Najlepsze rozwiązania z zakresu zabezpieczeń i szyfrowania danych platformy Azure

W tym artykule opisano najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych.

Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi możliwościami platformy Azure i zestawami funkcji. Opinie i technologie zmieniają się wraz z upływem czasu, a ten artykuł jest regularnie aktualizowany w celu odzwierciedlenia tych zmian.

Ochrona danych

Aby ułatwić ochronę danych w chmurze, należy uwzględnić możliwe stany, w których mogą wystąpić dane, oraz dostępne dla tego stanu kontrolki. Najlepsze rozwiązania dotyczące zabezpieczeń i szyfrowania danych platformy Azure odnoszą się do następujących stanów danych:

  • Magazynowane: obejmuje to wszystkie obiekty magazynu informacji, kontenery i typy, które istnieją statycznie na nośniku fizycznym, zarówno magnetycznym, jak i optycznym.
  • Podczas przesyłania: gdy dane są przesyłane między składnikami, lokalizacjami lub programami, są przesyłane. Przykłady to transfer przez sieć, magistralę usług (ze środowiska lokalnego do chmury i na odwrót, w tym połączenia hybrydowe, takie jak ExpressRoute) lub podczas procesu wejścia/wyjścia.

Wybieranie rozwiązania do zarządzania kluczami

Ochrona kluczy jest niezbędna do ochrony danych w chmurze.

Usługa Azure Key Vault ułatwia ochronę kluczy kryptograficznych i wpisów tajnych używanych przez aplikacje i usługi w chmurze. Usługa Key Vault usprawnia proces zarządzania kluczami i pozwala zachować kontrolę nad kluczami, które mają dostęp do danych i szyfrują je. Deweloperzy mogą w klika minut utworzyć klucze do programowania i testowania, a następnie przeprowadzić ich migrację do kluczy produkcyjnych. W razie potrzeby administratorzy zabezpieczeń mogą przydzielić (i cofnąć) uprawnienia do używania kluczy.

Możesz użyć Key Vault do utworzenia wielu bezpiecznych kontenerów, nazywanych magazynami. Te magazyny są wspierane przez moduły HSM. Magazyny zmniejszają prawdopodobieństwo przypadkowej utraty danych zabezpieczeń, stanowiąc centrum przechowywania wpisów tajnych aplikacji. Magazyny kluczy umożliwiają także kontrolowanie i rejestrowanie dostępu do wszelkich elementów, które są w nich przechowywane. Usługa Azure Key Vault może obsługiwać żądania i odnawianie certyfikatów protokołu Transport Layer Security (TLS). Zapewnia ona funkcje niezawodnego rozwiązania do zarządzania cyklem życia certyfikatów.

Usługa Azure Key Vault jest przeznaczona do obsługi kluczy aplikacji i wpisów tajnych. Key Vault nie jest przeznaczony do przechowywania haseł użytkowników.

Poniżej przedstawiono najlepsze rozwiązania w zakresie zabezpieczeń dotyczące korzystania z Key Vault.

Najlepsze rozwiązanie: udzielanie dostępu użytkownikom, grupom i aplikacjom w określonym zakresie. Szczegóły: użyj wstępnie zdefiniowanych ról RBAC platformy Azure. Aby na przykład udzielić użytkownikowi dostępu do zarządzania magazynami kluczy, należy przypisać wstępnie zdefiniowaną rolę Key Vault Współautor do tego użytkownika w określonym zakresie. Zakresem w tym przypadku będzie subskrypcja, grupa zasobów lub tylko określony magazyn kluczy. Jeśli wstępnie zdefiniowane role nie odpowiadają Twoim potrzebom, możesz zdefiniować własne role.

Najlepsze rozwiązanie: kontrolowanie, do czego użytkownicy mają dostęp. Szczegóły: dostęp do magazynu kluczy jest kontrolowany za pomocą dwóch oddzielnych interfejsów: płaszczyzny zarządzania i płaszczyzny danych. Mechanizmy kontroli dostępu do płaszczyzny zarządzania i płaszczyzny danych działają niezależnie.

Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie, do czego użytkownicy mają dostęp. Jeśli na przykład chcesz przyznać aplikacji dostęp do używania kluczy w magazynie kluczy, musisz udzielić uprawnień dostępu do płaszczyzny danych tylko przy użyciu zasad dostępu do magazynu kluczy, a dla tej aplikacji nie jest wymagany dostęp do płaszczyzny zarządzania. Z drugiej strony, jeśli chcesz, aby użytkownik mógł odczytywać właściwości i tagi magazynu, ale nie ma dostępu do kluczy, wpisów tajnych lub certyfikatów, możesz udzielić temu użytkownikowi dostępu do odczytu przy użyciu kontroli dostępu opartej na rolach platformy Azure i nie jest wymagany dostęp do płaszczyzny danych.

Najlepsze rozwiązanie: przechowywanie certyfikatów w magazynie kluczy. Certyfikaty mają wysoką wartość. W niewłaściwych rękach zabezpieczenia aplikacji lub zabezpieczenia danych mogą zostać naruszone.
Szczegóły: usługa Azure Resource Manager może bezpiecznie wdrażać certyfikaty przechowywane w usłudze Azure Key Vault na maszynach wirtualnych platformy Azure po wdrożeniu maszyn wirtualnych. Ustawiając odpowiednie zasady dostępu dla magazynu kluczy, możesz również kontrolować, kto uzyskuje dostęp do certyfikatu. Kolejną zaletą jest zarządzanie wszystkimi certyfikatami w jednym miejscu za pomocą usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz Deploy Certificates to VMs from customer-managed Key Vault (Wdrażanie certyfikatów na maszynach wirtualnych z poziomu Key Vault zarządzanych przez klienta).

Najlepsze rozwiązanie: Upewnij się, że można odzyskać usunięcie magazynów kluczy lub obiektów magazynu kluczy. Szczegóły: Usunięcie magazynów kluczy lub obiektów magazynu kluczy może być przypadkowe lub złośliwe. Włącz usuwanie nietrwałe i funkcje ochrony przed ochrony przed przeczyszczaniem w usłudze Key Vault, szczególnie w przypadku kluczy używanych do szyfrowania danych w spoczynku. Usunięcie tych kluczy jest równoznaczne z utratą danych, więc w razie potrzeby możesz odzyskać usunięte magazyny i obiekty magazynu. Regularnie przećwiczyć operacje odzyskiwania Key Vault.

Uwaga

Jeśli użytkownik ma uprawnienia współautora (RBAC platformy Azure) do płaszczyzny zarządzania magazynu kluczy, może udzielić sobie dostępu do płaszczyzny danych, ustawiając zasady dostępu do magazynu kluczy. Zalecamy ścisłą kontrolę nad tym, kto ma dostęp współautora do magazynów kluczy, aby mieć pewność, że tylko autoryzowane osoby będą mogły uzyskiwać dostęp do magazynów kluczy, kluczy, wpisów tajnych i certyfikatów oraz zarządzać nimi.

Zarządzanie za pomocą bezpiecznych stacji roboczych

Uwaga

Administrator lub właściciel subskrypcji powinien używać stacji roboczej z bezpiecznym dostępem lub stacji roboczej z uprzywilejowanym dostępem.

Ponieważ zdecydowana większość ataków dotyczy użytkownika końcowego, punkt końcowy staje się jednym z głównych punktów ataku. Osoba atakująca, która naruszy zabezpieczenia punktu końcowego, może użyć poświadczeń użytkownika w celu uzyskania dostępu do danych organizacji. Większość ataków punktów końcowych korzysta z faktu, że użytkownicy są administratorami na lokalnych stacjach roboczych.

Najlepsze rozwiązanie: użyj bezpiecznej stacji roboczej do zarządzania, aby chronić poufne konta, zadania i dane. Szczegóły: Użyj stacji roboczej z uprzywilejowanym dostępem , aby zmniejszyć obszar narażony na ataki na stacjach roboczych. Te bezpieczne stacje robocze zarządzania mogą pomóc w ograniczeniu niektórych z tych ataków i zapewnić bezpieczeństwo danych.

