Keamanan, tata kelola, dan kepatuhan untuk analitik skala cloud
Saat merencanakan arsitektur analitik skala cloud, perhatikan secara khusus untuk memastikan bahwa arsitekturnya kuat dan aman. Artikel ini membahas kriteria desain keamanan, kepatuhan, dan tata kelola untuk analitik skala cloud skala perusahaan. Artikel ini juga membahas rekomendasi desain dan praktik terbaik untuk penyebaran analitik skala cloud di Azure. Tinjau tata kelola dan kepatuhan keamanan skala perusahaan untuk benar-benar mempersiapkan tata kelola solusi perusahaan.
Solusi cloud awalnya menghosting aplikasi tunggal yang relatif terisolasi. Saat manfaat solusi cloud menjadi jelas, beban kerja berskala lebih besar dihosting di cloud, seperti SAP di Azure. Jadi, sangat penting untuk menangani keamanan, keandalan, performa, dan biaya penyebaran regional di seluruh siklus hidup layanan cloud.
Visi untuk keamanan, kepatuhan, dan tata kelola zona pendaratan analitik skala cloud di Azure adalah menyediakan alat dan proses yang membantu Anda meminimalkan risiko dan membuat keputusan yang efektif. Zona arahan Azure menentukan tata kelola keamanan dan peran serta tanggung jawab kepatuhan.
Pola analitik skala cloud bergantung pada beberapa fitur keamanan yang dapat diaktifkan di Azure. Fitur-fitur ini termasuk enkripsi, kontrol akses berbasis peran, daftar kontrol akses, dan pembatasan jaringan.
Rekomendasi desain keamanan
Baik Microsoft maupun pelanggan sama-sama bertanggung jawab atas keamanan. Untuk panduan keamanan yang diterima, lihat Praktik terbaik keamanan Cyber oleh Center for Internet Security. Bagian berikut adalah rekomendasi desain keamanan.
Enkripsi data tidak aktif
Enkripsi data tidak aktif mengacu pada enkripsi data saat disimpan dalam penyimpanan, dan mengatasi risiko keamanan yang terkait dengan akses fisik langsung media penyimpanan. Dar adalah kontrol keamanan penting karena data yang mendasar tidak dapat dipulihkan dan tidak dapat diubah tanpa kunci dekripsinya. Dar adalah lapisan yang penting dalam strategi pertahanan secara menyeluruh dari pusat data Microsoft. Sering kali, ada alasan kepatuhan dan tata kelola untuk menyebarkan enkripsi data tidak aktif.
Beberapa layanan Azure mendukung enkripsi data tidak aktif, termasuk Azure Storage dan database Azure SQL. Meskipun konsep dan model umum memengaruhi desain layanan Azure, setiap layanan dapat menerapkan enkripsi data tidak aktif pada lapisan tumpukan yang berbeda atau memiliki persyaratan enkripsi yang berbeda.
Penting
Semua layanan yang mendukung enkripsi data tidak aktif harus mengaktifkannya secara default.
Mengamankan data saat transit
Data dalam transit atau dalam penerbangan ketika data berpindah dari satu lokasi ke lokasi lain. Pemindahan ini bisa secara internal, lokal atau di dalam Azure, atau secara eksternal, seperti di internet ke pengguna akhir. Azure menawarkan beberapa mekanisme, termasuk enkripsi, untuk menjaga kerahasiaan data saat transit. Mekanisme ini meliputi:
- Komunikasi melalui VPN menggunakan enkripsi IPsec/IKE.
- Keamanan Lapisan Transportasi (TLS) 1.2 atau yang lebih baru digunakan oleh komponen Azure seperti Azure Application Gateway atau Azure Front Door.
- Protokol tersedia di Azure Virtual Machines, seperti Windows IPsec atau SMB.
Enkripsi menggunakan MACsec (keamanan kontrol akses media), standar IEEE pada lapisan data-link, secara otomatis diaktifkan untuk semua lalu lintas Azure antara pusat data Azure. Enkripsi ini memastikan kerahasiaan dan integritas data pelanggan. Untuk informasi selengkapnya, lihat Perlindungan data pelanggan Azure.
Mengelola kunci dan rahasia
Untuk mengontrol dan mengelola kunci dan rahasia enkripsi disk untuk analitik skala cloud, gunakan Azure Key Vault. Key Vault memiliki kemampuan untuk menyediakan dan mengelola sertifikat SSL/TLS. Anda juga dapat melindungi rahasia dengan modul keamanan perangkat keras (HSM).
Microsoft Defender for Cloud
Microsoft Defender untuk Cloud memberikan peringatan keamanan dan perlindungan ancaman tingkat lanjut untuk mesin virtual, database SQL, container, aplikasi web, jaringan virtual, dan banyak lagi.
Saat Anda mengaktifkan Defender untuk Cloud dari area penetapan harga dan pengaturan, paket Microsoft Defender berikut diaktifkan secara bersamaan dan memberikan pertahanan komprehensif untuk lapisan komputasi, data, dan layanan di lingkungan Anda:
- Microsoft Defender untuk server
- Microsoft Defender untuk App Service
- Microsoft Defender untuk Storage
- Microsoft Defender untuk SQL
- Microsoft Defender untuk Kubernetes
- Microsoft Defender untuk registri kontainer
- Microsoft Defender untuk Key Vault
- Microsoft Defender untuk Resource Manager
- Microsoft Defender untuk DNS
Paket ini dijelaskan secara terpisah dalam dokumentasi Defender untuk Cloud.
