Beveiliging, governance en naleving voor analyses op cloudschaal
Let bij het plannen van een analysearchitectuur op cloudschaal speciale aandacht om ervoor te zorgen dat de architectuur robuust en veilig is. In dit artikel worden beveiligings-, nalevings- en governanceontwerpcriteria voor cloudanalyses op ondernemingsniveau behandeld. In dit artikel worden ook ontwerpaanbevelingen en best practices besproken voor de implementatie van een analyse op cloudschaal in Azure. Controleer beveiligingsgovernance en naleving op ondernemingsniveau om u volledig voor te bereiden op governance van een bedrijfsoplossing.
Cloudoplossingen hosten in eerste instantie enkele, relatief geïsoleerde toepassingen. Naarmate de voordelen van cloudoplossingen duidelijk werden, werden grootschalige workloads gehost in de cloud, zoals SAP on Azure. Het werd dus essentieel om de beveiliging, betrouwbaarheid, prestaties en kosten van regionale implementaties gedurende de levenscyclus van cloudservices aan te pakken.
De visie voor beveiliging, naleving en governance van landingszones op cloudschaalanalyse in Azure is om hulpprogramma's en processen te bieden waarmee u risico's kunt minimaliseren en effectieve beslissingen kunt nemen. De Azure-landingszones definiëren rollen en verantwoordelijkheden voor beveiligingsbeheer en naleving.
Het patroon voor analyses op cloudschaal is afhankelijk van verschillende beveiligingsfuncties die kunnen worden ingeschakeld in Azure. Deze functies omvatten versleuteling, op rollen gebaseerd toegangsbeheer, toegangsbeheerlijsten en netwerkbeperkingen.
Aanbevelingen voor beveiligingsontwerp
Zowel Microsoft als klanten delen de verantwoordelijkheid voor beveiliging. Raadpleeg best practices voor cyberbeveiliging door het Center for Internet Security voor geaccepteerde beveiligingsrichtlijnen. De volgende secties zijn aanbevelingen voor beveiligingsontwerp.
Data-at-rest-versleuteling
Data-at-rest-versleuteling verwijst naar de versleuteling van gegevens omdat deze zich in de opslag bevinden en pakt de beveiligingsrisico's aan met betrekking tot directe fysieke toegang tot opslagmedia. Dar is een kritiek beveiligingsbeheer omdat de onderliggende gegevens onherstelbaar zijn en niet kunnen worden gewijzigd zonder de ontsleutelingssleutel. Dar is een belangrijke laag in de diepgaande verdedigingsstrategie van Microsoft-datacenters. Vaak zijn er redenen voor naleving en governance om data-at-rest-versleuteling te implementeren.
Verschillende Azure-services ondersteunen data-at-rest-versleuteling, waaronder Azure Storage en Azure SQL-databases. Hoewel algemene concepten en modellen van invloed zijn op het ontwerp van Azure-services, kan elke service data-at-rest-versleuteling toepassen op verschillende stacklagen of verschillende versleutelingsvereisten hebben.
Belangrijk
Voor alle services die data-at-rest-versleuteling ondersteunen, moet deze standaard zijn ingeschakeld.
Beveiligde gegevens tijdens overdracht
Gegevens zijn onderweg of onderweg wanneer ze van de ene locatie naar de andere worden verplaatst. Dit kan intern, on-premises of binnen Azure zijn, of extern, zoals via internet voor een eindgebruiker. Azure biedt verschillende mechanismen, waaronder versleuteling, om gegevens privé te houden tijdens de overdracht. Tot deze methoden behoren onder meer:
- Communicatie via VPN's met behulp van IPsec-/IKE-versleuteling.
- Transport Layer Security (TLS) 1.2 of hoger die wordt gebruikt door Azure-onderdelen zoals Azure Application Gateway of Azure Front Door.
- Protocollen die beschikbaar zijn op Azure Virtual Machines, zoals Windows IPsec of SMB.
Versleuteling met macsec (mediatoegangsbeheerbeveiliging), een IEEE-standaard op de gegevenskoppelingslaag, wordt automatisch ingeschakeld voor al het Azure-verkeer tussen Azure-datacenters. Deze versleuteling zorgt voor vertrouwelijkheid en integriteit van klantgegevens. Zie Azure-klantgegevensbescherming voor meer informatie.
Sleutels en geheimen beheren
Gebruik Azure Key Vault om schijfversleutelingssleutels en -geheimen voor analyses op cloudschaal te beheren. Key Vault beschikt over mogelijkheden voor het inrichten en beheren van SSL/TLS-certificaten. U kunt geheimen ook beveiligen met hardwarebeveiligingsmodules (HSM's).
Microsoft Defender for Cloud
Microsoft Defender for Cloud biedt beveiligingswaarschuwingen en geavanceerde beveiliging tegen bedreigingen voor virtuele machines, SQL-databases, containers, webtoepassingen, virtuele netwerken en meer.
