Рекомендации по защите и шифрованию данных в Azure

  • Статья

В этой статье приводятся рекомендации по безопасности и шифрованию данных.

Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Со временем мнения и технологии меняются, поэтому эта статья постоянно обновляется, чтобы отражать эти изменения.

Защита данных

Для защиты данных в облаке необходимо учитывать все возможные состояния, в которых могут находиться данные, а также все методы управления для каждого из этих состояний. Рекомендации по защите и шифрованию данных Azure действуют для следующих состояний данных.

  • Неактивные: сюда относятся все объекты, контейнеры и типы хранения информации, которые существуют на физическом носителе в конкретном месте, например на магнитном или оптическом диске.
  • При передаче: передаваемые между компонентами, расположениями или программами данные находятся в пути. Примерами являются передачи по сети, по служебной шине (из локальной сети в облако и наоборот, включая гибридные подключения, такие как ExpressRoute), а также в процессе ввода-вывода.
  • Использование. При обработке данных специализированные процессоры AMD и Intel на основе конфиденциальных вычислительных виртуальных машин хранят данные в памяти с помощью аппаратных управляемых ключей.

Выбор решения для управления ключами

Защита ключей имеет очень важное значение для защиты данных в облаке.

Azure Key Vault помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Хранилище Key Vault упрощает управление ключами и позволяет поддерживать контроль над ключами, которые предоставляют доступ к вашим данным и шифруют их. Разработчики могут за считаные минуты создавать ключи для разработки и тестирования, а затем использовать их в рабочей среде. По необходимости администраторы безопасности могут предоставлять (и отзывать) разрешения на использование ключей.

Key Vault позволяет создать несколько безопасных контейнеров, называемых хранилищами. Эти хранилища поддерживаются аппаратными модулями безопасности. Хранилища позволяют уменьшить вероятность случайной потери информации о безопасности путем централизации хранения секретов приложений. Хранилища Key Vault также контролируют и регистрируют доступ к чему-либо, что хранится в них. Azure Key Vault может обрабатывать задачи, связанные с запросами и продлениями сертификатов TLS. Решение предоставляет возможности для надежного управления жизненным циклом сертификата.

Решение Azure Key Vault предназначено для поддержки ключей приложения и секретов. Оно не предназначено для использования в качестве хранилища паролей пользователей.

Ниже приведены рекомендации по безопасности для использования Key Vault.

Рекомендация: предоставьте доступ пользователям, группам и приложениям в определенной области. Подробности: используйте предопределенные роли Azure RBAC. Например, чтобы предоставить пользователю доступ к управлению хранилищами ключей, ему необходимо назначить предопределенную роль Участник Key Vault в определенной области. В этом случае область — это подписка, группа ресурсов или определенное хранилище ключей. Если предопределенные роли не соответствуют вашим потребностям, вы можете определить собственные роли.

Рекомендация: контролируйте, к каким ресурсам имеют доступ пользователи. Сведения: доступ к хранилищу ключей осуществляется с помощью двух отдельных интерфейсов: плоскость управления и плоскость данных. Контроль доступа к плоскости управления и плоскости данных осуществляется независимо.

Используйте Azure RBAC, чтобы контролировать, к каким ресурсам имеют доступ пользователи. Например, если вам требуется предоставить приложению доступ на использование ключей в хранилище ключей, необходимо предоставить права доступа к плоскости данных с помощью политик доступа к хранилищу ключей, в то время как доступ к плоскости управления для этого приложения не понадобится. И наоборот, если необходимо, чтобы пользователь имел возможность считывать свойства и теги хранилища, но не имел доступа к ключам, секретам или сертификатам, Azure RBAC позволяет предоставить этому пользователю доступ на чтение, а доступ к плоскости данных не требуется.

Рекомендация: храните сертификаты в хранилище ключей. Сертификаты имеют высокую ценность. В чужих руках безопасность приложения или безопасность данных может быть нарушена. Сведения: используйте Azure Resource Manager для безопасного развертывания сертификатов, хранящихся в Azure Key Vault, на развертываемых виртуальных машинах Azure. Задавая соответствующие политики доступа для хранилища ключей, вы также можете контролировать пользователей, получающих доступ к сертификату. Другим преимуществом является возможность управления всеми сертификатами в одном месте в Azure Key Vault. Дополнительные сведения см. в статье Deploy certificates to VMs from customer-managed Key Vault (Развертывание сертификатов на виртуальных машинах из хранилища ключей, управляемого клиентом).

Рекомендация: убедитесь, что вы можете восстановить удаление хранилищ ключей или объектов хранилища ключей. Сведения: удаление хранилищ ключей или объектов хранилища ключей может быть непредумышленным или злонамеренным. Включите функции обратимого удаления и очистки защиты хранилища ключей, особенно для ключей, которые используются для шифрования неактивных данных. Удаление этих ключей аналогично потере данных, поэтому при необходимости можно восстановить удаленные хранилища и объекты хранилищ. Регулярно практикуйте выполнение операций восстановления хранилища ключей.