Najlepsze rozwiązanie: Zapewnianie ochrony punktu końcowego. Szczegóły: wymuszanie zasad zabezpieczeń na wszystkich urządzeniach, które są używane do korzystania z danych, niezależnie od lokalizacji danych (w chmurze lub lokalnie).

Ochrona danych magazynowanych

Szyfrowanie danych magazynowanych to obowiązkowy krok w kierunku prywatności, zgodności i niezależności danych.

Najlepsze rozwiązanie: stosowanie szyfrowania dysków w celu ochrony danych. Szczegóły: Użyj usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Linux lub usługi Azure Disk Encryption dla maszyn wirtualnych z systemem Windows. Usługa Disk Encryption łączy standardową w branży funkcję dm-crypt systemu Linux lub funkcję BitLocker systemu Windows w celu zapewnienia szyfrowania woluminu dla systemu operacyjnego i dysków danych.

Usługi Azure Storage i Azure SQL Database domyślnie szyfrują dane magazynowane, a wiele usług oferuje szyfrowanie jako opcję. Za pomocą usługi Azure Key Vault można zachować kontrolę nad kluczami, za pomocą których jest uzyskiwany dostęp do danych i następuje ich szyfrowanie. Aby dowiedzieć się więcej, zobacz Obsługa modelu szyfrowania dostawców zasobów platformy Azure.

Najlepsze rozwiązania: użyj szyfrowania, aby zmniejszyć ryzyko związane z nieautoryzowanym dostępem do danych. Szczegóły: Szyfruj dyski przed zapisaniem do nich poufnych danych.

Organizacje, które nie wymuszają szyfrowania danych, są bardziej narażone na problemy z poufnością danych. Na przykład nieautoryzowani lub nieautoryzowani użytkownicy mogą kraść dane na naruszonych kontach lub uzyskać nieautoryzowany dostęp do danych zakodowanych w formacie Clear Format. Firmy muszą również udowodnić, że są sumienni i używają odpowiednich mechanizmów kontroli zabezpieczeń w celu zwiększenia bezpieczeństwa danych w celu zapewnienia zgodności z przepisami branżowymi.

Ochrona danych podczas przesyłania

Ochrona danych podczas ich przesyłania powinna być istotną częścią strategii ochrony danych. Ponieważ dane są przenoszone pomiędzy wieloma lokalizacjami, zazwyczaj zalecamy, aby do wymiany danych między różnymi lokalizacjami zawsze używać protokołów SSL/TLS. W niektórych sytuacjach może być konieczne odizolowanie całego kanału komunikacyjnego łączącego infrastruktury lokalne i chmury przy użyciu sieci VPN.

W przypadku danych przenoszonych między infrastrukturą lokalną i platformą Azure należy wziąć pod uwagę odpowiednie zabezpieczenia, takie jak protokół HTTPS lub sieć VPN. Podczas wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu użyj usługi Azure VPN Gateway.

Poniżej przedstawiono najlepsze rozwiązania dotyczące korzystania z usług Azure VPN Gateway, SSL/TLS i HTTPS.

Najlepsze rozwiązanie: Zabezpieczanie dostępu z wielu stacji roboczych znajdujących się lokalnie do sieci wirtualnej platformy Azure. Szczegóły: użyj sieci VPN typu lokacja-lokacja.

Najlepsze rozwiązanie: zabezpieczanie dostępu z poszczególnych stacji roboczych znajdujących się lokalnie do sieci wirtualnej platformy Azure. Szczegóły: użyj sieci VPN typu punkt-lokacja.

Najlepsze rozwiązanie: Przenoszenie większych zestawów danych za pośrednictwem dedykowanego szybkiego łącza sieci WAN. Szczegóły: Użyj usługi ExpressRoute. Jeśli wybierzesz korzystanie z usługi ExpressRoute, możesz także szyfrować dane na poziomie aplikacji przy użyciu protokołu SSL/TLS lub innych protokołów w celu zapewnienia dodatkowej ochrony.

