Azure Virtual Machine-beveiliging verkennen
Houd rekening met het volgende bij het verkennen en implementeren van azure Virtual Machine-beveiliging:
Netwerkbeveiliging
Voor netwerkbeveiliging kunt u overwegen om een perimeternetwerk te implementeren met een beheerde of gehoste firewall vóór het subnet voor Web Dispatcher. Voor opslagbeveiliging moet u ervoor zorgen dat gegevens tijdens overdracht en at-rest worden versleuteld. Als u schijven van virtuele Azure-machines wilt versleutelen, kunt u Azure Disk Encryption gebruiken. Deze functie maakt gebruik van de BitLocker-functie van Windows en DM-Crypt voor Linux om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven. De oplossing werkt ook met Azure Key Vault om u te helpen bij het beheren en beheren van de sleutels en geheimen voor schijfversleuteling. Gegevens op de schijven van de virtuele machine worden in rust versleuteld in Azure Storage. Voor SAP HANA-versleuteling van data-at-rest raden we u aan de systeemeigen SAP HANA-versleutelingstechnologie te gebruiken.
Opslagbeveiliging
Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoen aan FIPS 140-2. Azure Storage-versleuteling is vergelijkbaar met BitLocker-versleuteling in Windows.
Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, waaronder Zowel Resource Manager als klassieke opslagaccounts, en kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling.
Gegevens in een nieuw opslagaccount worden standaard versleuteld met door Microsoft beheerde sleutels. U kunt blijven vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw gegevens of u kunt versleuteling beheren met uw eigen sleutels.
Klanten die hoge mate van zekerheid vereisen dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount tweemaal versleuteld( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels mogelijk wordt aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.
Notitie
Het wordt over het algemeen niet aanbevolen om zowel Azure Disk Encryption met DBMS-versleuteling te combineren, omdat dit de prestaties kan beïnvloeden.
- Beschikbaarheidszones zorgen voor een verhoogde latentie tussen SAP- en DB-servers. Het is meestal te verwaarlozen, maar wordt weergegeven in prestatienummers. Dit is het compromis voor de extra uptime van 0,04%. Houd er ook rekening mee dat Beschikbaarheidszones extra kosten in rekening brengen voor netwerkverkeer tussen zones.
- Gebruik de HANA-gegevens-at-rest-versleuteling niet met Azure Disk Encryption op dezelfde server. Gebruik voor HANA alleen HANA-gegevensversleuteling.