Utforma en konceptuell arkitektur med distributionsmodeller för privata moln och hybridmoln

Slutförd

För klassificerade arbetsbelastningar kan kunder använda Azure-tjänster för att skydda målarbetsbelastningar samtidigt som de minskar identifierade risker. Azure, med Azure Stack Hub och Azure Stack Edge, kan stödja distributionsmodeller för privata moln och hybridmoln, och det är lämpligt för många olika myndighetsarbetsbelastningar som omfattar både oklassificerade och klassificerade data. Följande taxonomi för dataklassificering används i den här enheten: konfidentiell, hemlig och topphemlig. Oklassificerade data ligger utanför den här taxonomi eftersom de inte kräver ytterligare skydd. Liknande dataklassificeringsscheman finns i många länder/regioner.

Azure support for various data classifications.

Informationsgrafiken visar en serie koncentriska ringar som motsvarar azure-stödklassificeringsnivåer. Hubben i bilden är märkt "Topphemlighet – Privat/hybridmoln". Den andra ringen från mitten är märkt "Hemlighet", den tredje ringen från mitten är märkt "Konfidentiellt" och den fjärde ringen från mitten är märkt "Oklassificerad". En pil med etiketten "Microsoft Azure" sträcker sig över den andra, tredje och fjärde ringen (märkt "Secret", "Confidential" respektive "Unclassified"). Överst på pilen finns en Microsoft Azure-ikon.

Distribuera konfidentiella data och arbetsbelastningar

I följande lista identifieras viktiga tekniker och tjänster som kunder kan ha nytta av när de distribuerar konfidentiella data och arbetsbelastningar i Azure:

  • Alla rekommenderade tekniker som används för oklassificerade data, särskilt tjänster som Virtual Network, Microsoft Defender för molnet och Azure Monitor.
  • Offentliga IP-adresser är inaktiverade, vilket endast tillåter trafik via privata anslutningar, inklusive ExpressRoute - och VPN-gateway (Virtual Private Network ).
  • Datakryptering i vila och under överföring rekommenderas med kundhanterade nycklar (CMK) i Azure Key Vault som backas upp av maskinvarusäkerhetsmoduler för flera klientorganisationer (HSM: er) som har FIPS 140-2 Nivå 2-validering.
  • Endast tjänster som stöder VNet-integreringsalternativ är aktiverade. Med virtuella Azure-nätverk kan kunder placera Azure-resurser i ett routbart nätverk som inte kan dirigeras via Internet, som sedan kan anslutas till kundens lokala nätverk med hjälp av VPN-tekniker. VNet-integrering ger webbappar åtkomst till resurser i det virtuella nätverket.
  • Kunder kan använda Azure Private Link för att få åtkomst till Azure PaaS-tjänster via en privat slutpunkt i sitt virtuella nätverk. Den här länken säkerställer att trafiken mellan deras virtuella nätverk och tjänsten färdas över Microsofts globala stamnätverk, vilket eliminerar behovet av att exponera tjänsten för det offentliga Internet.
  • Med Customer Lockbox för Azure kan kunder godkänna/neka begäranden om förhöjd åtkomst för kunddata i supportscenarier. Det är ett tillägg till jit-arbetsflödet (Just-in-Time) som levereras med fullständig granskningsloggning aktiverad.

Azures offentliga molnfunktioner för flera innehavare gör det möjligt för kunderna att uppnå den nivå av isolering, säkerhet och förtroende som krävs för att lagra konfidentiella data. Kunder bör använda Microsoft Defender för molnet och Azure Monitor för att få insyn i sina Azure-miljöer, inklusive säkerhetsstatus.

