Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych.
Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi możliwościami i zestawami funkcji platformy Azure. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł jest regularnie aktualizowany w celu odzwierciedlenia tych zmian.
Ochrona danych
Aby chronić dane w chmurze, należy uwzględnić możliwe stany, w których mogą wystąpić dane, oraz dostępne dla tego stanu kontrolki. Najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych platformy Azure odnoszą się do następujących stanów danych:
- Magazyn: Obejmuje to wszystkie obiekty magazynu informacji, kontenery i typy, które istnieją statycznie na nośniku fizycznym, zarówno magnetycznym, jak i optycznym.
- Podczas przesyłania: gdy dane są przesyłane między składnikami, lokalizacjami lub programami, są przesyłane. Przykłady to transfer przez sieć w ramach magistrali usług (z lokalnej do chmury i odwrotnie, w tym połączeń hybrydowych, takich jak usługa ExpressRoute) lub podczas procesu wejściowego/wyjściowego.
- W użyciu: gdy dane są przetwarzane, wyspecjalizowane maszyny wirtualne obliczeniowe firmy AMD i Intel oparte poufne maszyny wirtualne obliczeniowe przechowują dane zaszyfrowane w pamięci przy użyciu kluczy zarządzanych przez sprzęt.
Wybieranie rozwiązania do zarządzania kluczami
Ochrona kluczy jest niezbędna do ochrony danych w chmurze.
Platforma Azure oferuje kilka różnych usług do ochrony kluczy kryptograficznych przy użyciu modułów HSM. Te oferty zapewniają skalowalność i dostępność w chmurze, zapewniając pełną kontrolę nad kluczami. Aby uzyskać więcej informacji i wskazówek dotyczących wyboru spośród tych ofert zarządzania kluczami, zobacz Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami platformy Azure. Usługa Azure Key Vault Premium lub Azure Key Vault Managed HSM są zalecane do zarządzania kluczami szyfrowania przechowywanymi w stanie spoczynku.
Zarządzanie bezpiecznymi stacjami roboczymi
Uwaga
Administrator subskrypcji lub właściciel powinien używać stacji roboczej z bezpiecznym dostępem lub stacji roboczej z uprzywilejowanym dostępem.
Ponieważ zdecydowana większość ataków dotyczy użytkownika końcowego, punkt końcowy staje się jednym z głównych punktów ataku. Osoba atakująca, która naruszy zabezpieczenia punktu końcowego, może użyć poświadczeń użytkownika w celu uzyskania dostępu do danych organizacji. Większość ataków punktów końcowych korzysta z faktu, że użytkownicy są administratorami na lokalnych stacjach roboczych.
Najlepsze rozwiązanie: użyj bezpiecznej stacji roboczej do zarządzania, aby chronić poufne konta, zadania i dane. Szczegóły: Użyj stacji roboczej z dostępem uprzywilejowanym, aby zmniejszyć obszar narażony na ataki na stacjach roboczych. Te bezpieczne stacje robocze zarządzania mogą pomóc w ograniczeniu niektórych z tych ataków i zapewnić bezpieczeństwo danych.
Najlepsze rozwiązanie: Zapewnianie ochrony punktu końcowego. Szczegóły: Wymuszanie zasad zabezpieczeń na wszystkich urządzeniach, które są używane do korzystania z danych, niezależnie od lokalizacji danych (chmury lub środowiska lokalnego).
Ochrona danych magazynowanych
Szyfrowanie danych magazynowanych to obowiązkowy krok w kierunku prywatności, zgodności i niezależności danych.
Najlepsze rozwiązanie: stosowanie szyfrowania na hoście w celu ochrony danych. Szczegóły: Użyj szyfrowania na hoście — kompleksowe szyfrowanie maszyny wirtualnej. Szyfrowanie na hoście to opcja maszyny wirtualnej, która rozszerza usługę Azure Disk Storage Server-Side Encryption, aby zapewnić, że wszystkie dyski tymczasowe i pamięci podręczne dysków są szyfrowane w stanie spoczynku oraz przesyłane jako zaszyfrowane do klastrów magazynowania.
Większość usług platformy Azure, takich jak Azure Storage i Azure SQL Database, domyślnie szyfruje dane magazynowane. Za pomocą usługi Azure Key Vault można zachować kontrolę nad kluczami, za pomocą których jest uzyskiwany dostęp do danych i następuje ich szyfrowanie. Aby dowiedzieć się więcej, zobacz Obsługa modelu szyfrowania dostawców zasobów platformy Azure.