Примечание.

Если у пользователя есть разрешения участника (Azure RBAC) в плоскости управления хранилища ключей, он может самостоятельно предоставить себе доступ к плоскости данных, настроив политику доступа к хранилищу ключей. Рекомендуется тщательно следить за тем, у кого есть доступ участника к вашим хранилищам ключей, чтобы только авторизованные лица могли получать доступ к хранилищам ключей, ключам, секретам и сертификатам, а также управлять ими.

Безопасное управление рабочими станциями

Примечание.

Администратор или владелец подписки должен использовать рабочую станцию с безопасным доступом или рабочую станцию с привилегированным доступом.

Так как большая часть атак направлена на пользователя, одной из основных целей атакующих становится конечная точка. Злоумышленник, который скомпрометирует конечную точку, может использовать учетные данные пользователя для доступа к данным организации. Большинство атак на конечные точки происходит с учетом того, что пользователи являются администраторами на своих локальных рабочих станциях.

Рекомендация: используйте рабочие станции с безопасным доступом для защиты конфиденциальных учетных записей, задач и данных. Сведения: используйте рабочие станции с привилегированным доступом для снижения уязвимости рабочих станций к атакам. Этот метод безопасного управления рабочими станциями поможет избежать некоторых типов атак, тем самым повышая безопасность данных.

Рекомендация: обеспечьте защиту конечной точки. Сведения: обязательно применяйте политики безопасности на всех устройствах, которые используются для получения данных, независимо от расположения этих данных (локально или в облаке).

Защита хранящихся данных

Шифрование неактивных данных является обязательным шагом для защиты данных, соответствия стандартам и обеспечения конфиденциальности данных.

Рекомендация: применяйте шифрование диска для защиты данных. Сведения: используйте шифрование дисков Azure для виртуальных машин Linux и шифрование дисков Azure для виртуальных машин Windows. Шифрование дисков объединяет стандартные для отрасли функции dm-crypt для Linux и BitLocker для Windows, которые обеспечивают шифрование томов для дисков операционной системы и дисков данных.

Служба хранилища Azure и база данных SQL Azure шифруют хранящиеся данные по умолчанию, а многие службы предлагают шифрования в виде дополнительной возможности. С помощью Azure Key Vault можно контролировать ключи для доступа к данным и их шифрования. Дополнительные сведения см. в статье Поддержка модели шифрования поставщиками ресурсов Azure.

Рекомендация: используйте шифрование для снижения рисков, связанных с несанкционированным доступом к данным. Сведения: шифруйте диски до записи конфиденциальных данных на них.

Если организация не применяет шифрование данных, повышается вероятность потери конфиденциальных данных. Например, неавторизованные или недобросовестные пользователи могут похитить данные с помощью скомпрометированных учетных записей или получить несанкционированный доступ к данным, закодированным в формате ClearFormat. Компании могут соблюдать отраслевые стандарты, используя надлежащие средства защиты данных для повышения уровня безопасности данных.

Защита данных при передаче

Защита данных при передаче обязательно должна быть учтена в стратегии защиты данных. Поскольку данные перемещаются туда и обратно, обычно рекомендуется всегда использовать протоколы SSL/TLS для обмена данными между разными расположениями. В некоторых случаях может потребоваться изолировать весь коммуникационный канал между локальной и облачной инфраструктурой с помощью VPN.

Для перемещения данных между локальной инфраструктурой и Azure следует применять соответствующие меры безопасности, например использовать HTTPS или VPN. При передаче зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет необходимо использовать VPN-шлюз Azure.

Ниже приведены рекомендации по работе с VPN-шлюзом Azure, HTTPS и SSL/TLS.

Рекомендация: обеспечьте безопасность доступа из нескольких рабочих станций, расположенных локально, в виртуальную сеть Azure. Сведения: используйте VPN-подключения типа "сеть — сеть".

Рекомендация: обеспечьте безопасность доступа из отдельной рабочей станции, расположенной локально, в виртуальную сеть Azure. Сведения: используйте VPN-подключения типа "точка — сеть".

Рекомендация: перемещайте большие наборы данных через выделенный высокоскоростной канал глобальной сети. Сведения: используйте ExpressRoute. Если вы решите использовать ExpressRoute, то для дополнительной защиты можно зашифровать данные на уровне приложения с помощью SSL/TLS или других протоколов.

Рекомендация: взаимодействуйте со службой хранилища Azure на портале Azure. Сведения: все транзакции проходят по протоколу HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS.

Организации, не защищающие передаваемые данные, более уязвимы для атак типа "злоумышленник в середине", перехвата данных и перехвата сеанса. Такие атаки могут стать первым шагом в ходе получения доступа к конфиденциальным данным.

Защита данных при использовании

Уменьшите потребность в доверии выполняющихся рабочих нагрузок в облаке. Вы доверяете всем поставщикам, которые обеспечивают работу разных компонентов приложения.

  • Поставщики программного обеспечения приложений: доверие к программному обеспечению путем развертывания локальной среды, использования открытого исходного кода или создания встроенного программного обеспечения приложений.
  • Поставщики оборудования: доверять оборудованию с помощью локального оборудования или внутреннего оборудования.
  • Поставщики инфраструктуры: доверять облачным поставщикам или управлять собственными локальными центрами обработки данных.

Сокращение поверхности атаки— база доверенных вычислений (TCB) относится ко всем компонентам оборудования, встроенного ПО и программного обеспечения системы, которые обеспечивают безопасную среду. Компоненты внутри TCB считаются "критически важными". Если один компонент внутри TCB скомпрометирован, безопасность всей системы может быть поставлена под угрозу. Чем меньше доверенная вычислительная база, тем выше безопасность. Это снижает риск воздействия разных уязвимостей, вредоносных программ, атак и злоумышленников.

Конфиденциальные вычисления Azure помогут вам:

  • Запрет несанкционированного доступа. Запустите конфиденциальные данные в облаке. Вы можете быть уверены, что Azure обеспечит наилучшую возможную защиту данных, не требуя существенно изменять рабочие процессы.
  • Соответствие нормативным требованиям. Миграция в облако и обеспечение полного контроля над данными для удовлетворения нормативных требований для защиты персональных данных и безопасного IP-адреса организации.
  • Обеспечение безопасной и ненадежной совместной работы: решение проблем в масштабах всей отрасли путем объединения данных между организациями, даже конкурентами, для разблокировки широкой аналитики данных и более глубокой аналитики.
  • Изоляция обработки: предложение новой волны продуктов, которые удаляют ответственность за частные данные с слепой обработкой. Пользовательские данные даже не могут быть получены поставщиком услуг.

Дополнительные сведения о конфиденциальных вычислениях.

Защита электронной почты, документов и конфиденциальных данных

Контролируйте и защищайте электронную почту, документы и конфиденциальные данные, которые вы пересылаете за пределы компании. Azure Information Protection — это облачное решение, помогающее организациям классифицировать, отмечать и защищать документы и сообщения электронной почты. Это можно сделать автоматически с помощью администраторов, которые определяют правила и условия, вручную (самими пользователями) или сочетая два этих подхода, когда пользователи получают рекомендации.

Классификация всегда идентифицируется независимо от того, где хранятся данные или с которыми он предоставляет общий доступ. Метки включают в себя визуальную маркировку, например верхний и нижний колонтитулы или водяной знак. Метаданные добавляются в файлы и заголовки электронной почты в виде открытого текста. Открытый текст гарантирует, что другие службы, такие как решения для предотвращения потери данных, могут определить классификацию и предпринять соответствующие действия.

Технология защиты использует Azure Rights Management (Azure RMS). Эта технология интегрирована с другими облачными службами и приложениями Майкрософт, такими как Microsoft 365 и идентификатор Microsoft Entra. Эта технология защиты использует политики шифрования, удостоверений и авторизации. Защита, применяемая с помощью Azure RMS, остается в документах и сообщениях электронной почты независимо от расположения внутри организации или вне организации, сетей, файловых серверов и приложений.

Это решение для защиты информации позволяет контролировать данные, даже если они совместно используются другим пользователям. Azure RMS можно также использовать с собственными бизнес-приложениями и решениями по защите информации от поставщиков программного обеспечения независимо от места расположения этих приложений — в локальной или облачной средах.

Примите во внимание следующие рекомендации.

  • Разверните Azure Information Protection для вашей организации.
  • Примените метки, соответствующие бизнес-требованиям. Например: примените метку с именем "строго конфиденциальный" ко всем документам и электронным письмам, содержащим данные верхнего секрета, для классификации и защиты этих данных. После этого доступ к данным будут иметь только авторизованные пользователи с указанными вами ограничениями.
  • Настройте ведение журнала использования для Azure RMS, чтобы отслеживать, как в вашей организации используется служба защиты.

Организации, которые не уделяют достаточно внимания классификации данных и защите файлов, могут быть более уязвимыми к утечкам и несанкционированному использованию данных. Обеспечив надлежащую защиту файлов, можно анализировать потоки данных для лучшего понимания бизнеса, выявления схем опасного поведения, принятия корректирующих мер, отслеживания доступа к документам и т. д.

Следующие шаги

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.

Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.

  • Блог команды безопасности Azure. Благодаря этому блогу вы будете в курсе последних новостей о безопасности Azure.
  • Microsoft Security Response Center. Это место, куда можно сообщать об уязвимостях, в том числе о проблемах Azure. Это также можно сделать по почте, отправив сообщение по адресу secure@microsoft.com.