Projektowanie zabezpieczeń danych magazynowanych, danych przesyłanych i używanych danych
Wiele organizacji korzysta z usługi Azure SQL Database dla dużych baz danych klientów, które przechowują numery telefonów, adresy, zamówienia i informacje o kartach kredytowych. Potrzebują rozwiązania zabezpieczeń, aby zapobiec nieautoryzowanemu dostępowi danych do baz danych hostowanych w chmurze. Klasyfikowanie przechowywanych danych według poufności i scenariusza biznesowego pomaga organizacjom określić ryzyko związane z ich danymi.
Istnieją trzy podstawowe założenia dotyczące dobrych zabezpieczeń informacji: odnajdywanie, klasyfikacja i ochrona danych. W tej lekcji zapoznamy się z różnymi stanami danych i metodami szyfrowania, aby zastosować te zestawy w silnym rozwiązaniu zabezpieczeń.
Szyfrowanie danych strukturalnych
Dane istnieją w trzech podstawowych stanach: dane magazynowane, dane w ruchu i dane w procesie.
Dane magazynowane to dane na urządzeniu magazynowym, które nie jest przenoszone ani używane. Dane magazynowane obejmują zarchiwizowane wiadomości e-mail przechowywane w skrzynce odbiorczej programu Outlook lub pliki na laptopie, których nie używasz. Szyfrowanie danych magazynowanych to obowiązkowy krok w kierunku zachowania prywatności, zgodności i niezależności danych.
Dane w ruchu (nazywane również danymi przesyłanymi) to dane przenoszone z jednego urządzenia do innego w sieci prywatnej lub sieci publicznej, takiej jak Internet. Dane w ruchu mogą być również danymi, które są odczytywane (używane), ale nie są zmieniane. Dane w ruchu obejmują wiadomości e-mail podczas przesyłania, przeglądania internetowych witryn internetowych lub korzystania z aplikacji firmowych, takich jak schemat organizacyjny.
Dane w procesie to dane, które są otwarte i zmieniane. Dane w procesie obejmują pisanie wiadomości e-mail, zapisywanie plików służbowych lub zamawianie z witryny internetowej.
Istnieją różne metody szyfrowania dla każdego stanu danych. Poniższa tabela zawiera podsumowanie metod.
| Stan danych | Metoda szyfrowania | Poziom szyfrowania |
|---|---|---|
| Dane magazynowane | Transparent Data Encryption (TDE) | Zawsze szyfrowane. |
| Dane w ruchu | Secure Socket Layer and Transport Layer Security (SSL/TLS) | Zawsze szyfrowane. |
| Dane w procesie | Dynamiczne maskowanie danych | Określone dane są niezaszyfrowane. Pozostałe dane są szyfrowane. |
Informacje o szyfrowaniu danych
Funkcja Transparent Data Encryption (TDE) chroni usługi Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics przed zagrożeniem złośliwym działaniem offline przez szyfrowanie danych magazynowanych. Technologia TDE w czasie rzeczywistym szyfruje i odszyfrowuje magazynowaną bazę danych, skojarzone kopie zapasowe i pliki dzienników transakcji bez konieczności wprowadzania jakichkolwiek zmian w aplikacji. Funkcja TDE jest domyślnie włączona dla wszystkich nowo wdrożonych baz danych Azure SQL Database.
Usługi Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics wymuszają szyfrowanie Secure Socket Layer i Transport Layer Security (SSL/TLS) zawsze dla wszystkich połączeń. Ten poziom szyfrowania zapewnia, że wszystkie dane są szyfrowane "podczas przesyłania" między klientem a serwerem. Protokół Transport Layer Security (TLS) jest używany przez wszystkie sterowniki dostarczane lub obsługiwane przez firmę Microsoft do nawiązywania połączenia z bazami danych w usłudze Azure SQL Database lub Azure SQL Managed Instance.
Funkcja zabezpieczeń oparta na zasadach wykorzystuje funkcję zabezpieczeń opartą na zasadach o nazwie dynamiczne maskowanie danych. Ta funkcja ukrywa poufne dane w zestawie wyników zapytania w wyznaczonych polach bazy danych, podczas gdy dane w bazie danych pozostają niezmienione. Dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu dostępowi do poufnych danych, umożliwiając klientom wyznaczenie ilości poufnych danych do ujawnienia przy minimalnym wpływie na warstwę aplikacji.
Wskazówka
Rozwiń swoją wiedzę dzięki modułowi szkoleniowemu Planowanie i implementowanie zabezpieczeń dla usług Azure SQL Database i Azure SQL Managed Instance .