Dela via

Isoleringsriktlinjer för arbetsbelastningar på effektnivå 5

Azure Government stöder program som använder IL5-data (Impact Level 5) i alla tillgängliga regioner. IL5-krav definieras i US Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG). IL5-arbetsbelastningar har en högre grad av påverkan på doD och måste skyddas till en högre standard. När du distribuerar dessa arbetsbelastningar i Azure Government kan du uppfylla deras isoleringskrav på olika sätt. Vägledningen i det här dokumentet handlar om konfigurationer och inställningar som behövs för att uppfylla KRAVEN för IL5-isolering. Vi uppdaterar den här artikeln när vi aktiverar nya isoleringsalternativ och Defense Information Systems Agency (DISA) auktoriserar nya tjänster för IL5-data.

Bakgrund

I januari 2017 tilldelade DISA IL5 Provisional Authorization (PA) till Azure Government, vilket gör det till den första IL5 PA som tilldelats en molnleverantör i hyperskala. PA:n täckte två Azure Government-regioner, US DoD Central och US DoD East (US DoD-regioner) som är dedikerade till DoD. Baserat på feedback från DoD-uppdragsägare och nya säkerhetsfunktioner har Microsoft samarbetat med DISA för att utöka IL5 PA-gränsen i december 2018 för att täcka de återstående Azure Government-regionerna US Gov Arizona, US Gov Texas och US Gov Virginia (US Gov-regioner). Information om tjänsttillgänglighet i Azure Government finns i Produkter som är tillgängliga per region.

Azure Government är tillgängligt för amerikanska federala, statliga, lokala myndigheter och stamregeringar och deras partner. IL5-expansionen till Azure Government uppfyller de isoleringskrav som krävs av DoD. Azure Government fortsätter att tillhandahålla fler PaaS-tjänster som lämpar sig för DoD IL5-arbetsbelastningar än någon annan molntjänstmiljö.

Principer och tillvägagångssätt

Du måste ta itu med två viktiga områden för Azure-tjänster i IL5-omfånget: beräkningsisolering och lagringsisolering. Vi fokuserar i den här artikeln på hur Azure-tjänster kan hjälpa dig att isolera beräknings- och lagringstjänster för IL5-data. SRG möjliggör delad hantering och nätverksinfrastruktur. Den här artikeln fokuserar på azure government-beräknings- och lagringsisoleringsmetoder för regionerna US Gov Arizona, US Gov Texas och US Gov Virginia (US Gov-regioner). Om en Azure-tjänst är tillgänglig i Azure Government DoD-regionerna US DoD Central och US DoD East (US DoD-regioner) och har auktoriserats på IL5 är den som standard lämplig för IL5-arbetsbelastningar utan att det krävs någon extra isoleringskonfiguration. Azure Government DoD-regioner är reserverade för DoD-byråer och deras partner, vilket möjliggör fysisk separation från icke-DoD-klienter avsiktligt. Mer information finns i DoD i Azure Government.

Viktigt!

Du ansvarar för att utforma och distribuera dina program för att uppfylla doD IL5-efterlevnadskrav. När du gör det bör du inte inkludera känslig eller begränsad information i Azure-resursnamn, enligt beskrivningen i Överväganden för namngivning av Azure-resurser.

Beräkningsisolering

IL5-separationskrav anges i avsnitt 5.2.2.3 (sida 51) i Cloud Computing SRG. SRG fokuserar på beräkningsseparation under "bearbetning" av IL5-data. Den här separationen säkerställer att en virtuell dator som potentiellt kan kompromettera den fysiska värddatorn inte kan påverka en DoD-arbetsbelastning. För att undanröja risken för attacker vid körning och säkerställa att långvariga arbetsbelastningar inte komprometteras av andra arbetsbelastningar på samma värd bör alla virtuella IL5-datorer och virtuella maskinens skalningsuppsättningar isoleras av ägare av försvarsdepartementets uppdrag via Azure Dedicated Host eller isolerade virtuella datorer. Detta ger en dedikerad fysisk server som värd för dina virtuella Azure-datorer (VM) för Windows och Linux.

För tjänster där beräkningsprocesserna är dolda från ägarens åtkomst och tillståndslösa i bearbetningen av data, bör du utföra isolering genom att fokusera på de data som bearbetas och hur de lagras och kvarhålls. Den här metoden säkerställer att data lagras i skyddade medier. Det säkerställer också att data inte finns på dessa tjänster under längre perioder om de inte krypteras efter behov.