Penting
Jika Defender untuk Cloud tersedia untuk penawaran platform as a service (PaaS), Anda harus mengaktifkan fitur ini secara default, terutama untuk akun Azure Data Lake Storage. Untuk informasi selengkapnya, lihat Pengantar Microsoft Defender untuk Cloud dan mengonfigurasi Microsoft Defender for Storage.
Microsoft Defender for Identity
Pertahanan Microsoft untuk Identitas adalah bagian dari penawaran keamanan data tingkat lanjut, yang merupakan paket terpadu untuk kemampuan keamanan tingkat lanjut. Pertahanan Microsoft untuk Identitas dapat diakses dan dikelola melalui portal Azure.
Penting
Aktifkan Pertahanan Microsoft untuk Identitas secara default setiap kali layanan ini tersedia untuk layanan PaaS yang Anda gunakan.
Mengaktifkan Microsoft Azure Sentinel
Microsoft Sentinel adalah solusi manajemen peristiwa informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR) yang dapat diskalakan dan cloud-native. Microsoft Sentinel memberikan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan, menyediakan solusi tunggal untuk deteksi peringatan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.
Jaringan
Tampilan yang ditentukan analitik skala cloud adalah menggunakan titik akhir privat Azure untuk semua layanan PaaS dan tidak menggunakan IP publik untuk semua layanan infrastruktur sebagai layanan (IaaS). Untuk informasi selengkapnya, lihat Jaringan analitik skala cloud.
Rekomendasi desain kepatuhan dan tata kelola
Azure Advisor membantu Anda mendapatkan tampilan gabungan di seluruh langganan Azure Anda. Konsultasikan dengan Azure Advisor untuk keandalan, ketahanan, keamanan, performa, keunggulan operasional, dan rekomendasi biaya. Bagian berikut adalah rekomendasi desain kepatuhan dan tata kelola.
Gunakan Azure Policy
Azure Policy membantu menegakkan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, Azure Policy memberikan tampilan agregat tentang keadaan lingkungan secara keseluruhan, dengan kemampuan untuk melakukan penelusuran paling detail terhadap sumber daya atau kebijakan individu.
Azure Policy membantu kepatuhan sumber daya Anda melalui remediasi massal sumber daya yang ada dan remediasi otomatis sumber daya yang baru. Beberapa kebijakan bawaan tersedia, misalnya untuk membatasi lokasi sumber daya baru, meminta tag dan nilainya pada sumber daya, membuat Mesin Virtual menggunakan disk terkelola, atau menegakkan kebijakan penamaan.
Mengotomatiskan penyebaran
Anda dapat menghemat waktu dan mengurangi kesalahan dengan mengotomatiskan penyebaran. Kurangi kompleksitas penyebaran zona pendaratan data end-to-end dan aplikasi data (yang membuat produk data) dengan membuat templat kode yang dapat digunakan kembali. Tindakan ini meminimalkan waktu yang diperlukan untuk menyebarkan atau menyebarkan kembali solusi. Untuk informasi selengkapnya, lihat Memahami otomatisasi DevOps untuk analitik skala cloud di Azure
Mengunci sumber daya untuk beban kerja produksi
Buat manajemen data inti dan sumber daya Azure zona arahan data yang diperlukan di awal proyek Anda. Saat semua penambahan, pemindahan, dan perubahan selesai, dan penyebaran Azure sudah beroperasi, kunci semua sumber daya. Kemudian, hanya administrator yang dapat membuka kunci atau mengubah sumber daya, seperti katalog data. Untuk informasi selengkapnya, lihat Kunci sumber daya untuk mencegah perubahan yang tidak terduga.
Menerapkan kontrol akses berbasis peran
Anda dapat menyesuaikan kontrol akses berbasis peran (RBAC) pada langganan Azure untuk mengelola siapa yang memiliki akses ke sumber daya Azure, apa yang dapat mereka lakukan pada sumber daya tersebut, dan area apa yang dapat mereka akses. Misalnya, Anda dapat mengizinkan anggota tim untuk menyebarkan aset inti ke zona arahan data, tetapi mencegah mereka mengubah komponen jaringan apa pun.
Skenario kepatuhan dan tata kelola
Rekomendasi berikut berlaku untuk berbagai skenario kepatuhan dan tata kelola. Skenario ini mewakili solusi yang hemat biaya dan dapat diskalakan.
| Skenario | Rekomendasi |
|---|---|
| Konfigurasikan model tata kelola dengan konvensi penamaan standar, dan tarik laporan berdasarkan pusat biaya. | Gunakan Azure Policy dan tag untuk memenuhi kebutuhan Anda. |
| Hindari penghapusan sumber daya Azure secara tidak sengaja. | Gunakan kunci sumber daya Azure untuk mencegah penghapusan yang tidak disengaja. |
| Dapatkan tampilan gabungan dari area peluang untuk pengoptimalan biaya, ketahanan, keamanan, keunggulan operasional, dan performa untuk sumber daya Azure. | Gunakan Azure Advisor untuk mendapatkan tampilan gabungan di seluruh langganan SAP di Azure. |
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk