Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)-ESG跨境

Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)

來源網(wǎng)絡(luò)
來源網(wǎng)絡(luò)
2022-05-31
點贊icon 0
查看icon 613

Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)Azure 數(shù)據(jù)安全與加密最佳做法本文介紹了針對數(shù)據(jù)安全和加密的最佳做法。最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。觀點和技術(shù)將隨著時間改變,本文會定期更新以反映這些更改。保護(hù)數(shù)據(jù)為了幫助保護(hù)云中的數(shù)據(jù),需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控......

Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)




Azure 數(shù)據(jù)安全與加密最佳做法

本文介紹了針對數(shù)據(jù)安全和加密的最佳做法。

最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。觀點和技術(shù)將隨著時間改變,本文會定期更新以反映這些更改。

保護(hù)數(shù)據(jù)

為了幫助保護(hù)云中的數(shù)據(jù),需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控件。Azure數(shù)據(jù)安全與加密的最佳做法與以下數(shù)據(jù)狀態(tài)相關(guān):

靜態(tài):包括物理媒體(磁盤或光盤)上以靜態(tài)方式存在的所有信息存儲對象、容器和類型。

傳輸中:在各組件、位置或程序間傳輸數(shù)據(jù)時,數(shù)據(jù)處于“傳輸中”狀態(tài)。例如通過網(wǎng)絡(luò)、通過服務(wù)總線(從本地到云,反之亦然,包括諸如ExpressRoute的混合連接)進(jìn)行傳輸,或在輸入/輸出過程。

選擇密鑰管理解決方案

保護(hù)密鑰對保護(hù)云中的數(shù)據(jù)至關(guān)重要。

Azure Key Vault可幫助保護(hù)云應(yīng)用程序和服務(wù)使用的加密密鑰和機(jī)密。密鑰保管庫簡化了密鑰管理過程,可讓你控制用于訪問和加密數(shù)據(jù)的密鑰。開發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開發(fā)和測試的密鑰,然后將其遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予(和吊銷)密鑰權(quán)限。

可以使用Key Vault創(chuàng)建多個安全容器(稱為保管庫)。這些保管庫受HSM支持。保管庫可以集中存儲應(yīng)用程序機(jī)密,降低安全信息意外丟失的可能性。Key vault還控制并記錄外界對其所存儲內(nèi)容的訪問。Azure Key Vault負(fù)責(zé)處理傳輸層安全性(TLS)證書的請求和續(xù)訂事宜。它為可靠的證書生命周期管理解決方案提供相關(guān)功能。

Azure Key Vault旨在支持應(yīng)用程序密鑰和機(jī)密。Key Vault不應(yīng)用于存儲用戶密碼。

以下是使用Key Vaul的安全最佳做法。

最佳做法:向特定范圍內(nèi)的用戶、組和應(yīng)用程序授予訪問權(quán)限。

詳細(xì)信息:使用Azure RBAC預(yù)定義角色。例如,要向用戶授予管理密鑰保管庫的訪問權(quán)限,需要將預(yù)定義的角色密鑰保管庫參與者分配給位于特定范圍內(nèi)的此用戶。在此情況下,該范圍可以是訂閱、資源組,或只是特定的密鑰保管庫。如果預(yù)定義角色不符合需求,可以定義自己的角色。

最佳做法:控制用戶有權(quán)訪問的內(nèi)容。

詳細(xì)信息:可通過以下兩個獨立接口來控制對密鑰保管庫的訪問:管理平面和數(shù)據(jù)平面。管理平面訪問控制與數(shù)據(jù)平面訪問控制相互獨立。

使用Azure RBAC控制用戶有權(quán)訪問的內(nèi)容。例如,如果想要授予應(yīng)用程序使用密鑰保管庫中的密鑰的訪問權(quán)限,只需使用密鑰保管庫訪問策略授予數(shù)據(jù)平面訪問權(quán)限,而無需授予此應(yīng)用程序的管理平面訪問權(quán)限。相反,如果你希望用戶能夠讀取保管庫屬性和標(biāo)記,但不能訪問密鑰、機(jī)密或證書,則可以使用Azure RBAC向此用戶授予讀取訪問權(quán)限,而不需要訪問數(shù)據(jù)平面。

