Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護(hù)Azure 數(shù)據(jù)安全與加密最佳做法本文介紹了針對數(shù)據(jù)安全和加密的最佳做法。最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。觀點和技術(shù)將隨著時間改變,本文會定期更新以反映這些更改。保護(hù)數(shù)據(jù)為了幫助保護(hù)云中的數(shù)據(jù),需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控......
本文介紹了針對數(shù)據(jù)安全和加密的最佳做法。
最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。觀點和技術(shù)將隨著時間改變,本文會定期更新以反映這些更改。
保護(hù)數(shù)據(jù)
為了幫助保護(hù)云中的數(shù)據(jù),需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控件。Azure數(shù)據(jù)安全與加密的最佳做法與以下數(shù)據(jù)狀態(tài)相關(guān):
靜態(tài):包括物理媒體(磁盤或光盤)上以靜態(tài)方式存在的所有信息存儲對象、容器和類型。
傳輸中:在各組件、位置或程序間傳輸數(shù)據(jù)時,數(shù)據(jù)處于“傳輸中”狀態(tài)。例如通過網(wǎng)絡(luò)、通過服務(wù)總線(從本地到云,反之亦然,包括諸如ExpressRoute的混合連接)進(jìn)行傳輸,或在輸入/輸出過程。
選擇密鑰管理解決方案
保護(hù)密鑰對保護(hù)云中的數(shù)據(jù)至關(guān)重要。
Azure Key Vault可幫助保護(hù)云應(yīng)用程序和服務(wù)使用的加密密鑰和機(jī)密。密鑰保管庫簡化了密鑰管理過程,可讓你控制用于訪問和加密數(shù)據(jù)的密鑰。開發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開發(fā)和測試的密鑰,然后將其遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予(和吊銷)密鑰權(quán)限。
可以使用Key Vault創(chuàng)建多個安全容器(稱為保管庫)。這些保管庫受HSM支持。保管庫可以集中存儲應(yīng)用程序機(jī)密,降低安全信息意外丟失的可能性。Key vault還控制并記錄外界對其所存儲內(nèi)容的訪問。Azure Key Vault負(fù)責(zé)處理傳輸層安全性(TLS)證書的請求和續(xù)訂事宜。它為可靠的證書生命周期管理解決方案提供相關(guān)功能。
Azure Key Vault旨在支持應(yīng)用程序密鑰和機(jī)密。Key Vault不應(yīng)用于存儲用戶密碼。
以下是使用Key Vaul的安全最佳做法。
最佳做法:向特定范圍內(nèi)的用戶、組和應(yīng)用程序授予訪問權(quán)限。
詳細(xì)信息:使用Azure RBAC預(yù)定義角色。例如,要向用戶授予管理密鑰保管庫的訪問權(quán)限,需要將預(yù)定義的角色密鑰保管庫參與者分配給位于特定范圍內(nèi)的此用戶。在此情況下,該范圍可以是訂閱、資源組,或只是特定的密鑰保管庫。如果預(yù)定義角色不符合需求,可以定義自己的角色。
最佳做法:控制用戶有權(quán)訪問的內(nèi)容。
詳細(xì)信息:可通過以下兩個獨立接口來控制對密鑰保管庫的訪問:管理平面和數(shù)據(jù)平面。管理平面訪問控制與數(shù)據(jù)平面訪問控制相互獨立。
使用Azure RBAC控制用戶有權(quán)訪問的內(nèi)容。例如,如果想要授予應(yīng)用程序使用密鑰保管庫中的密鑰的訪問權(quán)限,只需使用密鑰保管庫訪問策略授予數(shù)據(jù)平面訪問權(quán)限,而無需授予此應(yīng)用程序的管理平面訪問權(quán)限。相反,如果你希望用戶能夠讀取保管庫屬性和標(biāo)記,但不能訪問密鑰、機(jī)密或證書,則可以使用Azure RBAC向此用戶授予讀取訪問權(quán)限,而不需要訪問數(shù)據(jù)平面。
最佳做法:將證書存儲在Key Vault中。證書的價值很高。如果落入他人之手,應(yīng)用程序或數(shù)據(jù)的安全性可能會受到損害。
