Azure 監視器 SCOM 受控執行個體待用資料加密

Microsoft Azure 包含工具來根據公司的安全性與合規性需求來保護資料。 靜態加密是常見的安全性需求。

在 Azure 中，組織可以在沒有自訂金鑰管理解決方案所帶來之風險或成本的情況下，對待用資料進行加密。 組織可以選擇讓 Azure 完全管理靜態加密。 此外，組織擁有各種選項能密切管理加密或加密金鑰。 如需詳細資訊，請參閱 待用 Azure 資料加密。

本文討論保護各種層級資料的 SCOM 受控執行個體元件。

Azure 待用加密的 SCOM 受控執行個體元件

待用加密的目標是使用秘密加密金鑰來加密磁片上保存的資料。 若要達成該目標，必須提供加密金鑰的安全金鑰建立、儲存體、存取控制和管理。

SCOM 受控執行個體服務不會儲存任何客戶詳細資料。 SCOM 受控執行個體使用不同的持續性儲存體，例如金鑰保存庫、儲存體帳戶和 Cosmos Database 來儲存服務中繼資料。

Azure Key Vault

加密金鑰的儲存位置，以及這些金鑰的存取控制是待用加密模型的核心。 金鑰必須高度安全，但可由指定的使用者管理，且可供特定服務使用。 SCOM 受控執行個體會使用 Azure 金鑰保存庫來儲存服務組態、憑證和秘密。 SCOM 受控執行個體使用 Azure 金鑰保存庫的待用加密功能。

Azure 儲存體帳戶

SCOM 受控執行個體會使用儲存體帳戶來保存服務組態、腳本和 System Center Operations Manager 執行時間位。 它也可用來交換 System Center Operations Manager RP Web 服務和背景工作角色服務之間 SCOM 受控執行個體) 的訊息 (動作。 SCOM 受控執行個體儲存在 Azure 儲存體 Blob/佇列中的中繼資料會使用 256 位 AES 加密。

Cosmos 資料庫

SCOM 受控執行個體使用 RPaaS Cosmos 資料庫來儲存 SCOM 受控執行個體資源詳細資料。 Azure Cosmos 資料庫會在帳戶執行所在的所有區域上使用 AES-256 加密。

計算時加密

雖然 SCOM 受控執行個體不會儲存任何客戶詳細資料，但它會從您的金鑰保存庫秘密取得網域使用者詳細資料。 這些網域使用者詳細資料用於將 System Center Operations Manager 管理伺服器新增至內部部署網域控制站。 若要避免計算時發生任何資料外泄，請使用 VM 擴充功能 AzureDiskEncryption 來加密它。