Lagringsisolering

DoD-kraven för kryptering av vilande data finns i avsnitt 5.11 (sida 122) i Cloud Computing SRG. DoD betonar kryptering av alla vilande data som lagras på virtuella hårddiskar för virtuella datorer, masslagringsanläggningar på block- eller filnivå och databasposter där uppdragsägaren inte har ensam kontroll över databastjänsten. För molnprogram där kryptering av vilande data med DoD-nyckelkontroll inte är möjlig måste uppdragsägarna utföra en riskanalys med relevanta dataägare innan data överförs till ett molntjänsterbjudande.

I en nyligen genomförd PA för Azure Government godkände DISA logisk separation av IL5 från andra data via kryptografiska metoder. I Azure innebär den här metoden datakryptering via nycklar som underhålls i Azure Key Vault och lagras i FIPS 140-verifierade maskinvarusäkerhetsmoduler (HSM). Nycklarna ägs och hanteras av IL5-systemägaren, även kallat kundhanterade nycklar (CMK).

Så här tillämpas den här metoden på tjänster:

  • Om en tjänst endast är värd för IL5-data kan tjänsten styra nyckeln för slutanvändare. Men den måste använda en dedikerad nyckel för att skydda IL5-data från alla andra data i molnet.
  • Om en tjänst är värd för IL5- och icke-DoD-data måste tjänsten exponera alternativet för slutanvändare att använda sina egna krypteringsnycklar som underhålls i Azure Key Vault. Den här implementeringen ger användarna av tjänsten möjlighet att implementera kryptografisk separation efter behov.

Den här metoden säkerställer att allt nyckelmaterial för dekryptering av data lagras separat från själva data med hjälp av en maskinvarubaserad nyckelhanteringslösning.

Tillämpa den här vägledningen

IL5-riktlinjerna kräver att arbetsbelastningar distribueras med hög grad av säkerhet, isolering och kontroll. Följande konfigurationer krävs utöver andra konfigurationer eller kontroller som behövs för att uppfylla IL5-kraven. Nätverksisolering, åtkomstkontroller och andra nödvändiga säkerhetsåtgärder behandlas inte nödvändigtvis i den här artikeln.

Anmärkning

Den här artikeln spårar Azure-tjänster som har tagit emot DoD IL5 PA och som kräver extra konfigurationsalternativ för att uppfylla IL5-isoleringskraven. Tjänster med IL5 PA som inte kräver några extra konfigurationsalternativ nämns inte i den här artikeln. En lista över tjänster som omfattas av DoD IL5 PA i amerikanska regeringsregioner finns i Azure Government-tjänster efter granskningsomfång.

Se till att granska posterna för varje tjänst som du använder och säkerställ att alla isoleringskrav är genomförda.

AI + Machine Learning

Tillgänglighet för AI- och maskininlärningstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Machine Learning

Gjuteri Verktyg: Innehållsmoderator

Foundry Tools: Custom Vision

Foundry-verktyg: Face

Språkförståelse (LUIS)

Language Understanding (LUIS) är en del av Language.

Foundry Tools: Azure OpenAI

Foundry Tools: Personalizer

Gjuteriverktyg: QnA Maker

Azure AI QnA Maker är en del av Language.

Azure Speech i Foundry Tools

Azure Translator i Foundry Tools

Analystik

Tillgänglighet för Analytics-tjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Databricks

Azure-datautforskaren

  • Data i Azure Data Explorer-kluster i Azure skyddas och krypteras som standard med Microsoft-hanterade nycklar. För extra kontroll över krypteringsnycklar kan du ange kundhanterade nycklar som ska användas för datakryptering och hantera kryptering av dina data på lagringsnivå med dina egna nycklar.

Azure HDInsight

  • Azure HDInsight kan distribueras till befintliga lagringskonton som har aktiverat lämplig kryptering av lagringstjänsten, enligt beskrivningen i vägledningen för Azure Storage.
  • Azure HDInsight aktiverar ett databasalternativ för vissa konfigurationer. Se till att rätt databaskonfiguration för transparent datakryptering (TDE) är aktiverad på det alternativ du väljer. Den här processen beskrivs i vägledningen för Azure SQL Database.