Najlepsze rozwiązanie: interakcja z usługą Azure Storage za pośrednictwem Azure Portal. Szczegóły: wszystkie transakcje są wykonywane za pośrednictwem protokołu HTTPS. Do interakcji z usługą Azure Storage można również użyć interfejsu API REST usługi Storage za pośrednictwem protokołu HTTPS.

Organizacje, które nie chronią przesyłanych danych, są bardziej podatne na ataki typu man-in-the-middle, podsłuchiwanie i przejęcie sesji. Takie ataki mogą być pierwszym krokiem do uzyskania dostępu do poufnych danych.

Zabezpieczanie poczty e-mail, dokumentów i poufnych danych

Chcesz kontrolować i zabezpieczać pocztę e-mail, dokumenty i poufne dane udostępniane poza firmą. Azure Information Protection to rozwiązanie chmurowe ułatwiające klasyfikowanie, etykietowanie i ochronę dokumentów oraz wiadomości e-mail w firmie. Można to zrobić automatycznie przez administratorów, którzy definiują reguły i warunki, ręcznie przez użytkowników lub kombinację, w której użytkownicy otrzymują zalecenia.

Klasyfikacja jest możliwa do zidentyfikowania przez cały czas niezależnie od miejsca przechowywania lub udostępniania danych. Etykiety zawierają oznaczenia wizualne, takie jak nagłówek, stopka lub znak wodny. Metadane dodawane do plików i nagłówków wiadomości e-mail mają postać zwykłego tekstu. Jasny tekst gwarantuje, że inne usługi, takie jak rozwiązania, które uniemożliwiają utratę danych, mogą zidentyfikować klasyfikację i podjąć odpowiednie działania.

Technologia ochrony korzysta z usługi Azure Rights Management (Azure RMS). Ta technologia jest zintegrowana z innymi usługami i aplikacjami firmy Microsoft w chmurze, takimi jak Microsoft 365 i Azure Active Directory. Ta technologia ochrony używa zasad szyfrowania, tożsamości i autoryzacji. Ochrona stosowana za pośrednictwem usługi Azure RMS pozostaje w dokumentach i wiadomościach e-mail niezależnie od lokalizacji — wewnątrz organizacji, sieci, serwerów plików i aplikacji.

To rozwiązanie do ochrony informacji zapewnia kontrolę nad danymi nawet wtedy, gdy są udostępniane innym osobom. Usługę Azure RMS można również używać z własnymi aplikacjami biznesowymi i rozwiązaniami do ochrony informacji od dostawców oprogramowania, niezależnie od tego, czy te aplikacje i rozwiązania są lokalne, czy w chmurze.

Zalecamy wykonanie następujących czynności:

  • Wdrażanie usługi Azure Information Protection dla organizacji.
  • Zastosuj etykiety odzwierciedlające wymagania biznesowe. Na przykład: Zastosuj etykietę o nazwie "wysoce poufne" do wszystkich dokumentów i wiadomości e-mail zawierających dane ściśle tajne, aby sklasyfikować i chronić te dane. Następnie tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do tych danych z określonymi ograniczeniami.
  • Skonfiguruj rejestrowanie użycia dla usługi Azure RMS , aby monitorować sposób korzystania z usługi ochrony w organizacji.

Organizacje, które są słabe w zakresie klasyfikacji danych i ochrony plików, mogą być bardziej podatne na wyciek danych lub niewłaściwe użycie danych. Dzięki odpowiedniej ochronie plików możesz analizować przepływy danych w celu uzyskania wglądu w firmę, wykrywania ryzykownych zachowań i podejmowania działań naprawczych, śledzenia dostępu do dokumentów itd.

Następne kroki

Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure , aby uzyskać więcej najlepszych rozwiązań w zakresie zabezpieczeń używanych podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.

Dostępne są następujące zasoby, aby uzyskać bardziej ogólne informacje na temat zabezpieczeń platformy Azure i powiązanych usług firmy Microsoft: