Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)-ESG跨境

Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)

Azure 數(shù)據(jù)安全與加密最佳做法

本文介紹了針對(duì)數(shù)據(jù)安全和加密的最佳做法。

最佳做法以觀點(diǎn)的共識(shí)以及Azure平臺(tái)功能和特性集為基礎(chǔ)。觀點(diǎn)和技術(shù)將隨著時(shí)間改變，本文會(huì)定期更新以反映這些更改。

保護(hù)數(shù)據(jù)

為了幫助保護(hù)云中的數(shù)據(jù)，需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控件。Azure數(shù)據(jù)安全與加密的最佳做法與以下數(shù)據(jù)狀態(tài)相關(guān)：

靜態(tài)：包括物理媒體（磁盤(pán)或光盤(pán)）上以靜態(tài)方式存在的所有信息存儲(chǔ)對(duì)象、容器和類(lèi)型。

傳輸中：在各組件、位置或程序間傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)處于“傳輸中”狀態(tài)。例如通過(guò)網(wǎng)絡(luò)、通過(guò)服務(wù)總線（從本地到云，反之亦然，包括諸如ExpressRoute的混合連接）進(jìn)行傳輸，或在輸入/輸出過(guò)程。

選擇密鑰管理解決方案

保護(hù)密鑰對(duì)保護(hù)云中的數(shù)據(jù)至關(guān)重要。

Azure Key Vault可幫助保護(hù)云應(yīng)用程序和服務(wù)使用的加密密鑰和機(jī)密。密鑰保管庫(kù)簡(jiǎn)化了密鑰管理過(guò)程，可讓你控制用于訪問(wèn)和加密數(shù)據(jù)的密鑰。開(kāi)發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開(kāi)發(fā)和測(cè)試的密鑰，然后將其遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予（和吊銷(xiāo)）密鑰權(quán)限。

可以使用Key Vault創(chuàng)建多個(gè)安全容器（稱為保管庫(kù)）。這些保管庫(kù)受HSM支持。保管庫(kù)可以集中存儲(chǔ)應(yīng)用程序機(jī)密，降低安全信息意外丟失的可能性。Key vault還控制并記錄外界對(duì)其所存儲(chǔ)內(nèi)容的訪問(wèn)。Azure Key Vault負(fù)責(zé)處理傳輸層安全性(TLS)證書(shū)的請(qǐng)求和續(xù)訂事宜。它為可靠的證書(shū)生命周期管理解決方案提供相關(guān)功能。

Azure Key Vault旨在支持應(yīng)用程序密鑰和機(jī)密。Key Vault不應(yīng)用于存儲(chǔ)用戶密碼。

以下是使用Key Vaul的安全最佳做法。

最佳做法：向特定范圍內(nèi)的用戶、組和應(yīng)用程序授予訪問(wèn)權(quán)限。

詳細(xì)信息：使用Azure RBAC預(yù)定義角色。例如，要向用戶授予管理密鑰保管庫(kù)的訪問(wèn)權(quán)限，需要將預(yù)定義的角色密鑰保管庫(kù)參與者分配給位于特定范圍內(nèi)的此用戶。在此情況下，該范圍可以是訂閱、資源組，或只是特定的密鑰保管庫(kù)。如果預(yù)定義角色不符合需求，可以定義自己的角色。

最佳做法：控制用戶有權(quán)訪問(wèn)的內(nèi)容。

詳細(xì)信息：可通過(guò)以下兩個(gè)獨(dú)立接口來(lái)控制對(duì)密鑰保管庫(kù)的訪問(wèn)：管理平面和數(shù)據(jù)平面。管理平面訪問(wèn)控制與數(shù)據(jù)平面訪問(wèn)控制相互獨(dú)立。