Wanneer u Defender voor Cloud inschakelt vanuit het gebied met prijzen en instellingen, worden de volgende Microsoft Defender plannen tegelijkertijd ingeschakeld en bieden uitgebreide beveiliging voor de reken-, gegevens- en servicelagen van uw omgeving:
- Microsoft Defender voor servers
- Microsoft Defender voor App Service
- Microsoft Defender voor opslag
- Microsoft Defender voor SQL
- Microsoft Defender voor Kubernetes
- Microsoft Defender voor containerregisters
- Microsoft Defender voor Key Vault
- Microsoft Defender voor Resource Manager
- Microsoft Defender voor DNS
Deze plannen worden afzonderlijk uitgelegd in de documentatie van Defender for Cloud.
Belangrijk
Waar Defender voor Cloud beschikbaar is voor PaaS-aanbiedingen (Platform as a Service), moet u deze functie standaard inschakelen, met name voor Azure Data Lake Storage-accounts. Zie Inleiding tot Microsoft Defender voor cloud en Microsoft Defender configureren voor opslag voor meer informatie.
Microsoft Defender for Identity
Microsoft Defender for Identity maakt deel uit van het aanbod voor geavanceerde gegevensbeveiliging. Dit is een geïntegreerd pakket voor geavanceerde beveiligingsmogelijkheden. Microsoft Defender for Identity kunt u openen en beheren via de Azure Portal.
Belangrijk
Schakel Microsoft Defender for Identity standaard in wanneer deze beschikbaar is voor de PaaS-services die u gebruikt.
Microsoft Sentinel inschakelen
Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.
Netwerken
De voorgeschreven weergave voor analyse op cloudschaal is het gebruik van Azure-privé-eindpunten voor alle PaaS-services en niet het gebruik van openbare IP-adressen voor alle IaaS-services (Infrastructure as a Service). Zie Cloud-scale analytics-netwerken voor meer informatie.
Ontwerpaanbeveling voor naleving en governance
Met Azure Advisor krijgt u een geconsolideerde weergave van uw Azure-abonnementen. Raadpleeg Azure Advisor voor betrouwbaarheid, tolerantie, beveiliging, prestaties, operationele uitmuntendheid en aanbevelingen voor kosten. De volgende secties bevatten aanbevelingen voor het ontwerp van naleving en governance.
Azure Policy gebruiken
Azure Policy helpt bij het afdwingen van organisatorische standaarden en het evalueren van naleving op schaal. Via het nalevingsdashboard biedt het een geaggregeerde weergave van de algehele status van de omgeving, met de mogelijkheid om in te zoomen op afzonderlijke resources of beleidsregels.
Azure Policy helpt uw resources in overeenstemming te brengen door bulksgewijs herstel van bestaande resources en automatisch herstel van nieuwe resources. Er zijn verschillende ingebouwde beleidsregels beschikbaar, bijvoorbeeld om de locatie van nieuwe resources te beperken, een tag en de bijbehorende waarde voor resources te vereisen, een VIRTUELE machine te maken met behulp van een beheerde schijf of naamgevingsbeleid af te dwingen.
Implementaties automatiseren
U kunt tijd besparen en fouten verminderen door implementaties te automatiseren. Verminder de implementatiecomplexiteit van end-to-end gegevenslandingszones en gegevenstoepassingen (die gegevensproducten maken) door herbruikbare codesjablonen te maken. Dit minimaliseert de tijd voor het implementeren of opnieuw implementeren van oplossingen. Zie Inzicht in DevOps-automatisering voor analyses op cloudschaal in Azure voor meer informatie
Resources voor productieworkloads vergrendelen
Maak vereiste kerngegevensbeheer en Azure-resources voor gegevenslandingszones aan het begin van uw project. Wanneer alle toevoegingen, verplaatsingen en wijzigingen zijn voltooid en de Azure-implementatie operationeel is, vergrendelt u alle resources. Vervolgens kan alleen een beheerder resources, zoals een gegevenscatalogus, ontgrendelen of wijzigen. Zie Resources vergrendelen om onverwachte wijzigingen te voorkomen voor meer informatie.
Op rollen gebaseerd toegangsbeheer
U kunt op rollen gebaseerd toegangsbeheer (RBAC) voor Azure-abonnementen aanpassen om te beheren wie toegang heeft tot Azure-resources, wat ze met deze resources kunnen doen en tot welke gebieden ze toegang hebben. U kunt bijvoorbeeld teamleden toestaan kernassets te implementeren in een gegevenslandingszone, maar voorkomen dat ze een van de netwerkonderdelen wijzigen.
Nalevings- en governancescenario's
De volgende aanbevelingen zijn van toepassing op verschillende nalevings- en governancescenario's. Deze scenario's vormen een rendabele en schaalbare oplossing.
| Scenario | Aanbeveling |
|---|---|
| Configureer een governancemodel met standaardnaamconventies en haal rapporten op op basis van de kostenplaats. | Gebruik Azure Policy en tags om aan uw vereisten te voldoen. |
| Voorkom onbedoelde verwijdering van Azure-resources. | Gebruik Azure-resourcevergrendelingen om onbedoeld verwijderen te voorkomen. |
| Krijg een geconsolideerde weergave van verkoopkansen voor kostenoptimalisatie, tolerantie, beveiliging, operationele uitmuntendheid en prestaties voor Azure-resources. | Gebruik Azure Advisor om een geconsolideerde weergave te krijgen van SAP on Azure-abonnementen. |