本文說明資料安全性和加密的最佳做法。
最佳作法是根據共識的意見,並使用目前的 Azure 平台功能及功能集。 意見和技術會隨著時間改變,這篇文章會定期進行更新以反映這些變更。
保護資料
為了保護雲端的資料,您必須考慮資料可能的狀態及如何控制該狀態。 與下列資料狀態有關的 Azure 資料安全性和加密最佳做法:
- 待用:這包括實體媒體 (磁碟或光碟) 上靜態存在的所有資訊儲存物件、容器和類型。
- 傳輸中:資料在元件、位置或程式之間轉送時,稱為在傳輸中。 例如,透過網路、通過服務匯流排 (從內部部署到雲端,反之亦然,包括諸如 ExpressRoute 的混合式連線),或在輸入/輸出過程中轉送。
- 使用中:處理資料時,以專用 AMD 和 Intel 晶片組為基礎的機密計算 VM 會使用硬體受控金鑰將加密的資料保存在記憶體中。
選擇金鑰管理解決方案
保護您的金鑰對於保護雲端中的資料至關重要。
Azure 提供數個不同的服務,以使用 HSM 來保護您的密碼編譯金鑰。 這些產品提供雲端可擴展性和可用性,同時讓您完全控制金鑰。 如需在這些金鑰管理供應專案之間進行選擇的詳細資訊和指引,請參閱如何 選擇正確的 Azure 金鑰管理解決方案。 建議使用 Azure 金鑰保存庫進階版或 Azure 金鑰保存庫受控 HSM 來管理待用金鑰加密。
使用安全工作站來管理
注意
訂用帳戶管理員或擁有者應使用安全存取工作站或特殊權限存取工作站。
因為絕大多數攻擊以終端使用者為目標,端點成為主要攻擊點之一。 入侵端點的攻擊者可以利用使用者的認證,以存取組織的資料。 大部分的端點攻擊可以利用使用者就是其本機工作站的系統管理員的這個事實。
最佳做法:使用安全管理工作站來保護敏感性帳戶、工作和資料。 詳細資料:使用特殊權限存取工作站來縮小工作站的受攻擊面。 這些安全管理工作站有助於減輕其中一些攻擊,確保資料更安全。
最佳做法:確保端點保護。 詳細資料:在用來取用資料的所有裝置上,不論資料位置 (雲端或內部部署),強制執行安全性原則。
保護待用資料
待用資料加密是達到資料隱私性、合規性與資料主權的必要步驟。
最佳實務:在主機上套用加密,以協助保護您的資料。 詳細資料:在 主機上使用加密 - VM 的端對端加密。 主機端加密是虛擬機器的一個功能,透過增強 Azure 磁碟儲存體的伺服器端加密來確保所有暫存磁碟和磁碟快取在靜止時都被加密,並經加密後傳輸至儲存叢集。
大部分的 Azure 服務 (例如 Azure 儲存體和 Azure SQL 資料庫) 預設會加密待用資料。 您可以使用 Azure Key Vault 控管存取和加密資料的金鑰。 若要深入了解,請參閱 Azure 資源提供者加密模型支援。
最佳做法:使用加密以協助降低未經授權存取資料帶來的風險。 詳細資料:在將敏感資料寫入服務之前,先加密服務上的加密。
未強制執行資料加密的組織較容易遭受資料機密性問題。 為符合產業法規,公司必須證明他們十分用心,並使用正確的安全性控制措施以加強其資料安全性。
保護傳輸中資料
保護傳輸中的資料應該是您的資料保護策略中不可或缺的部分。 由於資料會從許多位置來回移動,因此我們通常會建議一律使用 SSL/TLS 通訊協定來交換不同位置的資料。 在某些情況下,建議使用 VPN 來隔離您內部部署和雲端基礎結構之間的整個通訊通道。
對於在內部部署基礎結構與 Azure 之間移動的資料,請考慮適當的防護措施,例如 HTTPS 或 VPN。 當在 Azure 虛擬網路和內部部署位置之間傳送加密流量時,請使用 Azure VPN 閘道。
以下是有關使用 Azure VPN 閘道、SSL/TLS 與 HTTPS 的特定最佳做法。
最佳做法:保護從內部的多個工作站存取 Azure 虛擬網路。 詳細資料:使用站對站 VPN。
最佳做法:從內部的個別工作站存取 Azure 虛擬網路。 詳細資料:使用點對站 VPN。
最佳做法:透過專用高速 WAN 連結來移動較大資料集。 詳細資料:使用 ExpressRoute。 如果您選擇使用 ExpressRoute,您也可以透過使用 SSL/TLS 或其他通訊協定,在應用程式層級加密資料,以提供額外的保護。