最佳做法:將證書存儲在Key Vault中。證書的價值很高。如果落入他人之手,應(yīng)用程序或數(shù)據(jù)的安全性可能會受到損害。

詳細(xì)信息:Azure資源管理器可以在部署VM時,將存儲在Azure Key Vault中的證書安全地部署到Azure VM。通過為密鑰保管庫設(shè)置適當(dāng)?shù)脑L問策略,還可以控制有權(quán)訪問證書的人員。另一個好處是,可以在Azure Key Vault中的一個位置管理所有證書。有關(guān)詳細(xì)信息,請參閱將證書從客戶托管的Key Vault部署到VM。

最佳做法:確??梢曰謴?fù)刪除的Key Vault或Key Vault對象。

詳細(xì)信息:刪除Key Vault或Key Vault對象可以是無意或惡意的。啟用Key Vault的軟刪除和清除保護(hù)功能,尤其是對用于加密靜態(tài)數(shù)據(jù)的密鑰。刪除這些密鑰相當(dāng)于丟失數(shù)據(jù),因此可以在需要時恢復(fù)已刪除的保管庫和保管庫對象。定期練習(xí)Key Vault恢復(fù)操作。

備注

如果用戶具有對密鑰保管庫管理平面(Azure RBAC)的參與者權(quán)限,則他們可以通過設(shè)置密鑰保管庫訪問策略來授予對數(shù)據(jù)平面的訪問權(quán)限。建議嚴(yán)格控制具有密鑰保管庫“參與者”權(quán)限的人員,以確保只有獲得授權(quán)的人員可以訪問和管理密鑰保管庫、密鑰、機(jī)密和證書。

使用安全工作站進(jìn)行管理

備注

訂閱管理員或所有者應(yīng)使用安全訪問工作站或特權(quán)訪問工作站。

因為絕大多數(shù)的攻擊以最終用戶為目標(biāo),所以終結(jié)點將成為主要攻擊點之一。入侵終結(jié)點的攻擊者可以使用用戶的憑據(jù)來訪問組織的數(shù)據(jù)。大多數(shù)終結(jié)點攻擊都利用了用戶是其本地工作站的管理員這一事實。

最佳做法:使用安全管理工作站來保護(hù)敏感帳戶、任務(wù)和數(shù)據(jù)。

詳細(xì)信息:使用特權(quán)訪問工作站來減小工作站的受攻擊面。這些安全管理工作站可幫助減輕其中一些攻擊,以確保數(shù)據(jù)更為安全。

最佳做法:確保終結(jié)點受保護(hù)。

詳細(xì)信息:在用于使用數(shù)據(jù)的所有設(shè)備上強(qiáng)制實施安全策略(無論數(shù)據(jù)位于云中還是本地)。

保護(hù)靜止的數(shù)據(jù)

靜態(tài)數(shù)據(jù)加密是實現(xiàn)數(shù)據(jù)隱私性、符合性和數(shù)據(jù)主權(quán)的必要措施。

最佳做法:使用磁盤加密來幫助保護(hù)數(shù)據(jù)。

詳細(xì)信息:使用Azure磁盤加密。它使IT管理員能夠加密Windows和Linux IaaS VM磁盤。磁盤加密利用符合行業(yè)標(biāo)準(zhǔn)的Windows BitLocker功能和Linux dmcrypt功能為OS和數(shù)據(jù)磁盤提供卷加密。

Azure存儲和Azure SQL數(shù)據(jù)庫默認(rèn)對靜態(tài)數(shù)據(jù)進(jìn)行加密,并且許多服務(wù)都將加密作為選項提供??梢允褂肁zure Key Vault來持續(xù)控制用于訪問和加密數(shù)據(jù)的密鑰。有關(guān)詳細(xì)信息,請參閱Azure資源提供程序加密模型支持。

最佳做法:使用加密來幫助降低與未經(jīng)授權(quán)訪問數(shù)據(jù)相關(guān)的風(fēng)險。

詳細(xì)信息:在將敏感數(shù)據(jù)寫入驅(qū)動器之前先將驅(qū)動器加密。

未實施數(shù)據(jù)加密的組織面臨的數(shù)據(jù)保密性問題風(fēng)險更大。例如,未經(jīng)授權(quán)的用戶或惡意用戶可能會竊取已入侵帳戶中的數(shù)據(jù),或者未經(jīng)授權(quán)訪問以明文格式編碼的數(shù)據(jù)。公司還必須證明,為了遵守行業(yè)法規(guī),他們在不斷作出相應(yīng)努力并使用正確的安全控件來增強(qiáng)其數(shù)據(jù)安全性。