詳細(xì)信息:Azure資源管理器可以在部署VM時,將存儲在Azure Key Vault中的證書安全地部署到Azure VM。通過為密鑰保管庫設(shè)置適當(dāng)?shù)脑L問策略,還可以控制有權(quán)訪問證書的人員。另一個好處是,可以在Azure Key Vault中的一個位置管理所有證書。有關(guān)詳細(xì)信息,請參閱將證書從客戶托管的Key Vault部署到VM。
最佳做法:確??梢曰謴?fù)刪除的Key Vault或Key Vault對象。
詳細(xì)信息:刪除Key Vault或Key Vault對象可以是無意或惡意的。啟用Key Vault的軟刪除和清除保護(hù)功能,尤其是對用于加密靜態(tài)數(shù)據(jù)的密鑰。刪除這些密鑰相當(dāng)于丟失數(shù)據(jù),因此可以在需要時恢復(fù)已刪除的保管庫和保管庫對象。定期練習(xí)Key Vault恢復(fù)操作。
備注
如果用戶具有對密鑰保管庫管理平面(Azure RBAC)的參與者權(quán)限,則他們可以通過設(shè)置密鑰保管庫訪問策略來授予對數(shù)據(jù)平面的訪問權(quán)限。建議嚴(yán)格控制具有密鑰保管庫“參與者”權(quán)限的人員,以確保只有獲得授權(quán)的人員可以訪問和管理密鑰保管庫、密鑰、機(jī)密和證書。
使用安全工作站進(jìn)行管理
備注
訂閱管理員或所有者應(yīng)使用安全訪問工作站或特權(quán)訪問工作站。
因為絕大多數(shù)的攻擊以最終用戶為目標(biāo),所以終結(jié)點將成為主要攻擊點之一。入侵終結(jié)點的攻擊者可以使用用戶的憑據(jù)來訪問組織的數(shù)據(jù)。大多數(shù)終結(jié)點攻擊都利用了用戶是其本地工作站的管理員這一事實。
最佳做法:使用安全管理工作站來保護(hù)敏感帳戶、任務(wù)和數(shù)據(jù)。
詳細(xì)信息:使用特權(quán)訪問工作站來減小工作站的受攻擊面。這些安全管理工作站可幫助減輕其中一些攻擊,以確保數(shù)據(jù)更為安全。
最佳做法:確保終結(jié)點受保護(hù)。
詳細(xì)信息:在用于使用數(shù)據(jù)的所有設(shè)備上強(qiáng)制實施安全策略(無論數(shù)據(jù)位于云中還是本地)。
保護(hù)靜止的數(shù)據(jù)
靜態(tài)數(shù)據(jù)加密是實現(xiàn)數(shù)據(jù)隱私性、符合性和數(shù)據(jù)主權(quán)的必要措施。
最佳做法:使用磁盤加密來幫助保護(hù)數(shù)據(jù)。
詳細(xì)信息:使用Azure磁盤加密。它使IT管理員能夠加密Windows和Linux IaaS VM磁盤。磁盤加密利用符合行業(yè)標(biāo)準(zhǔn)的Windows BitLocker功能和Linux dmcrypt功能為OS和數(shù)據(jù)磁盤提供卷加密。
Azure存儲和Azure SQL數(shù)據(jù)庫默認(rèn)對靜態(tài)數(shù)據(jù)進(jìn)行加密,并且許多服務(wù)都將加密作為選項提供??梢允褂肁zure Key Vault來持續(xù)控制用于訪問和加密數(shù)據(jù)的密鑰。有關(guān)詳細(xì)信息,請參閱Azure資源提供程序加密模型支持。
最佳做法:使用加密來幫助降低與未經(jīng)授權(quán)訪問數(shù)據(jù)相關(guān)的風(fēng)險。
詳細(xì)信息:在將敏感數(shù)據(jù)寫入驅(qū)動器之前先將驅(qū)動器加密。
未實施數(shù)據(jù)加密的組織面臨的數(shù)據(jù)保密性問題風(fēng)險更大。例如,未經(jīng)授權(quán)的用戶或惡意用戶可能會竊取已入侵帳戶中的數(shù)據(jù),或者未經(jīng)授權(quán)訪問以明文格式編碼的數(shù)據(jù)。公司還必須證明,為了遵守行業(yè)法規(guī),他們在不斷作出相應(yīng)努力并使用正確的安全控件來增強(qiáng)其數(shù)據(jù)安全性。
保護(hù)傳輸中的數(shù)據(jù)
保護(hù)傳輸中的數(shù)據(jù)應(yīng)該是數(shù)據(jù)保護(hù)策略中不可或缺的部分。由于數(shù)據(jù)在許多位置間來回移動,因此,通常建議始終使用SSL/TLS協(xié)議在不同位置間交換數(shù)據(jù)。在某些情況下,可以使用VPN隔離本地與云基礎(chǔ)結(jié)構(gòu)之間的整個信道。
對于在本地基礎(chǔ)結(jié)構(gòu)與Azure之間移動的數(shù)據(jù),請考慮適當(dāng)?shù)姆雷o(hù)措施,例如HTTPS或VPN。通過公共internet在Azure虛擬網(wǎng)絡(luò)與本地位置之間發(fā)快遞加密流量時,請使用AZURE VPN網(wǎng)關(guān)。
以下是特定于使用Azure VPN網(wǎng)關(guān)、SSL/TLS和HTTPS的最佳做法。
最佳做法:從位于本地的多個工作站安全訪問Azure虛擬網(wǎng)絡(luò)。
詳細(xì)信息:使用站點到站點VPN。
最佳做法:從位于本地的單個工作站安全訪問Azure虛擬網(wǎng)絡(luò)。
詳細(xì)信息:使用點到站點VPN。
最佳做法:通過專用高速WAN鏈路移動大型數(shù)據(jù)集。
詳細(xì)信息:使用ExpressRoute。如果選擇使用ExpressRoute,則還可以使用SSL/TLS或其他協(xié)議在應(yīng)用程序級別加密數(shù)據(jù),以提供額外的保護(hù)。
最佳做法:通過Azure門戶與Azure存儲交互。
詳細(xì)信息:所有事務(wù)都通過HTTPS進(jìn)行。也可通過HTTPS使用存儲REST API與Azure存儲進(jìn)行交互。
無法保護(hù)傳輸中數(shù)據(jù)的組織更容易遭受中間人攻擊、竊聽和會話劫持。這些攻擊可能是獲取機(jī)密數(shù)據(jù)訪問權(quán)限的第一步。
保護(hù)電子郵件、文檔和敏感數(shù)據(jù)
你希望控制并幫助保護(hù)在公司外部共享的電子郵件、文檔和敏感數(shù)據(jù)。Azure信息保護(hù)是基于云的解決方案,可幫助組織對其文檔和電子郵件進(jìn)行分類、標(biāo)記和保護(hù)。這可以由定義了規(guī)則和條件的管理員自動執(zhí)行、由用戶手動執(zhí)行,或者以組合方式執(zhí)行,在組合方式中,用戶可獲得建議。
分類始終是可標(biāo)識的,而無論數(shù)據(jù)的存儲位置或數(shù)據(jù)的共享人員。標(biāo)簽包括視覺標(biāo)記,如頁眉、頁腳或水印。元數(shù)據(jù)以明文形式添加到文件和電子郵件標(biāo)題中。明文形式確保其他服務(wù)(如防止數(shù)據(jù)丟失的解決方案)可以識別分類并采取相應(yīng)的操作。
保護(hù)技術(shù)使用Azure Rights Management(Azure RMS)。此技術(shù)與其他Microsoft云服務(wù)和應(yīng)用程序(如Microsoft 365和Azure Active Directory)相集成。此保護(hù)技術(shù)使用加密、標(biāo)識和授權(quán)策略。通過Azure RMS應(yīng)用的保護(hù)與文檔和電子郵件保留在一起,不受位置影響,也無論是在組織、網(wǎng)絡(luò)、文件服務(wù)器和應(yīng)用程序內(nèi)部還是外部。
此信息保護(hù)解決方案可用于控制數(shù)據(jù),即使是與他人共享的數(shù)據(jù),也可控制。還可以將Azure RMS用于自己的業(yè)務(wù)線應(yīng)用程序和軟件供應(yīng)商提供的信息保護(hù)解決方案,而無論這些應(yīng)用程序和解決方案是在本地還是在云中。
建議:
為組織部署Azure信息保護(hù)。
應(yīng)用可反映業(yè)務(wù)需求的標(biāo)簽。例如:將名為“高度機(jī)密”的標(biāo)簽應(yīng)用于包含絕密數(shù)據(jù)的所有文檔和電子郵件,以對這些數(shù)據(jù)進(jìn)行分類和保護(hù)。然后,只有授權(quán)的用戶才能訪問此數(shù)據(jù),并具有指定的任何限制。
配置Azure RMS的使用情況日志記錄,以便監(jiān)視組織使用保護(hù)服務(wù)的方式。
數(shù)據(jù)分類和文件保護(hù)能力不佳的組織可能更容易遭到數(shù)據(jù)泄漏或數(shù)據(jù)濫用。使用適當(dāng)?shù)奈募Wo(hù),可以分析數(shù)據(jù)流,以深入了解業(yè)務(wù)、檢測風(fēng)險行為并采取糾正措施、跟蹤對文檔的訪問等等。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機(jī)入駐更便捷
返回頂部