使用Azure RBAC控制用戶有權(quán)訪問(wèn)的內(nèi)容。例如，如果想要授予應(yīng)用程序使用密鑰保管庫(kù)中的密鑰的訪問(wèn)權(quán)限，只需使用密鑰保管庫(kù)訪問(wèn)策略授予數(shù)據(jù)平面訪問(wèn)權(quán)限，而無(wú)需授予此應(yīng)用程序的管理平面訪問(wèn)權(quán)限。相反，如果你希望用戶能夠讀取保管庫(kù)屬性和標(biāo)記，但不能訪問(wèn)密鑰、機(jī)密或證書(shū)，則可以使用Azure RBAC向此用戶授予讀取訪問(wèn)權(quán)限，而不需要訪問(wèn)數(shù)據(jù)平面。

最佳做法：將證書(shū)存儲(chǔ)在Key Vault中。證書(shū)的價(jià)值很高。如果落入他人之手，應(yīng)用程序或數(shù)據(jù)的安全性可能會(huì)受到損害。

詳細(xì)信息：Azure資源管理器可以在部署VM時(shí)，將存儲(chǔ)在Azure Key Vault中的證書(shū)安全地部署到Azure VM。通過(guò)為密鑰保管庫(kù)設(shè)置適當(dāng)?shù)脑L問(wèn)策略，還可以控制有權(quán)訪問(wèn)證書(shū)的人員。另一個(gè)好處是，可以在Azure Key Vault中的一個(gè)位置管理所有證書(shū)。有關(guān)詳細(xì)信息，請(qǐng)參閱將證書(shū)從客戶托管的Key Vault部署到VM。

最佳做法：確?？梢曰謴?fù)刪除的Key Vault或Key Vault對(duì)象。

詳細(xì)信息：刪除Key Vault或Key Vault對(duì)象可以是無(wú)意或惡意的。啟用Key Vault的軟刪除和清除保護(hù)功能，尤其是對(duì)用于加密靜態(tài)數(shù)據(jù)的密鑰。刪除這些密鑰相當(dāng)于丟失數(shù)據(jù)，因此可以在需要時(shí)恢復(fù)已刪除的保管庫(kù)和保管庫(kù)對(duì)象。定期練習(xí)Key Vault恢復(fù)操作。

備注

如果用戶具有對(duì)密鑰保管庫(kù)管理平面(Azure RBAC)的參與者權(quán)限，則他們可以通過(guò)設(shè)置密鑰保管庫(kù)訪問(wèn)策略來(lái)授予對(duì)數(shù)據(jù)平面的訪問(wèn)權(quán)限。建議嚴(yán)格控制具有密鑰保管庫(kù)“參與者”權(quán)限的人員，以確保只有獲得授權(quán)的人員可以訪問(wèn)和管理密鑰保管庫(kù)、密鑰、機(jī)密和證書(shū)。

使用安全工作站進(jìn)行管理

備注

訂閱管理員或所有者應(yīng)使用安全訪問(wèn)工作站或特權(quán)訪問(wèn)工作站。

因?yàn)榻^大多數(shù)的攻擊以最終用戶為目標(biāo)，所以終結(jié)點(diǎn)將成為主要攻擊點(diǎn)之一。入侵終結(jié)點(diǎn)的攻擊者可以使用用戶的憑據(jù)來(lái)訪問(wèn)組織的數(shù)據(jù)。大多數(shù)終結(jié)點(diǎn)攻擊都利用了用戶是其本地工作站的管理員這一事實(shí)。

最佳做法：使用安全管理工作站來(lái)保護(hù)敏感帳戶、任務(wù)和數(shù)據(jù)。

詳細(xì)信息：使用特權(quán)訪問(wèn)工作站來(lái)減小工作站的受攻擊面。這些安全管理工作站可幫助減輕其中一些攻擊，以確保數(shù)據(jù)更為安全。

最佳做法：確保終結(jié)點(diǎn)受保護(hù)。

詳細(xì)信息：在用于使用數(shù)據(jù)的所有設(shè)備上強(qiáng)制實(shí)施安全策略（無(wú)論數(shù)據(jù)位于云中還是本地）。

