共用方式為


Azure 資料安全性和加密最佳做法 \(部分機器翻譯\)

本文說明資料安全性和加密的最佳做法。

最佳作法是根據共識的意見,並使用目前的 Azure 平台功能及功能集。 意見和技術會隨著時間改變,這篇文章會定期進行更新以反映這些變更。

保護資料

為了保護雲端的資料,您必須考慮資料可能的狀態及如何控制該狀態。 與下列資料狀態有關的 Azure 資料安全性和加密最佳做法:

  • 待用:這包括實體媒體 (磁碟或光碟) 上靜態存在的所有資訊儲存物件、容器和類型。
  • 傳輸中:資料在元件、位置或程式之間轉送時,稱為在傳輸中。 例如,透過網路、通過服務匯流排 (從內部部署到雲端,反之亦然,包括諸如 ExpressRoute 的混合式連線),或在輸入/輸出過程中轉送。
  • 使用中:處理資料時,以專用 AMD 和 Intel 晶片組為基礎的機密計算 VM 會使用硬體受控金鑰將加密的資料保存在記憶體中。

選擇金鑰管理解決方案

保護您的金鑰對於保護雲端中的資料至關重要。

Azure Key Vault 可協助保護雲端應用程式和服務所使用的密碼編譯金鑰和祕密。 金鑰保存庫簡化了金鑰管理程序,並可讓您控管存取和加密資料的金鑰。 開發人員可以在幾分鐘內建立用於開發和測試的金鑰,然後將它們移轉至生產金鑰。 安全性系統管理員可以視需要授與 (和撤銷) 存取金鑰的權限。

您可以使用 Key Vault 建立多個安全容器,稱為保存庫。 這些保存庫由硬體安全模組 (HSM) 所支援。 保存庫藉由集中儲存應用程式祕密,協助減少意外遺失安全性資訊的機會。 金鑰保存庫也會控制和記錄其中所儲存項目的存取權。 Azure Key Vault 可以負責要求和更新傳輸層安全性 (TLS) 憑證。 還帶來功能建立強固的解決方案,以支援憑證生命週期管理。

Azure Key Vault 設計用來支援應用程式金鑰和祕密。 Key Vault 的用意並非作為使用者密碼的存放區。

以下是使用 Key Vault 的安全性最佳做法。

最佳做法:在特定範圍對使用者、群組和應用程式授與存取權。 詳細資料:使用 Azure RBAC 預先定義的角色。 例如,若要授與存取權給使用者管理金鑰保存庫,您會在特定範圍將預先定義的角色 Key Vault 參與者指派給此使用者。 在此案例中,範圍是訂用帳戶、資源群組,或只是特定金鑰保存庫。 如果預先定義的角色不符合需求,您可以定義您自己的角色

最佳做法:控制使用者可以存取什麼。 詳細資料:金鑰保存庫的存取權可透過兩個不同介面來控制︰管理平面和資料平面。 管理平面和資料平面的存取控制在運作上互不相關。

使用 Azure RBAC 控制使用者可以存取的內容。 例如,如果您想要對應用程式授與金鑰保存庫中金鑰的使用權限,您只需要使用金鑰保存庫存取原則對資料平面授與存取權限,此應用程式完全不需要管理平面的存取權。 相反地,如果您想要讓使用者能夠讀取保存庫屬性和標籤,但不讓他擁有金鑰、密碼或憑證的任何存取權,您可以使用 Azure RBAC 對此使用者授與「讀取」權限,但不需要授與資料平面的存取權。

最佳做法:將憑證儲存在金鑰保存庫。 憑證非常重要。 濫用憑證會危及應用程式的安全性或資料的安全性。 詳細資料:部署 Azure VM 時,Azure Resource Manager 可以將儲存在 Azure Key Vault 中的憑證,安全地部署至 VM。 透過為金鑰保存庫設定適當的存取原則,您也控制誰可以存取您的憑證。 另一個優點是您可以在 Azure Key Vault 中的單一位置管理所有憑證。 如需詳細資訊,請參閱從客戶自控金鑰保存庫將憑證部署至 VM

最佳做法:請確定即使刪除金鑰保存庫或金鑰保存庫物件,亦可復原。 詳細資料:可能不慎或惡意刪除金鑰保存庫或金鑰保存庫物件。 啟用金鑰保存庫的虛刪除和清除保護功能,尤其是針對用來加密待用資料的金鑰。 刪除這些金鑰就相當於資料遺失,因此如有需要,您可以復原已刪除的保存庫和保存庫物件。 反覆練習金鑰保存庫復原作業。

注意

如果使用者具有金鑰保存庫管理平面的參與者權限 (Azure RBAC),則可以透過設定金鑰保存庫存取原則,自我授與資料平面的存取權。 建議您嚴格控制擁有金鑰保存庫「參與者」權限的人員,以確保只有獲得授權的人員可以存取和管理您的金鑰保存庫、金鑰、密碼和憑證。

使用安全工作站來管理

注意

訂用帳戶管理員或擁有者應使用安全存取工作站或特殊權限存取工作站。

因為絕大多數攻擊以終端使用者為目標,端點成為主要攻擊點之一。 入侵端點的攻擊者可以利用使用者的認證,以存取組織的資料。 大部分的端點攻擊可以利用使用者就是其本機工作站的系統管理員的這個事實。

最佳做法:使用安全管理工作站來保護敏感性帳戶、工作和資料。 詳細資料:使用特殊權限存取工作站來縮小工作站的受攻擊面。 這些安全管理工作站有助於減輕其中一些攻擊,確保資料更安全。

最佳做法:確保端點保護。 詳細資料:在用來取用資料的所有裝置上,不論資料位置 (雲端或內部部署),強制執行安全性原則。

保護待用資料

待用資料加密是達到資料隱私性、合規性與資料主權的必要步驟。

最佳做法:套用磁碟加密來協助保護資料。 詳細資料:請使用 Linux VM 的 Azure 磁碟加密,或 Windows VM 的 Azure 磁碟加密。 磁碟加密結合業界標準的 Linux dm-crypt 或 Windows BitLocker 功能,為 OS 和資料磁碟提供磁碟區加密。

Azure 儲存體和 Azure SQL Database 預設會加密待用資料,許多服務都提供加密當作選項。 您可以使用 Azure Key Vault 控管存取和加密資料的金鑰。 若要深入了解,請參閱 Azure 資源提供者加密模型支援

最佳做法:使用加密以協助降低未經授權存取資料帶來的風險。 詳細資料:將敏感性資料寫入磁碟機之前將磁碟機加密。

未強制執行資料加密的組織較容易遭受資料機密性問題。 例如,未經授權或惡意使用者可能竊取遭盜用帳戶中的資料,或未經授權存取以純文字格式編碼的資料。 為符合產業法規,公司必須證明他們十分用心,並使用正確的安全性控制措施以加強其資料安全性。

保護傳輸中資料

保護傳輸中的資料應該是您的資料保護策略中不可或缺的部分。 由於資料會從許多位置來回移動,因此我們通常會建議一律使用 SSL/TLS 通訊協定來交換不同位置的資料。 在某些情況下,建議使用 VPN 來隔離您內部部署和雲端基礎結構之間的整個通訊通道。

對於在內部部署基礎結構與 Azure 之間移動的資料,請考慮適當的防護措施,例如 HTTPS 或 VPN。 當在 Azure 虛擬網路和內部部署位置之間傳送加密流量時,請使用 Azure VPN 閘道

以下是有關使用 Azure VPN 閘道、SSL/TLS 與 HTTPS 的特定最佳做法。

最佳做法:保護從內部的多個工作站存取 Azure 虛擬網路。 詳細資料:使用站對站 VPN

最佳做法:從內部的個別工作站存取 Azure 虛擬網路。 詳細資料使用點對站 VPN

最佳做法:透過專用高速 WAN 連結來移動較大資料集。 詳細資料:使用 ExpressRoute。 如果您選擇使用 ExpressRoute,您也可以透過使用 SSL/TLS 或其他通訊協定,在應用程式層級加密資料,以提供額外的保護。

最佳做法:透過 Azure 入口網站與 Azure 儲存體互動。 詳細資料:所有交易都透過 HTTPS 進行。 您也可以使用儲存體 REST API 透過 HTTPS 來與 Azure 儲存體互動。