最佳做法:透過 Azure 入口網站與 Azure 儲存體互動。 詳細資料:所有交易都透過 HTTPS 進行。 您也可以使用儲存體 REST API 透過 HTTPS 來與 Azure 儲存體互動。
無法保護傳輸中資料的組織比較容易遭受中間人攻擊、竊聽與工作階段劫持。 這些攻擊可能是取得機密資料存取權的第一步。
保護使用中的資料
降低對信任的需求 在雲端上執行工作負載需要信任。 您會將此信任授與不同的提供者,以啟用應用程式的不同元件。
- 應用程式軟體廠商:在內部部署、使用開放原始碼或透過建置內部應用程式軟體,以信任軟體。
- 硬體廠商:使用內部部署硬體或內部硬體來信任硬體。
- 基礎結構提供者:信任雲端提供者或管理您自己的內部部署資料中心。
減少受攻擊面 受信任的運算基礎 (TCB) 指的是可提供安全環境的系統所有硬體、韌體和軟體元件。 TCB 內的元件會被視為「重要」。如果 TCB 內的某個元件遭到入侵,則整個系統的安全性可能會受到危害。 較低的 TCB 表示較高的安全性。 暴露於各種弱點、惡意程式碼、攻擊和惡意人員的風險較低。
Azure 機密運算可在以下方面協助您:
- 預防未經授權的存取:在雲端中執行敏感性資料。 信任 Azure 可提供最佳的資料保護,幾乎不需要從目前所做事中做任何的改變。
- 符合法規合規性:移轉至雲端並保有資料的完全控制權,以符合保護個人資訊及保護組織 IP 的政府法規。
- 保護不受信任的共同作業:透過合併組織間 (甚至是競爭者) 的資料以便解鎖廣泛的資料分析和更深入的見解,來解決整個產業的工作規模問題。
- 隔離處理:提供全新的產品系列,其能透過盲目處理移除對私人資料的責任。 服務提供者甚至無法擷取使用者資料。
深入了解機密運算 (部分機器翻譯)。
保護電子郵件、文件和敏感性資料
您想要控制及保護於公司外部共用的電子郵件、文件及敏感性資料。 Azure 資訊保護是雲端式解決方案,可協助組織將其文件及電子郵件分類、加註標籤及進行保護。 這可由定義規則及條件的管理員自動完成、由使用者手動完成,或是使用者能夠取得建議的組合。
不論資料儲存位置或共同對象為何,隨時都可識別分類。 標籤包含視覺標記,例如頁首、頁尾或浮水印。 中繼資料會以純文字新增至檔案和電子郵件標頭。 純文字可確保其他服務 (例如,防止資料遺失的解決方案) 能夠識別分類並採取適當的動作。
保護技術使用 Azure Rights Management (Azure RMS)。 這項技術是與其他 Microsoft 雲端服務和應用程式進行整合,例如 Microsoft 365 和 Microsoft Entra ID。 此保護技術使用加密、身分識別和授權原則。 透過 Azure RMS 套用的保護,不論位置是組織內部或外部、網路、檔案伺服器或應用程式,都可持續提供文件和電子郵件的保護。
此資訊保護解決方案可讓您控制您的資料,即使資料與其他人共用也是如此。 您也可以將 Azure RMS 與自己的企業營運應用程式和軟體廠商的資訊保護解決方案搭配使用,無論是內部部署還是雲端。
建議您:
- 為您的組織部署 Azure 資訊保護。
- 套用能反映您業務需求的標籤。 例如:將名為「高度機密」的標籤套用於包含極機密資料的所有文件和電子郵件,來分類並保護此資料。 然後,只有授權使用者可以存取此資料,並具有您指定的任何限制。
- 設定 Azure RMS 的使用量記錄,以便監視組織如何使用保護服務。
資料分類和檔案保護較弱的組織可能會更容易遭受資料外泄或資料誤用。 使用適當的檔案保護,您可以分析資料流程,以深入了解您的企業、偵測具風險的行為,並採取更正措施、追蹤文件存取等等。
下一步
如需更多安全性最佳做法,請參閱 Azure 安全性最佳做法與模式,以便在使用 Azure 設計、部署和管理雲端解決方案時使用。
下列資源可提供更多有關 Azure 安全性和相關 Microsoft 服務的一般資訊:
- Azure 安全性小組部落格 - Azure 安全性的最新資訊
- Microsoft 安全性回應中心 -- 可在其中回報 Microsoft 安全性弱點 (包括 Azure 的問題) 或透過電子郵件傳送給 secure@microsoft.com