Najlepsze rozwiązania: Używanie szyfrowania w celu ograniczenia ryzyka związanego z nieautoryzowanym dostępem do danych. Szczegóły: Szyfruj dane na swoich usługach przed zapisaniem w nich poufnych informacji.
Organizacje, które nie wymuszają szyfrowania danych, są bardziej narażone na problemy z poufnością danych. Firmy muszą również udowodnić, że są sumienni i wykorzystują odpowiednie mechanizmy kontroli zabezpieczeń w celu zwiększenia bezpieczeństwa danych w celu zapewnienia zgodności z przepisami branżowymi.
Ochrona danych podczas przesyłania
Ochrona danych podczas ich przesyłania powinna być istotną częścią strategii ochrony danych. Ponieważ dane są przenoszone pomiędzy wieloma lokalizacjami, zazwyczaj zalecamy, aby do wymiany danych między różnymi lokalizacjami zawsze używać protokołów SSL/TLS. W niektórych sytuacjach może być konieczne odizolowanie całego kanału komunikacyjnego łączącego infrastruktury lokalne i chmury przy użyciu sieci VPN.
W przypadku danych przenoszonych między infrastrukturą lokalną i platformą Azure należy wziąć pod uwagę odpowiednie zabezpieczenia, takie jak protokół HTTPS lub sieć VPN. Podczas wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu użyj usługi Azure VPN Gateway.
Poniżej przedstawiono najlepsze rozwiązania dotyczące używania usługi Azure VPN Gateway, protokołu SSL/TLS i protokołu HTTPS.
Najlepsze rozwiązanie: Bezpieczny dostęp z wielu stacji roboczych znajdujących się lokalnie do sieci wirtualnej platformy Azure. Szczegóły: Użyj sieci VPN typu lokacja-lokacja.
Najlepsze rozwiązanie: Zabezpieczanie dostępu z poszczególnych stacji roboczych znajdujących się lokalnie do sieci wirtualnej platformy Azure. Szczegóły: Użyj sieci VPN typu punkt-lokacja.
Najlepsze rozwiązanie: Przenoszenie większych zestawów danych za pośrednictwem dedykowanego szybkiego łącza sieci WAN. Szczegóły: Użyj usługi ExpressRoute. Jeśli wybierzesz korzystanie z usługi ExpressRoute, możesz także szyfrować dane na poziomie aplikacji przy użyciu protokołu SSL/TLS lub innych protokołów w celu zapewnienia dodatkowej ochrony.
Najlepsze rozwiązanie: interakcja z usługą Azure Storage za pośrednictwem witryny Azure Portal. Szczegóły: wszystkie transakcje są wykonywane za pośrednictwem protokołu HTTPS. Do interakcji z usługą Azure Storage można również użyć interfejsu API REST usługi Storage za pośrednictwem protokołu HTTPS.
Organizacje, które nie chronią danych przesyłanych, są bardziej podatne na ataki typu man-in-the-middle, podsłuchiwanie i porwanie sesji. Takie ataki mogą być pierwszym krokiem do uzyskania dostępu do poufnych danych.
Ochrona danych w użyciu
Zmniejszyć potrzebę zaufania Uruchamianie obciążeń w chmurze wymaga zaufania. To zaufanie daje różnym dostawcom, którzy włączają różne składniki aplikacji.
- Dostawcy oprogramowania aplikacji: ufaj oprogramowaniu przez wdrażanie lokalnego oprogramowania typu open source lub tworzenie oprogramowania aplikacji w firmie.
- Dostawcy sprzętu: ufaj sprzętowi przy użyciu sprzętu lokalnego lub sprzętu wewnętrznego.
- Dostawcy infrastruktury: ufaj dostawcom chmury lub zarządzaj własnymi lokalnymi centrami danych.
Zmniejszenie obszaru podatnego na ataki Baza zaufanych obliczeń (TCB) odnosi się do wszystkich składników sprzętu, oprogramowania układowego i oprogramowania systemu, które zapewniają bezpieczne środowisko. Składniki wewnątrz TCB są uważane za "krytyczne". Jeśli bezpieczeństwo jednego składnika wewnątrz TCB zostanie naruszone, bezpieczeństwo całego systemu może być zagrożone. Niższy TCB oznacza wyższe bezpieczeństwo. Istnieje mniejsze ryzyko narażenia na różne luki w zabezpieczeniach, złośliwe oprogramowanie, ataki i złośliwe osoby.
Poufne przetwarzanie na platformie Azure może pomóc:
- Zapobieganie nieautoryzowanemu dostępowi: uruchamianie poufnych danych w chmurze. Ufaj, że platforma Azure zapewnia najlepszą możliwą ochronę danych, z niewielkimi zmianami w porównaniu z tym, co robi się dzisiaj.