無法保護傳輸中資料的組織比較容易遭受中間人攻擊竊聽與工作階段劫持。 這些攻擊可能是取得機密資料存取權的第一步。

保護使用中的資料

降低對信任的需求 在雲端上執行工作負載需要信任。 您會將此信任授與不同的提供者,以啟用應用程式的不同元件。

  • 應用程式軟體廠商:在內部部署、使用開放原始碼或透過建置內部應用程式軟體,以信任軟體。
  • 硬體廠商:使用內部部署硬體或內部硬體來信任硬體。
  • 基礎結構提供者:信任雲端提供者或管理您自己的內部部署資料中心。

減少受攻擊面 受信任的運算基礎 (TCB) 指的是可提供安全環境的系統所有硬體、韌體和軟體元件。 TCB 內的元件會被視為「重要」。如果 TCB 內的某個元件遭到入侵,則整個系統的安全性可能會受到危害。 較低的 TCB 表示較高的安全性。 暴露於各種弱點、惡意程式碼、攻擊和惡意人員的風險較低。

Azure 機密運算可在以下方面協助您:

  • 預防未經授權的存取:在雲端中執行敏感性資料。 信任 Azure 可提供最佳的資料保護,幾乎不需要從目前所做事中做任何的改變。
  • 符合法規合規性:移轉至雲端並保有資料的完全控制權,以符合保護個人資訊及保護組織 IP 的政府法規。
  • 保護不受信任的共同作業:透過合併組織間 (甚至是競爭者) 的資料以便解鎖廣泛的資料分析和更深入的見解,來解決整個產業的工作規模問題。
  • 隔離處理:提供全新的產品系列,其能透過盲目處理移除對私人資料的責任。 服務提供者甚至無法擷取使用者資料。

深入了解機密運算 (部分機器翻譯)。

保護電子郵件、文件和敏感性資料

您想要控制及保護於公司外部共用的電子郵件、文件及敏感性資料。 Azure 資訊保護是雲端式解決方案,可協助組織將其文件及電子郵件分類、加註標籤及進行保護。 這可由定義規則及條件的管理員自動完成、由使用者手動完成,或是使用者能夠取得建議的組合。

不論資料儲存位置或共同對象為何,隨時都可識別分類。 標籤包含視覺標記,例如頁首、頁尾或浮水印。 中繼資料會以純文字新增至檔案和電子郵件標頭。 純文字可確保其他服務 (例如,防止資料遺失的解決方案) 能夠識別分類並採取適當的動作。

保護技術使用 Azure Rights Management (Azure RMS)。 這項技術是與其他 Microsoft 雲端服務和應用程式進行整合,例如 Microsoft 365 和 Microsoft Entra ID。 此保護技術使用加密、身分識別和授權原則。 透過 Azure RMS 套用的保護,不論位置是組織內部或外部、網路、檔案伺服器或應用程式,都可持續提供文件和電子郵件的保護。

此資訊保護解決方案可讓您控制您的資料,即使資料與其他人共用也是如此。 您也可以將 Azure RMS 與自己的企業營運應用程式和軟體廠商的資訊保護解決方案搭配使用,無論是內部部署還是雲端。

建議您:

  • 為您的組織部署 Azure 資訊保護
  • 套用能反映您業務需求的標籤。 例如:將名為「高度機密」的標籤套用於包含極機密資料的所有文件和電子郵件,來分類並保護此資料。 然後,只有授權使用者可以存取此資料,並具有您指定的任何限制。
  • 設定 Azure RMS 的使用量記錄,以便監視組織如何使用保護服務。

資料分類和檔案保護較弱的組織可能會更容易遭受資料外泄或資料誤用。 使用適當的檔案保護,您可以分析資料流程,以深入了解您的企業、偵測具風險的行為,並採取更正措施、追蹤文件存取等等。

下一步

如需更多安全性最佳做法,請參閱 Azure 安全性最佳做法與模式,以便在使用 Azure 設計、部署和管理雲端解決方案時使用。

下列資源可提供更多有關 Azure 安全性和相關 Microsoft 服務的一般資訊: