Share via

Безопасность, управление и соответствие требованиям для аналитики в масштабе облака

  • Статья

При планировании архитектуры аналитики в масштабе облака уделите особое внимание обеспечению надежности и безопасности архитектуры. В этой статье рассматриваются критерии проектирования безопасности, соответствия требованиям и системы управления для облачной аналитики корпоративного уровня. В этой статье также рассматриваются рекомендации по проектированию и рекомендации по развертыванию облачной аналитики в Azure. Ознакомьтесь с системой управления безопасностью и соответствием требованиям корпоративного уровня для полной подготовки к управлению корпоративными решениями.

Облачные решения изначально размещали отдельные, относительно изолированные приложения. По мере того как преимущества использования облачных решений становились очевидными, в облаке размещалось множество крупномасштабных рабочих нагрузок, таких как SAP в Azure. Поэтому стало крайне важным обеспечить безопасность, надежность, производительность и экономичность региональных развертываний в течение жизненного цикла облачных служб.

Концепция безопасности, соответствия требованиям и управления целевой зоны облачной аналитики в Azure заключается в предоставлении инструментов и процессов, которые помогают свести к минимуму риски и принимать эффективные решения. Целевые зоны Azure определяют управление безопасностью, а также роли и обязанности соответствия.

Шаблон аналитики в масштабе облака основан на нескольких функциях безопасности, которые можно включить в Azure. К таким функциям относятся шифрование, управление доступом на основе ролей, списки управления доступом и сетевые ограничения.

Рекомендации по проектированию безопасности

За обеспечение безопасности несут ответственность как корпорация Майкрософт, так и клиенты. Рекомендации по обеспечению безопасности см. в статье Рекомендации по кибербезопасности Центра интернет-безопасности. В следующих разделах приведены рекомендации по проектированию безопасности.

Шифрование неактивных данных

Шифрование неактивных данных означает шифрование данных по мере их сохранения в хранилище и устраняет риски безопасности, связанные с прямым физическим доступом к носителю данных. Dar — это критически важный элемент управления безопасностью, так как базовые данные невосстановимы и не могут быть изменены без ключа расшифровки. Шифрование неактивных данных — это важный уровень в стратегии глубокой защиты центров обработки данных Майкрософт. Часто существуют нормативные требования и требования системы управления, предписывающие развертывать шифрование неактивных данных.

Несколько служб Azure поддерживают шифрование неактивных данных, в том числе служба хранилища Azure и базы данных SQL Azure. Хотя общие понятия и модели влияют на архитектуру служб Azure, каждая служба может применять шифрование неактивных данных на разных уровнях стека или иметь свои требования к шифрованию.

Важно!

Все службы, которые поддерживают шифрование неактивных данных, должны включать его по умолчанию.

Безопасность данных при передаче

Данные перемещаются или находятся в пути при перемещении из одного места в другое. Это может происходить внутри, локально или в Azure, или вовне, например, через Интернет к конечному пользователю. Azure предлагает несколько механизмов сохранения конфиденциальности данных, включая шифрование. Эти механизмы включают в себя следующее:

  • Взаимодействие через сети VPN с помощью шифрования по протоколам IPsec и IKE.
  • Протокол TLS 1.2 или более поздней версии используется компонентами Azure, такими как Шлюз приложений Azure или Azure Front Door.
  • Протоколы, доступные на Виртуальных машинах Azure, такие как Windows IPsec и SMB.

Шифрование с использованием MACsec (Media Access Control Security), стандарта IEEE на уровне канала передачи данных, автоматически включается для всего трафика Azure, проходящего между центрами обработки данных Azure. Это шифрование обеспечивает конфиденциальность и целостность данных клиентов. Дополнительные сведения см. в статье Защита данных клиентов Azure.

Управление ключами и секретами

Для управления ключами шифрования дисков и секретами для аналитики в масштабе облака используйте azure Key Vault. Хранилище Key Vault предоставляет возможность подготовки сертификатов SSL/TLS и управления ими. Также можно защитить секреты с помощью аппаратных модулей безопасности (HSM).

Microsoft Defender для облака

Microsoft Defender для облака предоставляет оповещения системы безопасности и расширенную защиту от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, виртуальных сетей и т. д.

При включении Defender для облака в области "Цены и параметры" все следующие планы Microsoft Defender активируются одновременно и обеспечивают комплексную защиту для уровней вычислений, данных и служб в вашей среде:

Эти планы описываются отдельно в документации Defender для облака.

Важно!

