkalmazás szintjén is titkosíthatja az SSL/TLS vagy más protokoll használatával, így fokozhatja a védelmet.

Ajánlott eljárás: Az Azure Storage használata az Azure Portalon keresztül. Részlet: Minden tranzakció HTTPS-en keresztül történik. A Storage REST API-t HTTPS-en keresztül is használhatja az Azure Storage használatához.

Azok a szervezetek, amelyek nem védik az átvitel közbeni adatokat, jobban fogékonyak a középen belüli támadásokra, a lehallgatásokra és a munkamenet-eltérítésekre. Ezek a támadások a bizalmas adatokhoz való hozzáférés első lépései lehetnek.

Az adatok védelme a használat során

A felhőben futó számítási feladatok megbízhatósági igényének enyhítése megbízhatóságot igényel. Ezt a bizalmat különböző szolgáltatóknak adja, amelyek lehetővé teszik az alkalmazás különböző összetevőit.

  • Alkalmazásszoftver-gyártók: A szoftverek megbízhatósága a helyszíni telepítéssel, a nyílt forráskódú vagy a házon belüli alkalmazásszoftverek létrehozásával.
  • Hardvergyártók: A hardverek megbízhatósága helyszíni vagy házon belüli hardverek használatával.
  • Infrastruktúra-szolgáltatók: Megbízható felhőszolgáltatók, vagy saját helyszíni adatközpontok kezelése.

A támadási felület csökkentése A megbízható számítási bázis (TCB) a rendszer minden olyan hardverére, belső vezérlőprogramjára és szoftverösszetevőjére vonatkozik, amely biztonságos környezetet biztosít. A TCB-ben lévő összetevőket "kritikusnak" tekintjük. Ha a TCB-ben egy összetevő megsérül, a teljes rendszer biztonsága veszélybe kerülhet. Az alacsonyabb TCB magasabb biztonságot jelent. Kisebb a kockázata a különböző biztonsági réseknek, kártevőknek, támadásoknak és rosszindulatú személyeknek való kitettségnek.

Az Azure bizalmas számítástechnika a következő segítségére lehet:

  • Jogosulatlan hozzáférés megakadályozása: Bizalmas adatok futtatása a felhőben. Bízzon abban, hogy az Azure a lehető legjobb adatvédelmet nyújtja, és nem változtat a ma elvégzett adatokon.
  • Jogszabályi megfelelőség: Migrálás a felhőbe, és az adatok teljes körű felügyelete a személyes adatok védelmére és a szervezeti IP-cím védelmére vonatkozó kormányzati előírásoknak való megfelelés érdekében.
  • Biztonságos és nem megbízható együttműködés biztosítása: A széles körű adatelemzés és a mélyebb elemzések érdekében az egész iparágra kiterjedő, munkahelyi szintű problémák megoldása az adatok szervezetek, sőt versenytársak közötti fésülésével.
  • Elkülönítési feldolgozás: Új termékhullámot kínál, amely vak feldolgozással megszünteti a magánadatokkal kapcsolatos felelősséget. A szolgáltató még a felhasználói adatokat sem tudja lekérni.

További információ a bizalmas számítástechnikáról.

E-mailek, dokumentumok és bizalmas adatok védelme

Szeretné szabályozni és biztonságossá tenni a vállalaton kívül megosztott e-maileket, dokumentumokat és bizalmas adatokat. Az Azure Information Protection egy felhőalapú megoldás, amely segít a szervezetnek a dokumentumok és e-mailek besorolásában, címkézésében és védelmében. Ezt automatikusan megtehetik azok a rendszergazdák, akik szabályokat és feltételeket határoznak meg, manuálisan a felhasználók által, vagy olyan kombinációkkal, amelyekben a felhasználók javaslatokat kapnak.

A besorolás mindig azonosítható, függetlenül attól, hogy hol tárolják az adatokat, vagy kivel osztják meg őket. A címkék vizuális jelöléseket tartalmaznak, például élőfejet, élőlábat vagy vízjelet. A metaadatok tiszta szövegben lesznek hozzáadva a fájlokhoz és az e-mail-fejlécekhez. A világos szöveg biztosítja, hogy más szolgáltatások, például az adatvesztés megelőzésére szolgáló megoldások azonosíthassák a besorolást, és megfelelő lépéseket hajtsanak végre.

A védelmi technológia Azure Tartalomvédelmi szolgáltatások (Azure RMS) használ. Ez a technológia integrálva van más Microsoft-felhőszolgáltatásokkal és alkalmazásokkal, például a Microsoft 365-kel és a Microsoft Entra ID-val. Ez a védelmi technológia titkosítási, identitás- és engedélyezési szabályzatokat használ. Az Azure RMS-en keresztül alkalmazott védelem a dokumentumokkal és az e-mailekkel együtt marad a szervezeten belüli vagy kívüli helytől, hálózatoktól, fájlkiszolgálóktól és alkalmazásoktól függetlenül.

Ez az adatvédelmi megoldás akkor is kézben tartja az adatokat, ha azokat másokkal megosztják. Az Azure RMS-t saját üzletági alkalmazásokkal és szoftvergyártóktól származó információvédelmi megoldásokkal is használhatja, függetlenül attól, hogy ezek az alkalmazások és megoldások a helyszínen vagy a felhőben találhatók.

We recommend that you:

  • Az Azure Information Protection üzembe helyezése a szervezet számára.
  • Az üzleti követelményeknek megfelelő címkék alkalmazása. Például: Az adatok besorolásához és védelméhez alkalmazzon egy "szigorúan bizalmas" címkét az összes szigorúan titkos adatot tartalmazó dokumentumra és e-mailre. Ezután csak a jogosult felhasználók férhetnek hozzá ezekhez az adatokhoz, az Ön által megadott korlátozásokkal.
  • Konfigurálja a használati naplózást az Azure RMS-hez , hogy nyomon tudja követni, hogyan használja a szervezet a védelmi szolgáltatást.

Az adatbesorolásban és a fájlvédelemben gyenge szervezetek érzékenyebbek lehetnek az adatszivárgásra vagy az adatokkal való visszaélésre. A megfelelő fájlvédelemmel elemezheti az adatfolyamokat, így betekintést nyerhet a vállalkozásába, észlelheti a kockázatos viselkedéseket, korrekciós intézkedéseket hozhat, nyomon követheti a dokumentumokhoz való hozzáférést stb.

További lépések

Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használandó ajánlott biztonsági eljárásokért.

A következő erőforrások érhetők el az Azure biztonságával és a kapcsolódó Microsoft-szolgáltatások kapcsolatos általános információk biztosításához: