Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся рекомендации по безопасности и шифрованию данных.
Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Со временем мнения и технологии меняются, поэтому эта статья постоянно обновляется, чтобы отражать эти изменения.
Эта статья соответствует модели безопасности нулевого доверия Майкрософт, которая рассматривает данные как один из критически важных принципов, требующих защиты на всех этапах. Инструкции по обеспечению безопасности с применением политики Azure см. в статье Microsoft Cloud Security Benchmark версии 2 — Data Protection.
Защита данных
Для защиты данных в облаке необходимо учитывать все возможные состояния, в которых могут находиться данные, а также все методы управления для каждого из этих состояний. Рекомендации по защите и шифрованию данных Azure действуют для следующих состояний данных.
- В состоянии покоя: сюда относятся все объекты, контейнеры и типы хранения информации, которые существуют статически на физическом носителе, будь то магнитный или оптический диск.
- При передаче данных: когда данные передаются между компонентами, локациями или программами, они находятся в процессе передачи. Примерами являются передачи по сети, по служебной шине (из локальной сети в облако и наоборот, включая гибридные подключения, такие как ExpressRoute), а также в процессе ввода-вывода.
- Использование. При обработке данных специализированные процессоры AMD и Intel на основе конфиденциальных вычислительных виртуальных машин хранят данные в памяти с помощью аппаратных управляемых ключей.
Выберите решение для управления ключами
Защита ключей имеет очень важное значение для защиты данных в облаке.
Azure предлагает несколько различных служб для защиты криптографических ключей с помощью HSM. Эти предложения обеспечивают масштабируемость и доступность облака, обеспечивая полный контроль над ключами. Дополнительные сведения и рекомендации по выбору этих предложений по управлению ключами см. в статье "Выбор подходящего решения для управления ключами Azure". Рекомендуется использовать Azure Key Vault Premium или Управляемый HSM Azure Key Vault для управления вашими ключами шифрования при хранении.
Безопасное управление рабочими станциями
Примечание.
Администратор или владелец подписки должен использовать рабочую станцию с безопасным доступом или рабочую станцию с привилегированным доступом.
Так как большая часть атак направлена на пользователя, одной из основных целей атакующих становится конечная точка. Злоумышленник, который скомпрометирует конечную точку, может использовать учетные данные пользователя для доступа к данным организации. Большинство атак на конечные точки происходит с учетом того, что пользователи являются администраторами на своих локальных рабочих станциях.
Используйте безопасную рабочую станцию управления для защиты конфиденциальных учетных записей, задач и данных: используйте рабочую станцию с привилегированным доступом , чтобы уменьшить область атаки на рабочих станциях. Этот метод безопасного управления рабочими станциями поможет избежать некоторых типов атак, тем самым повышая безопасность данных.
Обеспечение защиты конечных точек. Применение политик безопасности на всех устройствах, которые используются для использования данных, независимо от расположения данных (облачного или локального).
Защита хранящихся данных
Шифрование неактивных данных является обязательным шагом для защиты данных, соответствия стандартам и обеспечения конфиденциальности данных.
- Примените шифрование на узле, чтобы защитить данные: используйте шифрование на узле — сквозное шифрование виртуальной машины. Шифрование на хосте — это параметр виртуальной машины, который улучшает Server-Side шифрование Azure Disk Storage, чтобы обеспечить шифрование всех временных дисков и кэшей дисков в неактивном состоянии, а также шифрование потоков данных для кластеров хранилища.
Большинство служб Azure, таких как служба хранилища Azure и База данных SQL Azure, по умолчанию шифруют неактивных данных. С помощью Azure Key Vault можно контролировать ключи для доступа к данным и их шифрования. Дополнительные сведения см. в статье Поддержка модели шифрования поставщиками ресурсов Azure.
Использование шифрования для устранения рисков, связанных с несанкционированным доступом к данным: шифрование служб перед записью конфиденциальных данных в них.