Если Defender для облака доступен для предложений "платформа как услуга" (PaaS), эту функцию следует включить по умолчанию, особенно для учетных записей Azure Data Lake Storage. Дополнительные сведения см. в статьях Общие сведения о Microsoft Defender для облака и Настройка Microsoft Defender для хранилища.

Microsoft Defender для удостоверений

Microsoft Defender для удостоверений входит в состав предложения "Расширенная защита данных", которое представляет собой унифицированный пакет расширенных возможностей безопасности. Получить доступ к Microsoft Defender для удостоверений и управлять им можно на портале Azure.

Важно!

Если Microsoft Defender для удостоверений доступен для используемых служб PaaS, включите его по умолчанию.

Включение Microsoft Sentinel

Microsoft Sentinel — это масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического реагирования в рамках оркестрации событий безопасности (SOAR). Microsoft Sentinel обеспечивает интеллектуальные средства для аналитики безопасности и аналитики угроз по всему предприятию, предоставляя единое решение для обнаружения предупреждений, визуального контроля угроз, упреждающей охоты и реагирования на угрозы.

сеть;

Предписанное представление аналитики в масштабе облака заключается в том, чтобы использовать частные конечные точки Azure для всех служб PaaS, а не использовать общедоступные IP-адреса для всех служб IaaS (инфраструктура как услуга). Дополнительные сведения см. в статье Облачные аналитические сети.

Рекомендации по системе управления и обеспечению соответствия

Помощник по Azure помогает получить объединенное представление о подписках Azure. Обратитесь к Помощнику по Azure за рекомендациями по надежности, устойчивости, безопасности, производительности, эффективности работы и стоимости. В следующих разделах приводятся рекомендации по проектированию соответствия и системы управления.

Использование Политики Azure

Политика Azure помогает применять организационные стандарты и оценивать соответствие нормативным требованиям в больших масштабах. На панели мониторинга "Соответствие требованиям" этой службы доступно агрегированное представление общего состояния среды с возможностью детализации до уровня конкретных ресурсов и политик.

С помощью Политики Azure можно приводить ресурсы в соответствие требованиям, используя функции пакетного исправления имеющихся ресурсов и автоматического исправления новых ресурсов. Доступны несколько встроенных политик, например для ограничения расположения новых ресурсов, для создания виртуальной машины с помощью управляемого диска или для применения политик именования.

Автоматизирование развертываний

Автоматизация развертываний экономит ваше время и способствует уменьшению количества ошибок. Сократите сложность развертывания комплексных целевых зон данных и приложений для данных (которые создают продукты данных) за счет создания многократно используемые шаблоны кода. Это позволяет максимально сократить время развертывания и повторного развертывания решений. Дополнительные сведения см. в статье Общие сведения об автоматизации DevOps для облачной аналитики в Azure.

Блокировка ресурсов для рабочих нагрузок в рабочей среде

В начале работы над проектом создайте необходимые ресурсы Azure для базового управления данными и целевой зоны данных. Когда все добавления, перемещения и изменения завершены, а развертывание в Azure работает, заблокируйте все ресурсы. Затем только администратор сможет разблокировать или изменить ресурсы, такие как каталог данных. Дополнительные сведения см. в статье Блокировка ресурсов для предотвращения непредвиденных изменений.

Реализация управления доступом на основе ролей

Можно управлять доступом на основе ролей (RBAC) в подписках Azure для управления доступом пользователей к ресурсам Azure, включая настройку разрешений на выполнение операций с этими ресурсами и определением областей доступа. Например, можно разрешить членам команды развертывать основные ресурсы в целевую зону данных, но запретить им изменять какие-либо сетевые компоненты.

Сценарии соответствия и управления

Следующие рекомендации предназначены для различных сценариев соответствия и управления. Эти сценарии представляют экономичное и масштабируемое решение.

Сценарий Рекомендация
Настройка модели управления с помощью стандартных соглашений об именовании и получение отчетов, основанные на данных по местам возникновения затрат. Используйте Политику Azure и теги для удовлетворения ваших требований.
Предотвращение случайного удаления ресурсов Azure. Используйте блокировки ресурсов Azure, чтобы предотвратить случайное удаление.
Получение общего представления об областях возможностей для оптимизации расходов, отказоустойчивости, безопасности, эффективности работы и производительности для ресурсов Azure. Используйте Помощник по Azure для получения общего представления по SAP в подписках Azure.

Дальнейшие действия

Политики Azure для аналитики в масштабе облака