Säkerhet, styrning och efterlevnad för analys i molnskala
När du planerar analysarkitektur i molnskala bör du vara särskilt uppmärksam på att arkitekturen är robust och säker. Den här artikeln behandlar designkriterier för säkerhet, efterlevnad och styrning för molnskalningsanalys i företagsskala. I den här artikeln beskrivs även designrekommendationer och metodtips för distribution av en analys i molnskala i Azure. Granska säkerhetsstyrning och efterlevnad i företagsskala för att förbereda för styrning av en företagslösning.
Molnlösningar var ursprungligen värd för enskilda, relativt isolerade program. I takt med att fördelarna med molnlösningar blev tydliga fanns arbetsbelastningar i större skala i molnet, till exempel SAP på Azure. Därför blev det viktigt att hantera säkerhet, tillförlitlighet, prestanda och kostnader för regionala distributioner under molntjänsternas livscykel.
Visionen för säkerhet, efterlevnad och styrning för analys i molnskala i Azure är att tillhandahålla verktyg och processer som hjälper dig att minimera risker och fatta effektiva beslut. Azure-landningszonerna definierar säkerhetsstyrnings- och efterlevnadsroller och ansvarsområden.
Analysmönstret i molnskala förlitar sig på flera säkerhetsfunktioner som kan aktiveras i Azure. Dessa funktioner omfattar kryptering, rollbaserad åtkomstkontroll, åtkomstkontrollistor och nätverksbegränsningar.
Rekommendationer för säkerhetsdesign
Både Microsoft och kunder delar ansvaret för säkerheten. En godkänd säkerhetsvägledning finns i Metodtips för cybersäkerhet från Center for Internet Security. Följande avsnitt är rekommendationer för säkerhetsdesign.
Kryptering av vilande data
Vilande datakryptering refererar till kryptering av data eftersom de sparas i lagringen och hanterar säkerhetsriskerna som rör direkt fysisk åtkomst till lagringsmedier. Dar är en kritisk säkerhetskontroll eftersom underliggande data inte kan återställas och inte kan ändras utan dess dekrypteringsnyckel. Dar är ett viktigt lager i den djupgående strategin för Microsofts datacenter. Det finns ofta efterlevnads- och styrningsskäl för att distribuera vilande datakryptering.
Flera Azure-tjänster stöder vilande datakryptering, inklusive Azure Storage och Azure SQL databaser. Även om vanliga begrepp och modeller påverkar utformningen av Azure-tjänster kan varje tjänst tillämpa vilande datakryptering i olika stackskikt eller ha olika krypteringskrav.
Viktigt
Alla tjänster som stöder vilande datakryptering bör ha den aktiverad som standard.
Skydda data under överföring
Data överförs eller flygs när de flyttas från en plats till en annan. Detta kan vara internt, lokalt eller i Azure eller externt, till exempel via Internet till en slutanvändare. Azure erbjuder flera mekanismer, inklusive kryptering, för att hålla data privata under överföring. Dessa mekanismer är:
- Kommunikation via VPN med IPsec/IKE-kryptering.
- Transport Layer Security (TLS) 1.2 eller senare som används av Azure-komponenter som Azure Application Gateway eller Azure Front Door.
- Protokoll som är tillgängliga i Azure Virtual Machines, till exempel Windows IPsec eller SMB.
Kryptering med MACsec (säkerhet för medieåtkomstkontroll), en IEEE-standard på datalänklagret, aktiveras automatiskt för all Azure-trafik mellan Azure-datacenter. Den här krypteringen säkerställer kunddatasekretess och integritet. Mer information finns i Azure-kunddataskydd.
Hantera nycklar och hemligheter
Om du vill styra och hantera diskkrypteringsnycklar och hemligheter för analys i molnskala använder du Azure Key Vault. Key Vault har funktioner för att etablera och hantera SSL/TLS-certifikat. Du kan också skydda hemligheter med maskinvarusäkerhetsmoduler (HSM).
Microsoft Defender for Cloud
Microsoft Defender för molnet ger säkerhetsaviseringar och avancerat skydd mot hot för virtuella datorer, SQL-databaser, containrar, webbprogram, virtuella nätverk med mera.
När du aktiverar Defender för molnet från pris- och inställningsområdet aktiveras följande Microsoft Defender planer samtidigt och ger omfattande skydd för beräknings-, data- och tjänstskikten i din miljö:
- Microsoft Defender för servrar
- Microsoft Defender för App Service
- Microsoft Defender för lagring
- Microsoft Defender for SQL
- Microsoft Defender för Kubernetes
- Microsoft Defender för containerregister
- Microsoft Defender för Key Vault
- Microsoft Defender för Resource Manager
- Microsoft Defender för DNS
Dessa planer förklaras separat i Defender for Cloud-dokumentationen.
Viktigt
Om Defender för molnet är tillgängligt för PaaS-erbjudanden (plattform som en tjänst) bör du aktivera den här funktionen som standard, särskilt för Azure Data Lake Storage konton. Mer information finns i Introduktion till Microsoft Defender för molnet och konfigurera Microsoft Defender för Lagring.
Microsoft Defender for Identity
Microsoft Defender for Identity ingår i erbjudandet för avancerad datasäkerhet, som är ett enhetligt paket för avancerade säkerhetsfunktioner. Microsoft Defender for Identity kan nås och hanteras via Azure Portal.
Viktigt
Aktivera Microsoft Defender for Identity som standard när det är tillgängligt för de PaaS-tjänster som du använder.
Aktivera Microsoft Sentinel
Microsoft Sentinel är en skalbar, molnbaserad siem-lösning (Security Information Event Management) och soAR-lösning (Security Orchestration Automated Response). Microsoft Sentinel tillhandahåller intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar.
Nätverk
Den föreskrivna vyn för analys i molnskala är att använda privata Azure-slutpunkter för alla PaaS-tjänster och inte använda offentliga IP-adresser för alla IaaS-tjänster (infrastruktur som en tjänst). Mer information finns i Nätverk för analys i molnskala.
Designrekommendationer för efterlevnad och styrning
Azure Advisor hjälper dig att få en samlad vy över dina Azure-prenumerationer. Mer information om tillförlitlighet, återhämtning, säkerhet, prestanda, driftseffektivitet och kostnadsrekommendationer finns i Azure Advisor. Följande avsnitt är rekommendationer för efterlevnad och styrningsdesign.
Använd Azure-policy
Azure Policy hjälper till att genomdriva organisationens standarder och utvärdera efterlevnad i stor skala. Via instrumentpanelen för efterlevnad ger den en aggregerad vy över miljöns övergripande tillstånd, med möjlighet att öka detaljnivån i enskilda resurser eller principer.
Azure Policy hjälper dig att uppfylla dina resurser genom massreparation av befintliga resurser och automatisk reparation av nya resurser. Flera inbyggda principer är tillgängliga, till exempel för att begränsa platsen för nya resurser, kräva en tagg och dess värde för resurser, skapa en virtuell dator med en hanterad disk eller framtvinga namngivningsprinciper.
Automatisera distributioner
Du kan spara tid och minska fel genom att automatisera distributioner. Minska distributionskomplexiteten för datalandningszoner och dataprogram från slutpunkt till slutpunkt (som skapar dataprodukter) genom att skapa återanvändbara kodmallar. Detta minimerar tiden för att distribuera eller distribuera om lösningar. Mer information finns i Förstå DevOps-automatisering för analys i molnskala i Azure
Låsa resurser för produktionsarbetsbelastningar
Skapa nödvändiga Azure-resurser för kärndatahantering och datalandningszon i början av projektet. När alla tillägg, flyttningar och ändringar har slutförts och Azure-distributionen är i drift låser du alla resurser. Sedan kan bara en administratör låsa upp eller ändra resurser, till exempel en datakatalog. Mer information finns i Låsa resurser för att förhindra oväntade ändringar.
Implementera rollbaserad åtkomstkontroll
Du kan anpassa rollbaserad åtkomstkontroll (RBAC) för Azure-prenumerationer för att hantera vem som har åtkomst till Azure-resurser, vad de kan göra med dessa resurser och vilka områden de har åtkomst till. Du kan till exempel tillåta teammedlemmar att distribuera kärntillgångar till en datalandningszon, men förhindra att de ändrar någon av nätverkskomponenterna.
Scenarier för efterlevnad och styrning
Följande rekommendationer gäller för olika scenarier för efterlevnad och styrning. De här scenarierna representerar en kostnadseffektiv och skalbar lösning.
| Scenario | Rekommendation |
|---|---|
| Konfigurera en styrningsmodell med vanliga namngivningskonventioner och hämta rapporter baserat på Kostnadsställe. | Använd Azure Policy och taggar för att uppfylla dina krav. |
| Undvik oavsiktlig borttagning av Azure-resurser. | Använd Azure-resurslås för att förhindra oavsiktlig borttagning. |
| Få en samlad vy över affärsmöjlighetsområden för kostnadsoptimering, återhämtning, säkerhet, driftseffektivitet och prestanda för Azure-resurser. | Använd Azure Advisor för att få en samlad vy över SAP på Azure-prenumerationer. |