Udostępnij za pośrednictwem

Zabezpieczenia, ład i zgodność na potrzeby analizy w skali chmury

  • Artykuł

Podczas planowania architektury analizy w skali chmury należy zwrócić szczególną uwagę na to, aby upewnić się, że architektura jest niezawodna i bezpieczna. W tym artykule opisano kryteria projektowania zabezpieczeń, zgodności i ładu na potrzeby analizy w skali chmury w skali przedsiębiorstwa. W tym artykule omówiono również zalecenia dotyczące projektowania i najlepsze rozwiązania dotyczące wdrażania analizy w skali chmury na platformie Azure. Przejrzyj ład i zgodność w skali przedsiębiorstwa , aby w pełni przygotować się do zapewnienia ładu w rozwiązaniu przedsiębiorstwa.

Rozwiązania w chmurze początkowo hostowane pojedyncze, stosunkowo izolowane aplikacje. Ponieważ korzyści wynikające z rozwiązań w chmurze stały się jasne, obciążenia na większą skalę były hostowane w chmurze, takie jak SAP na platformie Azure. Dlatego ważne stało się, aby sprostać bezpieczeństwu, niezawodności, wydajności i kosztom wdrożeń regionalnych w całym cyklu życia usług w chmurze.

Wizja zabezpieczeń, zgodności i ładu w strefie docelowej analizy w skali chmury na platformie Azure polega na dostarczaniu narzędzi i procesów, które pomagają zminimalizować ryzyko i podejmować skuteczne decyzje. Strefy docelowe platformy Azure definiują role i obowiązki związane z zarządzaniem zabezpieczeniami i zgodnością.

Wzorzec analizy w skali chmury opiera się na kilku funkcjach zabezpieczeń, które można włączyć na platformie Azure. Te funkcje obejmują szyfrowanie, kontrolę dostępu opartą na rolach, listy kontroli dostępu i ograniczenia sieci.

Zalecenia dotyczące projektowania zabezpieczeń

Zarówno firma Microsoft, jak i klienci mają wspólną odpowiedzialność za bezpieczeństwo. Aby uzyskać akceptowane wskazówki dotyczące zabezpieczeń, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi cyberbezpieczeństwa w Centrum zabezpieczeń internetowych. Poniższe sekcje to zalecenia dotyczące projektowania zabezpieczeń.

Szyfrowanie danych magazynowanych

Szyfrowanie danych magazynowanych odnosi się do szyfrowania danych w miarę ich utrwalania w magazynie i odpowiada na zagrożenia bezpieczeństwa związane z bezpośrednim fizycznym dostępem do nośnika magazynu. Dar jest krytyczną kontrolą zabezpieczeń, ponieważ podstawowe dane są nieodwracalne i nie można ich zmienić bez klucza odszyfrowywania. Dar jest ważną warstwą w strategii ochrony w centrach danych firmy Microsoft. Często istnieją powody zgodności i ładu do wdrażania szyfrowania magazynowanych danych.

Kilka usług platformy Azure obsługuje szyfrowanie danych magazynowanych, w tym usługę Azure Storage i bazy danych Azure SQL. Chociaż typowe pojęcia i modele wpływają na projektowanie usług platformy Azure, każda usługa może stosować szyfrowanie danych magazynowanych w różnych warstwach stosu lub mieć różne wymagania dotyczące szyfrowania.

Ważne

Wszystkie usługi, które obsługują szyfrowanie danych magazynowanych, powinny być domyślnie włączone.

Zabezpieczanie danych przesyłanych

Dane są przesyłane lub w locie podczas przechodzenia z jednej lokalizacji do innej. Może to być wewnętrznie, lokalnie lub w obrębie platformy Azure lub zewnętrznie, na przykład przez Internet, do użytkownika końcowego. Platforma Azure oferuje kilka mechanizmów, w tym szyfrowanie, które umożliwiają przechowywanie prywatnych danych podczas przesyłania. Te mechanizmy to m.in.:

  • Komunikacja za pośrednictwem sieci VPN przy użyciu szyfrowania IPsec/IKE.
  • Transport Layer Security (TLS) 1.2 lub nowszy używany przez składniki platformy Azure, takie jak Azure Application Gateway lub Azure Front Door.
  • Protokoły dostępne na platformie Azure Virtual Machines, takie jak protokół IPsec systemu Windows lub protokół SMB.

Szyfrowanie przy użyciu protokołu MACsec (zabezpieczeń kontroli dostępu do multimediów), standard IEEE w warstwie łącza danych jest automatycznie włączany dla całego ruchu platformy Azure między centrami danych platformy Azure. To szyfrowanie zapewnia poufność i integralność danych klienta. Aby uzyskać więcej informacji, zobacz Ochrona danych klientów platformy Azure.

Zarządzanie kluczami i wpisami tajnymi

Aby kontrolować klucze szyfrowania dysków i wpisy tajne na potrzeby analizy w skali chmury i zarządzać nimi, użyj usługi Azure Key Vault. Key Vault ma możliwości aprowizowania certyfikatów SSL/TLS i zarządzania nimi. Można również chronić wpisy tajne za pomocą sprzętowych modułów zabezpieczeń (HSM).

Microsoft Defender for Cloud

Microsoft Defender for Cloud zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci wirtualnych i nie tylko.

Po włączeniu usługi Defender for Cloud z obszaru cennika i ustawień następujące plany Microsoft Defender są włączone jednocześnie i zapewniają kompleksowe zabezpieczenia dla warstw obliczeniowych, danych i usług środowiska:

Te plany zostały wyjaśnione oddzielnie w dokumentacji usługi Defender for Cloud.

Ważne

Jeśli usługa Defender for Cloud jest dostępna dla ofert typu "platforma jako usługa" (PaaS), należy włączyć tę funkcję domyślnie, szczególnie w przypadku kont Azure Data Lake Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Microsoft Defender dla chmury i konfigurowanie Microsoft Defender dla usługi Storage.

Microsoft Defender for Identity

Microsoft Defender for Identity jest częścią zaawansowanej oferty zabezpieczeń danych, która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń. Microsoft Defender for Identity można uzyskać dostęp do Azure Portal i zarządzać nimi.

Ważne

Włącz Microsoft Defender for Identity domyślnie za każdym razem, gdy jest ona dostępna dla używanych usług PaaS.

Włączanie usługi Microsoft Sentinel

Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania zdarzeniami zabezpieczeń (SIEM) i automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając jedno rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.

Sieć

Zalecany widok analizy w skali chmury polega na używaniu prywatnych punktów końcowych platformy Azure dla wszystkich usług PaaS, a nie używania publicznych adresów IP dla wszystkich usług typu infrastruktura jako usługa (IaaS). Aby uzyskać więcej informacji, zobacz Sieć analizy w skali chmury.

Zalecenia dotyczące projektowania zgodności i ładu

Usługa Azure Advisor ułatwia uzyskanie skonsolidowanego widoku w ramach subskrypcji platformy Azure. Zapoznaj się z usługą Azure Advisor, aby uzyskać zalecenia dotyczące niezawodności, odporności, zabezpieczeń, wydajności, doskonałości operacyjnej i kosztów. W poniższych sekcjach przedstawiono zalecenia dotyczące zgodności i projektowania ładu.

Korzystanie z usługi Azure Policy

Azure Policy pomaga wymusić standardy organizacyjne i ocenić zgodność na dużą skalę. Za pośrednictwem pulpitu nawigacyjnego zgodności zapewnia zagregowany widok ogólnego stanu środowiska z możliwością przechodzenia do szczegółów poszczególnych zasobów lub zasad.

Azure Policy pomaga zapewnić zgodność zasobów poprzez zbiorcze korygowanie istniejących zasobów i automatyczne korygowanie nowych zasobów. Dostępne są kilka wbudowanych zasad, na przykład w celu ograniczenia lokalizacji nowych zasobów, wymagają tagu i jego wartości w zasobach, tworzenia maszyny wirtualnej przy użyciu dysku zarządzanego lub wymuszania zasad nazewnictwa.

Automatyzowanie wdrożeń

Możesz zaoszczędzić czas i zmniejszyć liczbę błędów, automatyzując wdrożenia. Zmniejsz złożoność wdrażania końcowych stref docelowych danych i aplikacji danych (które tworzą produkty danych), tworząc ponownie możliwe szablony kodu. Minimalizuje to czas wdrażania lub ponownego wdrażania rozwiązań. Aby uzyskać więcej informacji, zobacz Understand DevOps automation for the cloud-scale analytics in Azure (Omówienie automatyzacji metodyki DevOps na potrzeby analizy w skali chmury na platformie Azure)

Blokowanie zasobów dla obciążeń produkcyjnych

Utwórz wymagane podstawowe zarządzanie danymi i zasoby strefy docelowej danych platformy Azure na początku projektu. Po zakończeniu wszystkich dodatków, przenoszenia i zmian, a wdrożenie platformy Azure działa, zablokuj wszystkie zasoby. Następnie tylko administrator może odblokować lub zmodyfikować zasoby, takie jak wykaz danych. Aby uzyskać więcej informacji, zobacz Blokowanie zasobów w celu uniemożliwienia nieoczekiwanych zmian.

Implementowanie kontroli dostępu opartej na rolach

Możesz dostosować kontrolę dostępu opartą na rolach (RBAC) w subskrypcjach platformy Azure, aby zarządzać tym, kto ma dostęp do zasobów platformy Azure, co mogą zrobić z tymi zasobami i do jakich obszarów mają dostęp. Na przykład można zezwolić członkom zespołu na wdrażanie podstawowych zasobów w strefie docelowej danych, ale uniemożliwić im zmianę dowolnych składników sieciowych.

Scenariusze zgodności i ładu

Poniższe zalecenia dotyczą różnych scenariuszy zgodności i ładu. Te scenariusze reprezentują ekonomiczne i skalowalne rozwiązanie.

Scenariusz Zalecenie
Skonfiguruj model ładu z standardowymi konwencjami nazewnictwa i ściągaj raporty na podstawie centrum kosztów. Użyj Azure Policy i tagów, aby spełnić wymagania.
Unikaj przypadkowego usunięcia zasobów platformy Azure. Użyj blokad zasobów platformy Azure, aby zapobiec przypadkowemu usunięciu.
Uzyskaj skonsolidowany widok obszarów szans sprzedaży na potrzeby optymalizacji kosztów, odporności, zabezpieczeń, doskonałości operacyjnej i wydajności zasobów platformy Azure. Użyj usługi Azure Advisor, aby uzyskać skonsolidowany widok w ramach subskrypcji platformy SAP na platformie Azure.

Następne kroki

Zasady platformy Azure na potrzeby analizy w skali chmury