Понимание поведения ротации ключей: При ротации ключа шифрования ключей (KEK) служба перепаковывает ключи шифрования данных (DEKs) с новой версией ключа. Базовые данные не шифруются повторно. Старые и новые версии ключей должны оставаться включёнными до завершения перепаковывания. Дополнительные сведения см. в статье "Настройка автоматического поворота ключей" в Azure Key Vault.
Реагируйте на предполагаемый компромисс ключа, проводя ротацию в первую очередь: если вы подозреваете, что управляемый клиентом ключ скомпрометирован, замените его на новый ключ и перенастройте зависимые службы перед отключением или удалением старого ключа. Отключение или удаление ключа немедленно выводит зависимые службы из сети, но не перешифровывает ключи шифрования данных, то есть они по-прежнему подвергаются риску расшифровки с помощью скомпрометированного ключа шифрования ключей. Сведения о полной процедуре реагирования на инциденты см. в рекомендациях по обеспечению безопасности резервного копирования.
Используйте RSA-OAEP-256 для упаковки ключей: RSA-OAEP-256 — это рекомендуемый алгоритм упаковки для ключей, управляемых клиентом. RSA-OAEP (без суффикса -256) использует SHA-1 и считается устаревшим.
Если организация не применяет шифрование данных, повышается вероятность потери конфиденциальных данных. Компании также должны доказать, что они проявляют должную усердие и используют правильные средства обеспечения безопасности для повышения защиты данных, чтобы соответствовать отраслевым нормативам.
Защита данных при передаче
Защита данных при передаче обязательно должна быть учтена в стратегии защиты данных. Поскольку данные перемещаются туда и обратно, обычно рекомендуется всегда использовать протоколы SSL/TLS для обмена данными между разными расположениями. В некоторых случаях может потребоваться изолировать весь коммуникационный канал между локальной и облачной инфраструктурой с помощью VPN.
Для перемещения данных между локальной инфраструктурой и Azure следует применять соответствующие меры безопасности, например использовать HTTPS или VPN. При передаче зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет необходимо использовать VPN-шлюз Azure.
Ниже приведены рекомендации по работе с VPN-шлюзом Azure, HTTPS и SSL/TLS.
Безопасный доступ с нескольких рабочих станций, расположенных локально в виртуальной сети Azure: используйте VPN типа "сеть — сеть".
Безопасный доступ с отдельной рабочей станции, расположенной на территории, к виртуальной сети Azure: используйте VPN типа "точка-сайт".
Перемещайте большие наборы данных по выделенной высокоскоростной линии WAN: используйте ExpressRoute. Если вы решите использовать ExpressRoute, то для дополнительной защиты можно зашифровать данные на уровне приложения с помощью SSL/TLS или других протоколов.
Взаимодействие с службой хранилища Azure через портал Azure: все транзакции происходят через HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS.
Организации, не защищающие передаваемые данные, более уязвимы для атак типа "человек посередине", подслушивания и перехвата сеанса. Такие атаки могут стать первым шагом в ходе получения доступа к конфиденциальным данным.
Защита данных при использовании
Уменьшите потребность в доверии При запуске рабочих нагрузок в облаке требуется доверие. Вы доверяете всем поставщикам, которые обеспечивают работу разных компонентов приложения.
- Поставщики программного обеспечения приложений: доверие к программному обеспечению путем развертывания локальной среды, использования открытого исходного кода или создания встроенного программного обеспечения приложений.
- Поставщики оборудования: доверяйте оборудованию, используя внутреннее или корпоративное оборудование.
- Поставщики инфраструктуры: доверять облачным поставщикам или управлять собственными локальными центрами обработки данных.
Сокращение поверхности атаки Доверенная вычислительная база (TCB) включает все компоненты оборудования, встроенного ПО и программного обеспечения системы, которые обеспечивают безопасную среду. Компоненты внутри TCB считаются "критически важными". Если один компонент внутри TCB скомпрометирован, безопасность всей системы может быть поставлена под угрозу. Чем меньше доверенная вычислительная база, тем выше безопасность. Это снижает риск воздействия разных уязвимостей, вредоносных программ, атак и злоумышленников.