保護(hù)靜止的數(shù)據(jù)

靜態(tài)數(shù)據(jù)加密是實(shí)現(xiàn)數(shù)據(jù)隱私性、符合性和數(shù)據(jù)主權(quán)的必要措施。

最佳做法：使用磁盤(pán)加密來(lái)幫助保護(hù)數(shù)據(jù)。

詳細(xì)信息：使用Azure磁盤(pán)加密。它使IT管理員能夠加密Windows和Linux IaaS VM磁盤(pán)。磁盤(pán)加密利用符合行業(yè)標(biāo)準(zhǔn)的Windows BitLocker功能和Linux dmcrypt功能為OS和數(shù)據(jù)磁盤(pán)提供卷加密。

Azure存儲(chǔ)和Azure SQL數(shù)據(jù)庫(kù)默認(rèn)對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密，并且許多服務(wù)都將加密作為選項(xiàng)提供?？梢允褂肁zure Key Vault來(lái)持續(xù)控制用于訪問(wèn)和加密數(shù)據(jù)的密鑰。有關(guān)詳細(xì)信息，請(qǐng)參閱Azure資源提供程序加密模型支持。

最佳做法：使用加密來(lái)幫助降低與未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)。

詳細(xì)信息：在將敏感數(shù)據(jù)寫(xiě)入驅(qū)動(dòng)器之前先將驅(qū)動(dòng)器加密。

未實(shí)施數(shù)據(jù)加密的組織面臨的數(shù)據(jù)保密性問(wèn)題風(fēng)險(xiǎn)更大。例如，未經(jīng)授權(quán)的用戶或惡意用戶可能會(huì)竊取已入侵帳戶中的數(shù)據(jù)，或者未經(jīng)授權(quán)訪問(wèn)以明文格式編碼的數(shù)據(jù)。公司還必須證明，為了遵守行業(yè)法規(guī)，他們?cè)诓粩嘧鞒鱿鄳?yīng)努力并使用正確的安全控件來(lái)增強(qiáng)其數(shù)據(jù)安全性。

保護(hù)傳輸中的數(shù)據(jù)

保護(hù)傳輸中的數(shù)據(jù)應(yīng)該是數(shù)據(jù)保護(hù)策略中不可或缺的部分。由于數(shù)據(jù)在許多位置間來(lái)回移動(dòng)，因此，通常建議始終使用SSL/TLS協(xié)議在不同位置間交換數(shù)據(jù)。在某些情況下，可以使用VPN隔離本地與云基礎(chǔ)結(jié)構(gòu)之間的整個(gè)信道。

對(duì)于在本地基礎(chǔ)結(jié)構(gòu)與Azure之間移動(dòng)的數(shù)據(jù)，請(qǐng)考慮適當(dāng)?shù)姆雷o(hù)措施，例如HTTPS或VPN。通過(guò)公共internet在Azure虛擬網(wǎng)絡(luò)與本地位置之間發(fā)快遞加密流量時(shí)，請(qǐng)使用AZURE VPN網(wǎng)關(guān)。

以下是特定于使用Azure VPN網(wǎng)關(guān)、SSL/TLS和HTTPS的最佳做法。

最佳做法：從位于本地的多個(gè)工作站安全訪問(wèn)Azure虛擬網(wǎng)絡(luò)。

詳細(xì)信息：使用站點(diǎn)到站點(diǎn)VPN。

最佳做法：從位于本地的單個(gè)工作站安全訪問(wèn)Azure虛擬網(wǎng)絡(luò)。

詳細(xì)信息：使用點(diǎn)到站點(diǎn)VPN。

最佳做法：通過(guò)專(zhuān)用高速WAN鏈路移動(dòng)大型數(shù)據(jù)集。

詳細(xì)信息：使用ExpressRoute。如果選擇使用ExpressRoute，則還可以使用SSL/TLS或其他協(xié)議在應(yīng)用程序級(jí)別加密數(shù)據(jù)，以提供額外的保護(hù)。