Azure Stream Analytics

Azure Synapse Analytics

  • Lägg till transparent datakryptering med kundhanterade nycklar via Azure Key Vault. Mer information finns i Transparent datakryptering i Azure SQL. Anvisningarna för att aktivera den här konfigurationen för Azure Synapse Analytics är samma som instruktionerna för att göra det för Azure SQL Database.

Data Factory

  • Skydda autentiseringsuppgifter för datalager genom att lagra krypterade autentiseringsuppgifter i ett hanterat Data Factory-lager. Data Factory hjälper till att skydda dina autentiseringsuppgifter för datalager genom att kryptera dem med certifikat som hanteras av Microsoft. Mer information om Azure Storage-säkerhet finns i Översikt över Azure Storage-säkerhet. Du kan också lagra datalagrets autentiseringsuppgifter i Azure Key Vault. Data Factory hämtar autentiseringsuppgifterna under körningen av en aktivitet. Mer information finns i Lagra autentiseringsuppgifter i Azure Key Vault.

Event Hubs

Power BI

Räkna ut

Information om tillgänglighet för Beräkningstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget av DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Batch

  • Aktivera användarprenumerationsläge, vilket kräver en Key Vault-instans för korrekt kryptering och nyckellagring. Mer information finns i dokumentationen om batchkontokonfigurationer.

Vm-datorer och VM-skalningsuppsättningar

Du kan använda virtuella Azure-datorer med flera distributionsmedier. Du kan göra det för enskilda virtuella datorer och för virtuella datorer som distribueras via funktionen Skalningsuppsättningar för virtuella Azure-datorer.

Alla virtuella maskiner bör använda diskkryptering för virtuella maskiner eller diskkryptering för virtuella maskiner i skalningsuppsättningar, eller placera virtuella maskindiskar i ett lagringskonto som kan innehålla data på påverkningsnivå 5 enligt beskrivningen i avsnittet Azure Storage.

Viktigt!

När du distribuerar virtuella datorer i Azure Government-regionerna US Gov Arizona, US Gov Texas och US Gov Virginia måste du använda Azure Dedicated Host enligt beskrivningen i nästa avsnitt.

Azure Dedikerad värd

Azure Dedicated Host tillhandahåller fysiska servrar som kan vara värdar för en eller flera virtuella datorer och som är dedikerade till en Azure-prenumeration. Dedikerade värdar är samma fysiska servrar som används i våra datacenter, som tillhandahålls som en resurs. Du kan etablera dedikerade värdar inom en region, tillgänglighetszon och feldomän. Du kan sedan placera virtuella datorer direkt i dina etablerade värdar, oavsett vilken konfiguration som uppfyller dina behov.

Dessa virtuella datorer tillhandahåller den isoleringsnivå som krävs för att stödja IL5-arbetsbelastningar när de distribueras utanför de dedikerade DoD-regionerna. När du använder Dedikerad värd placeras dina virtuella Azure-datorer på en isolerad och dedikerad fysisk server som endast kör organisationens arbetsbelastningar för att uppfylla efterlevnadsriktlinjer och standarder.

Aktuella dedikerade värd-SKU:er (VM-serien och värdtypen) som erbjuder nödvändig beräkningsisolering inkluderar SKU:er i de virtuella datorfamiljer som anges på prissidan Dedikerad värd.

Isolerade virtuella datorer

Skalningsuppsättningar för virtuella maskiner stöds inte för närvarande på Azure Dedicated Host. Men när de specifika typerna av virtuella datorer distribueras, använder de hela den fysiska värden för den virtuella datorn. Isolerade VM-typer kan distribueras via VM-skalningsuppsättningar för att ge korrekt beräkningsisolering med alla fördelar med VM-skalningsuppsättningar redo för användning. När du konfigurerar skalningsuppsättningen väljer du lämplig SKU. Information om hur du krypterar vilande data finns i nästa avsnitt för alternativ för kryptering som kan användas.

Viktigt!

När nya maskinvarugenerationer blir tillgängliga kan vissa typer av virtuella datorer kräva omkonfiguration (skala upp eller migrera till en ny VM SKU) för att säkerställa att de förblir på korrekt dedikerad maskinvara. Mer information finns i Isolering av virtuella datorer i Azure.