- Zgodność z przepisami: migrowanie do chmury i zapewnienie pełnej kontroli nad danymi w celu spełnienia przepisów rządowych dotyczących ochrony danych osobowych i bezpiecznego adresu IP organizacji.
- Zapewnij bezpieczną i niezaufaną współpracę: Rozwiązywanie problemów w skali roboczej w całej branży dzięki przeczesywaniu danych między organizacjami, a nawet konkurentami, aby odblokować szeroką analizę danych i bardziej szczegółowe informacje.
- Izolowanie przetwarzania: oferuje nową falę produktów, które usuwają odpowiedzialność za dane prywatne z przetwarzaniem ślepym. Dane użytkownika nie mogą być nawet pobierane przez dostawcę usług.
Dowiedz się więcej na temat poufnego przetwarzania.
Zabezpieczanie poczty e-mail, dokumentów i poufnych danych
Chcesz kontrolować i zabezpieczać pocztę e-mail, dokumenty i poufne dane udostępniane poza firmą. Azure Information Protection to rozwiązanie oparte na chmurze, które ułatwia organizacji klasyfikowanie, etykietowanie i ochronę dokumentów i wiadomości e-mail. Można to zrobić automatycznie przez administratorów, którzy definiują reguły i warunki, ręcznie przez użytkowników lub kombinację, w której użytkownicy otrzymują zalecenia.
Klasyfikacja jest możliwa do zidentyfikowania przez cały czas, niezależnie od tego, gdzie są przechowywane dane lub komu są udostępniane. Etykiety zawierają oznaczenia wizualne, takie jak nagłówek, stopka lub znak wodny. Metadane są dodawane do plików i nagłówków wiadomości e-mail w postaci zwykłego tekstu. Zwykły tekst zapewnia, że inne usługi, takie jak rozwiązania, które uniemożliwiają utratę danych, mogą identyfikować klasyfikację i podejmować odpowiednie działania.
Technologia ochrony korzysta z usługi Azure Rights Management (Azure RMS). Ta technologia jest zintegrowana z innymi usługami i aplikacjami firmy Microsoft w chmurze, takimi jak Microsoft 365 i Microsoft Entra ID. Ta technologia ochrony korzysta z zasad szyfrowania, tożsamości i autoryzacji. Ochrona stosowana za pośrednictwem usługi Azure RMS pozostaje w dokumentach i wiadomościach e-mail niezależnie od lokalizacji wewnątrz organizacji, sieci, serwerów plików i aplikacji.
To rozwiązanie do ochrony informacji zapewnia kontrolę nad danymi nawet wtedy, gdy są udostępniane innym osobom. Usługę Azure RMS można również używać z własnymi aplikacjami biznesowymi i rozwiązaniami ochrony informacji od dostawców oprogramowania, niezależnie od tego, czy te aplikacje i rozwiązania są lokalne, czy w chmurze.
Zalecamy wykonanie następujących czynności:
- Wdrażanie usługi Azure Information Protection dla organizacji.
- Zastosuj etykiety odzwierciedlające wymagania biznesowe. Na przykład: Zastosuj etykietę o nazwie "wysoce poufne" do wszystkich dokumentów i wiadomości e-mail zawierających dane ściśle tajne, aby sklasyfikować i chronić te dane. Następnie tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do tych danych z określonymi ograniczeniami.
- Skonfiguruj rejestrowanie użycia dla usługi Azure RMS , aby monitorować sposób korzystania z usługi ochrony w organizacji.
Organizacje, które są słabe w zakresie klasyfikacji danych i ochrony plików, mogą być bardziej podatne na wyciek danych lub niewłaściwe użycie danych. Dzięki właściwej ochronie plików możesz analizować przepływy danych, aby uzyskać wgląd w firmę, wykrywać ryzykowne zachowania i podejmować środki naprawcze, śledzić dostęp do dokumentów itd.
Następne kroki
Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.
Dostępne są następujące zasoby, aby uzyskać bardziej ogólne informacje na temat zabezpieczeń platformy Azure i powiązanych usługi firmy Microsoft:
- Blog zespołu ds. zabezpieczeń platformy Azure — aby uzyskać aktualne informacje na temat najnowszych informacji w usłudze Azure Security
- Centrum zabezpieczeń firmy Microsoft — gdzie luki w zabezpieczeniach firmy Microsoft, w tym problemy z platformą Azure, mogą być zgłaszane lub za pośrednictwem poczty e-mail secure@microsoft.com