最佳做法：通過(guò)Azure門(mén)戶與Azure存儲(chǔ)交互。

詳細(xì)信息：所有事務(wù)都通過(guò)HTTPS進(jìn)行。也可通過(guò)HTTPS使用存儲(chǔ)REST API與Azure存儲(chǔ)進(jìn)行交互。

無(wú)法保護(hù)傳輸中數(shù)據(jù)的組織更容易遭受中間人攻擊、竊聽(tīng)和會(huì)話劫持。這些攻擊可能是獲取機(jī)密數(shù)據(jù)訪問(wèn)權(quán)限的第一步。

保護(hù)電子郵件、文檔和敏感數(shù)據(jù)

你希望控制并幫助保護(hù)在公司外部共享的電子郵件、文檔和敏感數(shù)據(jù)。Azure信息保護(hù)是基于云的解決方案，可幫助組織對(duì)其文檔和電子郵件進(jìn)行分類(lèi)、標(biāo)記和保護(hù)。這可以由定義了規(guī)則和條件的管理員自動(dòng)執(zhí)行、由用戶手動(dòng)執(zhí)行，或者以組合方式執(zhí)行，在組合方式中，用戶可獲得建議。

分類(lèi)始終是可標(biāo)識(shí)的，而無(wú)論數(shù)據(jù)的存儲(chǔ)位置或數(shù)據(jù)的共享人員。標(biāo)簽包括視覺(jué)標(biāo)記，如頁(yè)眉、頁(yè)腳或水印。元數(shù)據(jù)以明文形式添加到文件和電子郵件標(biāo)題中。明文形式確保其他服務(wù)（如防止數(shù)據(jù)丟失的解決方案）可以識(shí)別分類(lèi)并采取相應(yīng)的操作。

保護(hù)技術(shù)使用Azure Rights Management(Azure RMS)。此技術(shù)與其他Microsoft云服務(wù)和應(yīng)用程序（如Microsoft 365和Azure Active Directory）相集成。此保護(hù)技術(shù)使用加密、標(biāo)識(shí)和授權(quán)策略。通過(guò)Azure RMS應(yīng)用的保護(hù)與文檔和電子郵件保留在一起，不受位置影響，也無(wú)論是在組織、網(wǎng)絡(luò)、文件服務(wù)器和應(yīng)用程序內(nèi)部還是外部。

此信息保護(hù)解決方案可用于控制數(shù)據(jù)，即使是與他人共享的數(shù)據(jù)，也可控制。還可以將Azure RMS用于自己的業(yè)務(wù)線應(yīng)用程序和軟件供應(yīng)商提供的信息保護(hù)解決方案，而無(wú)論這些應(yīng)用程序和解決方案是在本地還是在云中。

建議：

為組織部署Azure信息保護(hù)。

應(yīng)用可反映業(yè)務(wù)需求的標(biāo)簽。例如：將名為“高度機(jī)密”的標(biāo)簽應(yīng)用于包含絕密數(shù)據(jù)的所有文檔和電子郵件，以對(duì)這些數(shù)據(jù)進(jìn)行分類(lèi)和保護(hù)。然后，只有授權(quán)的用戶才能訪問(wèn)此數(shù)據(jù)，并具有指定的任何限制。

配置Azure RMS的使用情況日志記錄，以便監(jiān)視組織使用保護(hù)服務(wù)的方式。

數(shù)據(jù)分類(lèi)和文件保護(hù)能力不佳的組織可能更容易遭到數(shù)據(jù)泄漏或數(shù)據(jù)濫用。使用適當(dāng)?shù)奈募Ｗo(hù)，可以分析數(shù)據(jù)流，以深入了解業(yè)務(wù)、檢測(cè)風(fēng)險(xiǎn)行為并采取糾正措施、跟蹤對(duì)文檔的訪問(wèn)等等。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。