Diskkryptering för virtuella datorer

Du kan kryptera lagringen som stöder dessa virtuella datorer på ett av två sätt för att stödja nödvändiga krypteringsstandarder.

Diskkryptering för skalningsuppsättningar för virtuella maskiner

Du kan kryptera diskar som stöder VM-skalningsuppsättningar med hjälp av Azure Disk Encryption.

Behållare

Information om tillgänglighet för containrar i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Kubernetes Service

Containervarianter

  • Azure Container Instances krypterar automatiskt data som är relaterade till dina containrar när de sparas i molnet. Data i containerinstanser krypteras och dekrypteras med 256-bitars AES-kryptering och aktiveras för alla Container Instances-distributioner. Du kan förlita dig på Microsoft-hanterade nycklar för kryptering av dina containerdata, eller så kan du hantera krypteringen med hjälp av dina egna nycklar. Mer information finns i Kryptera distributionsdata.

Register över containrar

Databases

Information om tillgänglighet för databastjänster i Azure Government finns i Produkter tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Cosmos DB

Azure Database for MySQL

  • Med datakryptering med kundhanterade nycklar för Azure Database for MySQL kan du ta med din egen nyckel (BYOK) för dataskydd i vila. Den här krypteringen anges på servernivå. För en viss server används en kundhanterad nyckel, kallad nyckelkrypteringsnyckeln (KEK), för att kryptera datakrypteringsnyckeln (DEK) som används av tjänsten. Mer information finns i Azure Database for MySQL-datakryptering med en kundhanterad nyckel.

Azure-databas för PostgreSQL

Azure Healthcare-API:er (tidigare Azure API för FHIR)

Azure Healthcare-API:er stöder arbetsbelastningar på effektnivå 5 i Azure Government med den här konfigurationen:

Azure SQL Database

SQL Server Stretch Database

Hybrid

Azure Stack Edge

  • Du kan skydda vilande data via lagringskonton eftersom enheten är associerad med ett lagringskonto som används som mål för dina data i Azure. Du kan konfigurera ditt lagringskonto så att det använder datakryptering med kundhanterade nycklar som lagras i Azure Key Vault. Mer information finns i Skydda data i lagringskonton.

Integration

Information om tillgänglighet för integrationstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Service Buss

Sakernas Internet

Information om tillgänglighet för Internet of Things-tjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure IoT Hub

  • Azure IoT Hub tillhandahåller kryptering av vilande data och under överföring. Azure IoT Hub använder Microsoft-hanterade nycklar för att kryptera data.

Hantering och styrning

Information om tillgänglighet för hanterings- och styrningstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång.

Automation

  • Som standard använder ditt Azure Automation-konto Microsoft-hanterade nycklar. Du kan hantera kryptering av säkra tillgångar för ditt Automation-konto med hjälp av dina egna nycklar. När du anger en kundhanterad nyckel på nivån för Automation-kontot används den nyckeln för att skydda och kontrollera åtkomsten till kontokrypteringsnyckeln för Automation-kontot. Mer information finns i Kryptering av säkra tillgångar i Azure Automation.

Azure Hanterade Applikationer

Azure Monitor

Log Analytics

Log Analytics, som är en funktion i Azure Monitor, är avsett att användas för övervakning av hälsotillstånd och status för tjänster och infrastruktur. Övervakningsdata och loggar lagrar främst loggar och mått som genereras av tjänsten. När det används i den här primära kapaciteten stöder Log Analytics arbetsbelastningar på effektnivå 5 i Azure Government utan att det krävs någon extra konfiguration.

Log Analytics kan också användas för att mata in extra kundspecifika loggar. Dessa loggar kan innehålla data som matas in som en del av driften av Microsoft Defender för molnet eller Microsoft Sentinel. Om de inmatade loggarna eller frågorna som skrivs mot dessa loggar kategoriseras som IL5-data bör du konfigurera kundhanterade nycklar (CMK) för dina Log Analytics-arbetsytor och Application Insights-komponenter. När de har konfigurerats krypteras alla data som skickas till dina arbetsytor eller komponenter med din Azure Key Vault-nyckel. Mer information finns i Kundhanterade nycklar i Azure Monitor.

Azure Site Recovery

Microsoft Intune

  • Intune stöder arbetsbelastningar på effektnivå 5 i Azure Government utan att det krävs någon extra konfiguration. Verksamhetsspecifika appar bör utvärderas för IL5-begränsningar innan de laddas upp till Intune-lagring. Intune krypterar program som laddas upp till tjänsten för distribution, men det stöder inte kundhanterade nycklar.

