雲端規模分析的安全性、治理和合規性
規劃雲端規模分析架構時,請特別注意確保架構健全且安全。 本文說明企業級雲端規模分析的安全性、合規性和治理設計準則。 本文也會討論在 Azure 上部署雲端規模分析的設計建議和最佳做法。 請檢閱企業規模的安全性治理和合規性,以完整做好治理企業解決方案的準備。
雲端解決方案最初託管單一、相對隔離的應用程式。 隨著雲端解決方案的優點變得越來越清晰可見,更大規模的工作負載託管於雲端,例如 Azure 上的 SAP。 因此,在雲端服務的整個生命週期中處理區域部署的安全性、可靠性、效能及成本變得至關重要。
雲端規模的分析登陸區域安全性、合規性和 Azure 治理願景是提供工具和程式,協助您將風險降至最低,並做出有效的決策。 Azure 登陸區域會定義安全性治理、合規性角色及責任。
雲端規模分析模式依賴數個可在 Azure 中啟用的安全性功能。 上述功能包括加密、角色型存取控制、存取控制清單以及網路限制。
安全性設計建議
Microsoft 與客戶共同承擔安全性相關責任。 如需已接受的安全性指引,請參閱網際網路安全性中心的網路 安全性最佳做法 。 下列數節為安全性設計建議。
待用資料加密
待用資料加密指的是對於儲存體中保存的資料進行加密,並處理直接實體存取儲存體媒體時所存在的安全性風險。 Dar 是重要的安全性控制措施,因為基礎資料無法復原,而且無法在沒有解密金鑰的情況下變更。 Dar 是 Microsoft 資料中心的深度防禦策略中重要的圖層。 通常,部署待用資料加密是出自於合規性和治理的原因。
有數項 Azure 服務支援待用資料加密,包括 Azure 儲存體以及Azure SQL 資料庫。 即使常見的概念和模型會影響 Azure 服務的設計,每項服務都可以在不同的堆疊圖層套用待用資料加密,或有不同的加密需求。
重要
所有支援待用資料加密的服務應該預設其為 [啟用]。
保護傳輸中的資料安全性
當資料從某個位置移到另一個位置時,資料會處於傳輸中或發行中狀態。 此狀態可以是在內部、內部部署或在 Azure 中,也可以在外部,例如跨網際網路傳輸至終端使用者。 Azure 提供數種機制 (包括加密),使得資料在傳輸時保持私密。 這些機制包括︰
- 使用 IPsec/IKE 加密透過 VPN 進行通訊。
- 傳輸層安全性 (TLS) 1.2 或更新的版本,由 Azure 元件 (例如 Azure 應用程式閘道或 Azure Front Door) 使用。
- Azure 虛擬機器上可用的通訊協定,以 Windows IPsec 或 SMB 為例。
使用 MACsec 進行加密 (媒體存取控制安全性),其為資料連結層的 IEEE 標準,會自動為 Azure 資料中心之間的所有 Azure 流量啟用。 此加密可確保客戶資料的機密性和完整性。 如需詳細資訊,請參閱 Azure 客戶資料保護。
管理金鑰和祕密
若要控制和管理雲端規模分析的磁片加密金鑰和秘密,請使用 Azure 金鑰保存庫。 Key Vault 具有佈建和管理 SSL/TLS 憑證的功能。 您也可以使用硬體安全模組 (HSM) 來保護祕密。
適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可為虛擬機器、SQL 資料庫、容器、Web 應用程式及虛擬交換器等項目提供安全性警示和進階威脅保護。
當您從 [定價和設定] 區域啟用適用於雲端的 Defender 時,下列 Microsoft Defender 方案會同時啟用,並為您環境的計算、資料及服務層提供全面的防護:
- 適用於伺服器的 Microsoft Defender
- 適用於 App Service 的 Microsoft Defender
- 適用於儲存體的 Microsoft Defender
- 適用於 SQL 的 Microsoft Defender
- 適用於 Kubernetes 的 Microsoft Defender
- 適用於容器登錄的 Microsoft Defender
- 適用於 Key Vault 的 Microsoft Defender
- 適用於 Resource Manager 的 Microsoft Defender
- 適用於 DNS 的 Microsoft Defender
上述方案會分別在 [適用於雲端的 Defender] 文件中個別說明。
重要
如果適用於雲端的 Defender 可用於平台即服務 (PaaS) 供應專案,則您應該預設啟用此項功能,特別是針對 Azure Data Lake Storage 帳戶。 如需詳細資訊,請參閱適用於雲端的 Microsoft Defender 簡介和設定適用於儲存體的 Microsoft Defender。
適用於身分識別的 Microsoft Defender
適用於身分識別的 Microsoft Defender 是進階資料安全性供應項目的一部分,該供應項目是進階安全性功能的整合套件。 適用於身分識別的 Microsoft Defender 可透過 Azure 入口網站進行存取及管理。
重要
每當適用於身分識別的 Microsoft Defender 可用於您使用的 PaaS 服務,請預設啟用 Microsoft Defender。
啟用 Microsoft Sentinel
Microsoft Sentinel 是可調整的雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Azure Sentinel 提供整個企業的智慧型安全性分析和威脅情報,並針對警示偵測、威脅可見性、積極式搜捕及回應威脅提供單一解決方案。
網路
指定的雲端規模分析檢視是針對所有 PaaS 服務使用 Azure 私人端點,而不對所有基礎結構即服務使用公用 IP, (IaaS) 服務。 如需詳細資訊,請參閱 雲端規模分析網路功能。
合規性和治理設計建議
Azure Advisor 可協助您在整個 Azure 訂用帳戶上取得統一的觀點。 如需可靠性、復原能力、安全性、效能、傑出營運及成本建議,請諮詢 Azure Advisor。 下列各節提供合規性和治理設計建議。
使用 Azure 原則
Azure 原則有助於強制執行組織標準及大規模評估合規性。 其合規性儀表板會提供彙總檢視,以評估環境的整體狀態,並具有向下切入至每個資源或原則的細微功能。
Azure 原則可透過對現有資源進行大規模補救,以及自動對新資源進行補救來協助您的資源達到合規性。 有數個內建原則可供使用,其中包括:限制新資源的位置、要求對資源使用標籤和其值、使用受控磁碟建立 VM、或強制執行命名原則。
自動部署
您可以藉由自動部署來節省時間並減少錯誤。 藉由建立可重複使用的程式碼範本,減少端對端資料登陸區域和資料應用程式的部署複雜度, (建立資料產品) 。 此步驟可將部署或重新部署解決方案所需的時間降到最低。 如需詳細資訊,請參閱 瞭解 Azure 中的雲端規模分析 DevOps 自動化
為生產工作負載鎖定資源
在您開始著手於專案時,建立必要的核心資料管理和資料登陸區域 Azure 資源。 當所有新增、移動及變更都已完成,且 Azure 部署可正常操作時,請鎖定所有資源。 接下來,只有管理員可以解除鎖定或修改資源 (例如:資料目錄)。 如需詳細資訊,請參閱鎖定資源以防止非預期的變更。
實作角色型存取控制
您可以在 Azure 上自訂角色型存取控制 (RBAC) 以管理可存取 Azure 資源的人員、這些人員如何使用資源、以及其可以進行存取的區域。 例如,您可以允許小組成員將核心資產部署至資料登陸區域,但不允許成員們改變任何網路元件。
合規性與治理案例
下列建議適用於各類合規性和治理案例。 這些案例陳述符合成本效益且可調整的解決方案。
| 案例 | 建議 |
|---|---|
| 請使用標準命名慣例來設定治理模型,並根據成本中心提取報告。 | 請使用 Azure 原則和標記以符合您的需求。 |
| 避免意外刪除 Azure 資源。 | 請使用 Azure 資源鎖定來防止意外刪除。 |
| 取得對於商機領域的統一觀點,其適用於 Azure 資源之成本最佳化、復原、安全性、卓越營運及效能。 | 使用 Azure Advisor 取得 Azure 上整個 SAP 訂用帳戶上的統一觀點。 |
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應