Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat merencanakan arsitektur analitik skala cloud, beri perhatian khusus untuk memastikan bahwa arsitekturnya kuat dan aman. Artikel ini membahas kriteria desain keamanan, kepatuhan, dan tata kelola untuk analitik skala cloud skala perusahaan. Artikel ini juga membahas rekomendasi desain dan praktik terbaik untuk penyebaran analitik skala cloud di Azure. Tinjau tata kelola keamanan skala perusahaan dan kepatuhan untuk sepenuhnya mempersiapkan tata kelola solusi perusahaan.
Solusi cloud awalnya menghosting aplikasi tunggal yang relatif terisolasi. Ketika manfaat solusi cloud menjadi jelas, beban kerja skala yang lebih besar dihosting di cloud, seperti SAP di Azure. Jadi menjadi penting untuk mengatasi keamanan, keandalan, performa, dan biaya penyebaran regional sepanjang siklus hidup layanan cloud.
Visi untuk keamanan, kepatuhan, dan tata kelola zona pendaratan analitik skala cloud di Azure adalah menyediakan alat dan proses yang membantu Anda meminimalkan risiko dan membuat keputusan yang efektif. Zona pendaratan Azure menentukan peran dan tanggung jawab tata kelola keamanan dan kepatuhan.
Pola analitik skala cloud bergantung pada beberapa fitur keamanan yang dapat diaktifkan di Azure. Fitur-fitur ini termasuk enkripsi, kontrol akses berbasis peran, daftar kontrol akses, dan pembatasan jaringan.
Rekomendasi desain keamanan
Baik Microsoft maupun pelanggan berbagi tanggung jawab atas keamanan. Untuk panduan keamanan yang diterima, lihat praktik terbaik keamanan siber oleh Pusat Keamanan Internet. Bagian berikut adalah rekomendasi desain keamanan.
Enkripsi data yang disimpan
Enkripsi data dalam keadaan diam mengacu pada enkripsi data saat disimpan di penyimpanan, dan mengatasi risiko keamanan yang terkait dengan akses fisik langsung media penyimpanan fisik. Data yang tersimpan adalah kontrol keamanan penting karena data tersebut tidak dapat diakses kembali dan tidak dapat diubah tanpa kunci dekripsinya. DData-at-rest adalah lapisan penting dalam strategi pertahanan mendalam pusat data Microsoft. Seringkali, ada pertimbangan kepatuhan dan tata kelola untuk menerapkan enkripsi data dalam keadaan diam.
Beberapa layanan Azure mendukung enkripsi data tidak aktif, termasuk azure Storage dan database Azure SQL. Meskipun konsep dan model umum memengaruhi desain layanan Azure, setiap layanan dapat menerapkan enkripsi data tidak aktif pada lapisan tumpukan yang berbeda atau memiliki persyaratan enkripsi yang berbeda.
Penting
Semua layanan yang mendukung enkripsi data tidak aktif harus mengaktifkannya secara default.
Mengamankan data saat transit
Data dianggap dalam transit atau dalam perjalanan ketika berpindah dari satu lokasi ke lokasi lainnya. Transit ini dapat terjadi secara internal, lokal atau dalam Azure, atau eksternal, seperti di internet ke pengguna akhir. Azure menawarkan beberapa mekanisme, termasuk enkripsi, untuk menjaga data tetap privat selama transit. Mekanisme ini meliputi:
- Komunikasi melalui VPN menggunakan enkripsi IPsec/IKE.
- Keamanan Lapisan Transportasi (TLS)
- Protokol yang tersedia di Azure Virtual Machines, seperti Windows IPsec atau SMB.
Enkripsi menggunakan MACsec (keamanan kontrol akses media), standar IEEE di lapisan data-link, secara otomatis diaktifkan untuk semua lalu lintas Azure antara pusat-pusat data Azure. Enkripsi ini memastikan kerahasiaan dan integritas data pelanggan. Untuk informasi selengkapnya, lihat perlindungan data pelanggan Azure.
Mengelola kunci dan rahasia
Untuk mengontrol dan mengelola kunci dan rahasia enkripsi disk untuk analitik skala cloud, gunakan Azure Key Vault. Key Vault memiliki kemampuan untuk menyediakan dan mengelola sertifikat SSL/TLS. Anda juga dapat melindungi rahasia dengan modul keamanan perangkat keras (HSM).
Microsoft Defender untuk Awan
Pertahanan Microsoft untuk Cloud menyediakan pemberitahuan keamanan dan perlindungan ancaman tingkat lanjut untuk komputer virtual, database SQL, kontainer, aplikasi web, jaringan virtual, dan banyak lagi.
Saat Anda mengaktifkan Defender untuk Cloud dari area harga dan pengaturan, paket Pertahanan Microsoft berikut diaktifkan secara bersamaan dan memberikan pertahanan komprehensif untuk lapisan komputasi, data, dan layanan lingkungan Anda:
- Microsoft Defender untuk server
- Microsoft Defender for App Service
- Microsoft Defender untuk Penyimpanan
- Microsoft Defender untuk SQL
- Microsoft Defender for Kubernetes
- Microsoft Defender untuk registri kontainer
- Microsoft Defender for Key Vault
- Microsoft Defender for Resource Manager
- Microsoft Defender untuk DNS
Rencana ini dijelaskan secara terpisah dalam dokumentasi Defender for Cloud.
Penting
Di mana Defender for Cloud tersedia untuk penawaran platform as a service (PaaS), Anda harus mengaktifkan fitur ini secara default, terutama untuk akun Azure Data Lake Storage. Untuk informasi selengkapnya, lihat Pengenalan Microsoft Defender for Cloud dan mengonfigurasi Microsoft Defender untuk Penyimpanan.
Microsoft Defender untuk Identitas
Pertahanan Microsoft untuk Identitas adalah bagian dari penawaran keamanan data tingkat lanjut, yang merupakan paket terpadu untuk kemampuan keamanan tingkat lanjut. Pertahanan Microsoft untuk Identitas dapat diakses dan dikelola melalui portal Microsoft Azure.
Penting
Aktifkan Pertahanan Microsoft untuk Identitas secara default setiap kali tersedia untuk layanan PaaS yang Anda gunakan.
Mengaktifkan Microsoft Sentinel
Microsoft Sentinel adalah solusi manajemen peristiwa informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR) yang dapat diskalakan dan cloud-native. Microsoft Sentinel memberikan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan, menyediakan satu solusi untuk deteksi pemberitahuan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.
Jaringan
Pandangan yang disarankan untuk analitik skala cloud adalah menggunakan titik akhir privat Azure untuk semua layanan PaaS dan jangan menggunakan IP publik untuk semua layanan infrastruktur sebagai layanan (IaaS). Untuk informasi selengkapnya, lihat Jaringan analitik skala cloud.
Rekomendasi desain kepatuhan dan tata kelola
Azure Advisor membantu Anda mendapatkan tampilan terkonsolidasi di seluruh langganan Azure Anda. Lihat Azure Advisor untuk keandalan, ketahanan, keamanan, performa, keunggulan operasional, dan rekomendasi biaya. Bagian berikut adalah rekomendasi desain kepatuhan dan tata kelola.
Menggunakan Azure Policy
Azure Policy membantu menegakkan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, ini memberikan tampilan agregat dari keadaan lingkungan secara keseluruhan, dengan kemampuan untuk menelusuri paling detail sumber daya atau kebijakan individual.
Azure Policy membantu memastikan kepatuhan sumber daya Anda melalui perbaikan massal sumber daya yang ada dan perbaikan otomatis sumber daya baru. Beberapa kebijakan bawaan tersedia, misalnya untuk membatasi lokasi sumber daya baru, memerlukan tag dan nilainya pada sumber daya, membuat VM menggunakan disk terkelola, atau menerapkan kebijakan penamaan.
Mengotomatiskan penyebaran
Anda dapat menghemat waktu dan mengurangi kesalahan dengan mengotomatiskan penyebaran. Kurangi kompleksitas penyebaran zona pendaratan data end-to-end dan aplikasi data (yang membuat produk data) dengan membuat templat kode yang dapat digunakan kembali. Otomatisasi ini meminimalkan waktu untuk menyebarkan atau menyebarkan ulang solusi. Untuk informasi selengkapnya, lihat Memahami otomatisasi DevOps untuk analitik skala cloud di Azure
Mengunci sumber daya untuk beban kerja produksi
Buat manajemen data inti dan sumber daya Azure zona pendaratan data yang diperlukan di awal proyek Anda. Ketika semua penambahan, pemindahan, dan modifikasi selesai, dan penyebaran Azure beroperasi, amankan semua sumber daya. Kemudian, hanya administrator yang dapat membuka kunci atau memodifikasi sumber daya. Untuk informasi selengkapnya, lihat Mengunci sumber daya untuk mencegah perubahan tak terduga.
Menerapkan kontrol akses berbasis peran
Anda dapat menyesuaikan kontrol akses berbasis peran (RBAC) pada langganan Azure untuk mengelola siapa yang memiliki akses ke sumber daya Azure, apa yang dapat mereka lakukan dengan sumber daya tersebut, dan area apa yang dapat mereka akses. Misalnya, Anda dapat mengizinkan anggota tim untuk menyebarkan aset inti ke zona pendaratan data, tetapi mencegah mereka mengubah salah satu komponen jaringan.
Skenario kepatuhan dan tata kelola
Rekomendasi berikut berlaku untuk berbagai skenario kepatuhan dan tata kelola. Skenario ini mewakili solusi hemat biaya dan dapat diskalakan.
| Skenario | Rekomendasi |
|---|---|
| Konfigurasikan model tata kelola dengan konvensi penamaan standar, dan tarik laporan berdasarkan pusat biaya. | Gunakan Azure Policy dan tag untuk memenuhi kebutuhan Anda. |
| Hindari penghapusan sumber daya Azure yang tidak disengaja. | Gunakan kunci sumber daya Azure untuk mencegah penghapusan yang tidak disengaja. |
| Dapatkan tampilan terkonsolidasi area peluang untuk pengoptimalan biaya, ketahanan, keamanan, keunggulan operasional, dan performa untuk sumber daya Azure. | Gunakan Azure Advisor untuk mendapatkan tampilan terkonsolidasi di seluruh langganan SAP di Azure. |
Langkah berikutnya
kebijakan Azure untuk analitik skala cloud