Конфиденциальные вычисления Azure помогут вам:
- Запрет несанкционированного доступа. Запустите конфиденциальные данные в облаке. Вы можете быть уверены, что Azure обеспечит наилучшую возможную защиту данных, не требуя существенно изменять рабочие процессы.
- Соответствие нормативным требованиям. Миграция в облако и обеспечение полного контроля над данными для удовлетворения нормативных требований для защиты персональных данных и безопасного IP-адреса организации.
- Обеспечение безопасной и недоверенной совместной работы: решение отраслевых проблем путем объединения данных между организациями, даже конкурентами, для разблокировки широкой аналитики данных и получения более глубоких инсайтов.
- Изоляция обработки: предложение новой волны продуктов, которые удаляют ответственность за частные данные с слепой обработкой. Пользовательские данные даже не могут быть получены поставщиком услуг.
Дополнительные сведения о конфиденциальных вычислениях.
Защита электронной почты, документов и конфиденциальных данных
Контролируйте и защищайте электронную почту, документы и конфиденциальные данные, которые вы пересылаете за пределы компании. Azure Information Protection — это облачное решение, помогающее организациям классифицировать, отмечать и защищать документы и сообщения электронной почты. Это можно сделать автоматически с помощью администраторов, которые определяют правила и условия, вручную (самими пользователями) или сочетая два этих подхода, когда пользователи получают рекомендации.
Классификация может быть идентифицирована в любое время, независимо от того, где хранятся данные или с кем они разделяются. Метки включают в себя визуальную маркировку, например верхний и нижний колонтитулы или водяной знак. Метаданные добавляются в файлы и заголовки электронной почты в виде открытого текста. Открытый текст гарантирует, что другие службы, такие как решения для предотвращения потери данных, могут определить классификацию и предпринять соответствующие действия.
Технология защиты использует Azure Rights Management (Azure RMS). Эта технология интегрирована с другими облачными службами и приложениями Майкрософт, такими как Microsoft 365 и идентификатор Microsoft Entra. Эта технология защиты использует политики шифрования, удостоверений и авторизации. Защита, применяемая с помощью Azure RMS, остается в документах и сообщениях электронной почты независимо от расположения внутри организации или вне организации, сетей, файловых серверов и приложений.
Это решение для защиты информации позволяет вам контролировать свои данные, даже если они переданы другим людям. Azure RMS можно также использовать с собственными бизнес-приложениями и решениями по защите информации от поставщиков программного обеспечения независимо от места расположения этих приложений — в локальной или облачной средах.
Примите во внимание следующие рекомендации.
- Разверните Azure Information Protection для вашей организации.
- Примените метки, соответствующие бизнес-требованиям. Например: примените метку с именем "строго конфиденциальный" ко всем документам и электронным письмам, содержащим данные верхнего секрета, для классификации и защиты этих данных. После этого доступ к данным будут иметь только авторизованные пользователи с указанными вами ограничениями.
- Настройте ведение журнала использования для Azure RMS, чтобы отслеживать, как в вашей организации используется служба защиты.
Организации, которые не уделяют достаточно внимания классификации данных и защите файлов, могут быть более уязвимыми к утечкам и несанкционированному использованию данных. Обеспечив надлежащую защиту файлов, можно анализировать потоки данных для лучшего понимания бизнеса, выявления схем опасного поведения, принятия корректирующих мер, отслеживания доступа к документам и т. д.
Следующие шаги
- Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.
- Ознакомьтесь с элементами управления Microsoft Cloud Security Benchmark версии 2 . Защита данных для получения комплексных рекомендаций по обеспечению безопасности данных с помощью сопоставлений политик Azure.
- Узнайте о microsoft Secure Future Initiative (SFI), рекомендациях по внутренней безопасности Майкрософт по защите данных, которые мы также рекомендуем клиентам.
- Ознакомьтесь с развертыванием нулевого доверия для данных, чтобы получить рекомендации по реализации принципов нулевого доверия для защиты данных.