Distribuera hemliga data och arbetsbelastningar

I följande lista identifieras viktiga tekniker och tjänster som kunder kan ha nytta av när de distribuerar hemliga data och arbetsbelastningar i Azure:

  • Alla rekommenderade tekniker som används för konfidentiella data.
  • Använd Azure Key Vault Managed HSM, som tillhandahåller en fullständigt hanterad HSM med hög tillgänglighet för en klientorganisation som en tjänst som använder FIPS 140-2 Level 3-verifierade HSM:er. Varje Hanterad HSM-instans är bunden till en separat säkerhetsdomän som kontrolleras av kunden och isoleras kryptografiskt från instanser som tillhör andra kunder.
  • Azure Dedicated Host tillhandahåller fysiska servrar som kan vara värdar för en eller flera virtuella Azure-datorer och som är dedikerade till en Azure-prenumeration. Kunder kan etablera dedikerade värdar inom en region, tillgänglighetszon och feldomän. De kan sedan placera virtuella datorer direkt i de dedikerade värdarna med den konfiguration som bäst uppfyller deras behov. Dedikerad värd tillhandahåller maskinvaruisolering på fysisk servernivå så att kunderna kan placera sina virtuella Azure-datorer på en isolerad och dedikerad fysisk server som endast kör organisationens arbetsbelastningar för att uppfylla företagets efterlevnadskrav.
  • Accelererat FPGA-nätverk baserat på Azure SmartNICs gör det möjligt för kunder att avlasta värdnätverk till dedikerad maskinvara, vilket möjliggör tunneltrafik för virtuella nätverk, säkerhet och belastningsutjämning. Om du avlastar nätverkstrafik till ett dedikerat chip förhindrar du sidokanalattacker på huvudprocessorn.
  • Konfidentiell databehandling i Azure erbjuder kryptering av data medan de används, vilket säkerställer att data alltid kontrolleras av kunden. Data skyddas i en maskinvarubaserad betrodd körningsmiljö (TEE, även kallat enklaver), och det finns inget sätt att visa data eller åtgärder utanför enklaven.
  • Just-in-time-åtkomst (JIT) för virtuella datorer (VM) kan användas för att låsa inkommande trafik till virtuella Azure-datorer genom att skapa regler för nätverkssäkerhetsgrupp (NSG). Kunden väljer portar på den virtuella datorn som är låsta för inkommande trafik. När en användare begär åtkomst till en virtuell dator kontrollerar Microsoft Defender för molnet att användaren har rätt behörigheter för rollbaserad åtkomstkontroll (RBAC).

För att hantera hemliga data i azures offentliga moln för flera innehavare kan kunderna distribuera fler tekniker och tjänster utöver de som används för konfidentiella data. De kan också begränsa sina tjänster till tjänster som ger tillräcklig isolering. Dessa tjänster erbjuder isoleringsalternativ vid körning och stöder datakryptering i vila. De använder kundhanterade nycklar i dedikerade HSM:er för enskild klientorganisation som endast kontrolleras av kunden.

Distribuera topphemliga data och arbetsbelastningar

I följande lista identifieras nyckelaktivering av produkter som kunder kan ha nytta av när de distribuerar topphemliga data och arbetsbelastningar i Azure:

  • Använd alla rekommenderade tekniker för hemliga data.
  • Med Azure Stack Hub kan kunder köra arbetsbelastningar med samma arkitektur och API:er som i Azure samtidigt som de har ett fysiskt isolerat nätverk för sina högsta klassificeringsdata.
  • Azure Stack Edge tillåter lagring och bearbetning av de högsta klassificeringsdata, men gör det också möjligt för kunder att ladda upp resulterande information eller modeller direkt till Azure. Den här metoden skapar en sökväg för informationsdelning mellan domäner som gör det enklare och säkrare.
  • Taktisk Azure Stack Hub hanterar taktiska gränsdistributioner för begränsad eller ingen anslutning, helt mobila krav, hårda förhållanden som kräver militära specifikationslösningar och så vidare.
  • Med hjälp av maskinvarusäkerhetsmoduler (HSM) kan kunder lagra sina krypteringsnycklar och andra hemligheter i HSM:er som distribueras lokalt och kontrolleras enbart av kunder.

För att kunna ta emot topphemliga data krävs vanligtvis en frånkopplad miljö, vilket är vad Azure Stack Hub tillhandahåller. Azure Stack Hub kan köras frånkopplat från Azure eller Internet. Även om "luftgapade" nätverk inte nödvändigtvis ökar säkerheten, kan många regeringar vara ovilliga att lagra data med den här klassificeringen i en internetansluten miljö. Azure erbjuder en oöverträffad mängd offentliga, privata och hybridmolndistributionsmodeller för att hantera varje kunds problem med kontrollen av deras data.

Nu ska vi gå igenom vad du har lärt dig med en kunskapstest.