Media

Information om tillgänglighet för Media-tjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Medietjänster

Migration

Information om tillgänglighet för migreringstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Data Box

Azure Migrate

Säkerhet

Tillgänglighet för säkerhetstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Information Protection

Microsoft Sentinel (tidigare Azure Sentinel)

Microsoft Defender för Cloud Apps (tidigare Microsoft Cloud App Security)

Förvaring

Information om tillgänglighet för lagringstjänster i Azure Government finns i Produkter som är tillgängliga per region. En lista över tjänster inom omfånget för DoD IL5 PA finns i Azure Government-tjänster efter granskningsomfång. Vägledningen nedan ges endast för IL5 PA-tjänster som kräver extra konfiguration för att stödja IL5-arbetsbelastningar.

Azure Archive Storage

  • Azure Archive Storage är en nivå av Azure Storage. Det hjälper automatiskt till att skydda vilande data med hjälp av 256-bitars AES-kryptering. Precis som varma och kalla nivåer kan arkivlagring anges på blobnivå. Om du vill aktivera åtkomst till innehållet måste du återställa den arkiverade bloben eller kopiera den till en onlinenivå, vid vilken punkt du kan tillämpa kundhanterade nycklar som är tillgängliga för dina onlinelagringsnivåer. När du skapar ett mållagringskonto för IL5-data i Arkivlagring lägger du till lagringskryptering via kundhanterade nycklar. Mer information finns i Lagringskryptering med Key Vault-hanterade nycklar.
  • Mållagringskontot för Arkivlagring kan finnas i valfri Azure Government-region.

Azure File Sync

Azure HPC-cache

Azure Import/Export

  • Som standard krypterar import-/exporttjänsten data som skrivs till hårddisken för transport. När du skapar ett mållagringskonto för import och export av IL5-data lägger du till lagringskryptering via kundhanterade nycklar. Mer information finns i Lagringskryptering med Key Vault-hanterade nycklar i den här artikeln.
  • Mållagringskontot för import- och källlagringskontot för export kan finnas i valfri Azure Government-region.

Azure NetApp Files

Azure Storage

Azure Storage består av flera datafunktioner: Blob Storage, File Storage, Table Storage och Queue Storage. Blob Storage stöder både standard- och premiumlagring. Premium Storage använder endast SSD:er för att ge snabbaste möjliga prestanda. Lagring innehåller även konfigurationer som ändrar dessa lagringstyper, till exempel frekvent och lågfrekvent för att tillhandahålla lämplig tillgänglighetshastighet för datascenarier.

Blob Storage och File Storage använder alltid kontokrypteringsnyckeln för att kryptera data. Kölagring och Table Storage kan vid behov konfigureras för att kryptera data med kontokrypteringsnyckeln när lagringskontot skapas. Du kan välja att använda kundhanterade nycklar för att kryptera vilande data i alla Azure Storage-funktioner, inklusive Blob, File, Table och Queue Storage. När du använder ett Azure Storage-konto måste du följa stegen nedan för att säkerställa att data skyddas med kundhanterade nycklar.

Lagringskryptering med Key Vault-hanterade nycklar

Om du vill implementera kontroller på effektnivå 5 på ett Azure Storage-konto som körs i Azure Government utanför de dedikerade DoD-regionerna måste du använda kryptering i vila med alternativet för kundhanterad nyckel aktiverat. Det kundhanterade nyckelalternativet kallas även ta med din egen nyckel.

Mer information om hur du aktiverar den här Azure Storage-krypteringsfunktionen finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault.

Anmärkning

När du använder den här krypteringsmetoden måste du aktivera den innan du lägger till innehåll i lagringskontot. Allt innehåll som läggs till innan den kundhanterade nyckeln konfigureras skyddas med Microsoft-hanterade nycklar.

StorSimple

  • För att säkerställa säkerheten och integriteten för data som flyttas till molnet kan du med StorSimple definiera krypteringsnycklar för molnlagring. Du anger krypteringsnyckeln för molnlagring när du skapar en volymcontainer.

Nästa steg

Läs mer om Azure Government:

Börja använda Azure Government:

  • Last updated on