保護(hù)傳輸中的數(shù)據(jù)

保護(hù)傳輸中的數(shù)據(jù)應(yīng)該是數(shù)據(jù)保護(hù)策略中不可或缺的部分。由于數(shù)據(jù)在許多位置間來回移動,因此,通常建議始終使用SSL/TLS協(xié)議在不同位置間交換數(shù)據(jù)。在某些情況下,可以使用VPN隔離本地與云基礎(chǔ)結(jié)構(gòu)之間的整個信道。

對于在本地基礎(chǔ)結(jié)構(gòu)與Azure之間移動的數(shù)據(jù),請考慮適當(dāng)?shù)姆雷o(hù)措施,例如HTTPS或VPN。通過公共internet在Azure虛擬網(wǎng)絡(luò)與本地位置之間發(fā)快遞加密流量時,請使用AZURE VPN網(wǎng)關(guān)。

以下是特定于使用Azure VPN網(wǎng)關(guān)、SSL/TLS和HTTPS的最佳做法。

最佳做法:從位于本地的多個工作站安全訪問Azure虛擬網(wǎng)絡(luò)。

詳細(xì)信息:使用站點到站點VPN。

最佳做法:從位于本地的單個工作站安全訪問Azure虛擬網(wǎng)絡(luò)。

詳細(xì)信息:使用點到站點VPN。

最佳做法:通過專用高速WAN鏈路移動大型數(shù)據(jù)集。

詳細(xì)信息:使用ExpressRoute。如果選擇使用ExpressRoute,則還可以使用SSL/TLS或其他協(xié)議在應(yīng)用程序級別加密數(shù)據(jù),以提供額外的保護(hù)。

最佳做法:通過Azure門戶與Azure存儲交互。

詳細(xì)信息:所有事務(wù)都通過HTTPS進(jìn)行。也可通過HTTPS使用存儲REST API與Azure存儲進(jìn)行交互。

無法保護(hù)傳輸中數(shù)據(jù)的組織更容易遭受中間人攻擊、竊聽和會話劫持。這些攻擊可能是獲取機(jī)密數(shù)據(jù)訪問權(quán)限的第一步。

保護(hù)電子郵件、文檔和敏感數(shù)據(jù)

你希望控制并幫助保護(hù)在公司外部共享的電子郵件、文檔和敏感數(shù)據(jù)。Azure信息保護(hù)是基于云的解決方案,可幫助組織對其文檔和電子郵件進(jìn)行分類、標(biāo)記和保護(hù)。這可以由定義了規(guī)則和條件的管理員自動執(zhí)行、由用戶手動執(zhí)行,或者以組合方式執(zhí)行,在組合方式中,用戶可獲得建議。

分類始終是可標(biāo)識的,而無論數(shù)據(jù)的存儲位置或數(shù)據(jù)的共享人員。標(biāo)簽包括視覺標(biāo)記,如頁眉、頁腳或水印。元數(shù)據(jù)以明文形式添加到文件和電子郵件標(biāo)題中。明文形式確保其他服務(wù)(如防止數(shù)據(jù)丟失的解決方案)可以識別分類并采取相應(yīng)的操作。

保護(hù)技術(shù)使用Azure Rights Management(Azure RMS)。此技術(shù)與其他Microsoft云服務(wù)和應(yīng)用程序(如Microsoft 365和Azure Active Directory)相集成。此保護(hù)技術(shù)使用加密、標(biāo)識和授權(quán)策略。通過Azure RMS應(yīng)用的保護(hù)與文檔和電子郵件保留在一起,不受位置影響,也無論是在組織、網(wǎng)絡(luò)、文件服務(wù)器和應(yīng)用程序內(nèi)部還是外部。

此信息保護(hù)解決方案可用于控制數(shù)據(jù),即使是與他人共享的數(shù)據(jù),也可控制。還可以將Azure RMS用于自己的業(yè)務(wù)線應(yīng)用程序和軟件供應(yīng)商提供的信息保護(hù)解決方案,而無論這些應(yīng)用程序和解決方案是在本地還是在云中。

建議:

為組織部署Azure信息保護(hù)。

應(yīng)用可反映業(yè)務(wù)需求的標(biāo)簽。例如:將名為“高度機(jī)密”的標(biāo)簽應(yīng)用于包含絕密數(shù)據(jù)的所有文檔和電子郵件,以對這些數(shù)據(jù)進(jìn)行分類和保護(hù)。然后,只有授權(quán)的用戶才能訪問此數(shù)據(jù),并具有指定的任何限制。

配置Azure RMS的使用情況日志記錄,以便監(jiān)視組織使用保護(hù)服務(wù)的方式。

數(shù)據(jù)分類和文件保護(hù)能力不佳的組織可能更容易遭到數(shù)據(jù)泄漏或數(shù)據(jù)濫用。使用適當(dāng)?shù)奈募Wo(hù),可以分析數(shù)據(jù)流,以深入了解業(yè)務(wù)、檢測風(fēng)險行為并采取糾正措施、跟蹤對文檔的訪問等等。


文章推薦
AppGallery Connect 一站式分發(fā)服務(wù)助您的應(yīng)用獲得成功,搭建app分發(fā)平臺
Google Ads如何用Google Ads廣告做網(wǎng)站推廣引流,googleads廣告投放實操
App Store和Google Play的排名因素有哪些,google playstore商店
Google AdMob助你國際化  西班牙市場詳解,谷歌admob商業(yè)模式


特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國平臺交流群
加入
韓國平臺交流群
掃碼進(jìn)群
歐洲多平臺交流群
加入
歐洲多平臺交流群
掃碼進(jìn)群
美國賣家交流群
加入
美國賣家交流群
掃碼進(jìn)群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
ESG獨家招商-PHH GROUP賣家交流群
加入
ESG獨家招商-PHH GROUP賣家交流群
掃碼進(jìn)群
2025跨境電商營銷日歷
《Coupang自注冊指南》
《eMAG知識百科》
《TikTok官方運(yùn)營干貨合集》
《韓國節(jié)日營銷指南》
《開店大全-全球合集》
《TikTok綜合運(yùn)營手冊》
《TikTok短視頻運(yùn)營手冊》
《TikTok直播運(yùn)營手冊》
《TikTok全球趨勢報告》
通過ESG入駐平臺,您將解鎖
綠色通道,更高的入駐成功率
專業(yè)1v1客戶經(jīng)理服務(wù)
運(yùn)營實操指導(dǎo)
運(yùn)營提效資源福利
平臺官方專屬優(yōu)惠
聯(lián)系顧問

平臺顧問

平臺顧問 平臺顧問

微信掃一掃
馬上聯(lián)系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機(jī)入駐更便捷

icon icon

返回頂部

【免費(fèi)領(lǐng)取】全球跨境電商運(yùn)營干貨 關(guān)閉
進(jìn)行中
進(jìn)行中
2025跨境電商營銷日歷
包括傳統(tǒng)中、外重要節(jié)日及重點電商營銷節(jié)點還對營銷關(guān)鍵市場、選品輔以說明,讓你的365天安排的明明白白!
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
【平臺干貨】eMAG知識百科
涵蓋從開店到大賣6個板塊:開店、運(yùn)營、廣告、選品、上架、物流
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
TikTok運(yùn)營必備干貨包
包含8個TikTok最新運(yùn)營指南(市場趨勢、運(yùn)營手冊、節(jié)日攻略等),官方出品,專業(yè)全面!
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
韓國coupang平臺自注冊指南
韓國Coupang電商平臺從注冊準(zhǔn)備、提交申請到完成注冊,開店全流程詳細(xì)指引。
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺詳解——全球合集
涵括全球100+個電商平臺的核心信息,包括平臺精煉簡介、競爭優(yōu)勢、熱銷品類、入駐要求以及入駐須知等關(guān)鍵內(nèi)容。
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
韓國電商節(jié)日營銷指南
10+韓國電商重要營銷節(jié)點詳細(xì)解讀;2024各節(jié)日熱度選品助力引爆訂單增長;8大節(jié)日營銷技巧輕松撬動大促流量密碼。
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺詳解——歐洲篇
涵蓋20+歐洲電商平臺,詳細(xì)解讀優(yōu)勢、入駐條件、熱銷品等
立即領(lǐng)取