Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護-ESG跨境

Azure 數(shù)據(jù)安全與加密最佳做法,azure信息保護

Azure 數(shù)據(jù)安全與加密最佳做法

本文介紹了針對數(shù)據(jù)安全和加密的最佳做法。

最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎。觀點和技術(shù)將隨著時間改變，本文會定期更新以反映這些更改。

保護數(shù)據(jù)

為了幫助保護云中的數(shù)據(jù)，需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控件。Azure數(shù)據(jù)安全與加密的最佳做法與以下數(shù)據(jù)狀態(tài)相關(guān)：

靜態(tài)：包括物理媒體（磁盤或光盤）上以靜態(tài)方式存在的所有信息存儲對象、容器和類型。

傳輸中：在各組件、位置或程序間傳輸數(shù)據(jù)時，數(shù)據(jù)處于“傳輸中”狀態(tài)。例如通過網(wǎng)絡、通過服務總線（從本地到云，反之亦然，包括諸如ExpressRoute的混合連接）進行傳輸，或在輸入/輸出過程。

選擇密鑰管理解決方案

保護密鑰對保護云中的數(shù)據(jù)至關(guān)重要。

Azure Key Vault可幫助保護云應用程序和服務使用的加密密鑰和機密。密鑰保管庫簡化了密鑰管理過程，可讓你控制用于訪問和加密數(shù)據(jù)的密鑰。開發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開發(fā)和測試的密鑰，然后將其遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予（和吊銷）密鑰權(quán)限。

可以使用Key Vault創(chuàng)建多個安全容器（稱為保管庫）。這些保管庫受HSM支持。保管庫可以集中存儲應用程序機密，降低安全信息意外丟失的可能性。Key vault還控制并記錄外界對其所存儲內(nèi)容的訪問。Azure Key Vault負責處理傳輸層安全性(TLS)證書的請求和續(xù)訂事宜。它為可靠的證書生命周期管理解決方案提供相關(guān)功能。

Azure Key Vault旨在支持應用程序密鑰和機密。Key Vault不應用于存儲用戶密碼。

以下是使用Key Vaul的安全最佳做法。

最佳做法：向特定范圍內(nèi)的用戶、組和應用程序授予訪問權(quán)限。

詳細信息：使用Azure RBAC預定義角色。例如，要向用戶授予管理密鑰保管庫的訪問權(quán)限，需要將預定義的角色密鑰保管庫參與者分配給位于特定范圍內(nèi)的此用戶。在此情況下，該范圍可以是訂閱、資源組，或只是特定的密鑰保管庫。如果預定義角色不符合需求，可以定義自己的角色。

最佳做法：控制用戶有權(quán)訪問的內(nèi)容。

詳細信息：可通過以下兩個獨立接口來控制對密鑰保管庫的訪問：管理平面和數(shù)據(jù)平面。管理平面訪問控制與數(shù)據(jù)平面訪問控制相互獨立。

使用Azure RBAC控制用戶有權(quán)訪問的內(nèi)容。例如，如果想要授予應用程序使用密鑰保管庫中的密鑰的訪問權(quán)限，只需使用密鑰保管庫訪問策略授予數(shù)據(jù)平面訪問權(quán)限，而無需授予此應用程序的管理平面訪問權(quán)限。相反，如果你希望用戶能夠讀取保管庫屬性和標記，但不能訪問密鑰、機密或證書，則可以使用Azure RBAC向此用戶授予讀取訪問權(quán)限，而不需要訪問數(shù)據(jù)平面。

最佳做法：將證書存儲在Key Vault中。證書的價值很高。如果落入他人之手，應用程序或數(shù)據(jù)的安全性可能會受到損害。

詳細信息：Azure資源管理器可以在部署VM時，將存儲在Azure Key Vault中的證書安全地部署到Azure VM。通過為密鑰保管庫設置適當?shù)脑L問策略，還可以控制有權(quán)訪問證書的人員。另一個好處是，可以在Azure Key Vault中的一個位置管理所有證書。有關(guān)詳細信息，請參閱將證書從客戶托管的Key Vault部署到VM。

最佳做法：確?？梢曰謴蛣h除的Key Vault或Key Vault對象。

詳細信息：刪除Key Vault或Key Vault對象可以是無意或惡意的。啟用Key Vault的軟刪除和清除保護功能，尤其是對用于加密靜態(tài)數(shù)據(jù)的密鑰。刪除這些密鑰相當于丟失數(shù)據(jù)，因此可以在需要時恢復已刪除的保管庫和保管庫對象。定期練習Key Vault恢復操作。

備注

如果用戶具有對密鑰保管庫管理平面(Azure RBAC)的參與者權(quán)限，則他們可以通過設置密鑰保管庫訪問策略來授予對數(shù)據(jù)平面的訪問權(quán)限。建議嚴格控制具有密鑰保管庫“參與者”權(quán)限的人員，以確保只有獲得授權(quán)的人員可以訪問和管理密鑰保管庫、密鑰、機密和證書。

使用安全工作站進行管理

備注

訂閱管理員或所有者應使用安全訪問工作站或特權(quán)訪問工作站。

因為絕大多數(shù)的攻擊以最終用戶為目標，所以終結(jié)點將成為主要攻擊點之一。入侵終結(jié)點的攻擊者可以使用用戶的憑據(jù)來訪問組織的數(shù)據(jù)。大多數(shù)終結(jié)點攻擊都利用了用戶是其本地工作站的管理員這一事實。

最佳做法：使用安全管理工作站來保護敏感帳戶、任務和數(shù)據(jù)。

詳細信息：使用特權(quán)訪問工作站來減小工作站的受攻擊面。這些安全管理工作站可幫助減輕其中一些攻擊，以確保數(shù)據(jù)更為安全。

最佳做法：確保終結(jié)點受保護。

詳細信息：在用于使用數(shù)據(jù)的所有設備上強制實施安全策略（無論數(shù)據(jù)位于云中還是本地）。

保護靜止的數(shù)據(jù)

靜態(tài)數(shù)據(jù)加密是實現(xiàn)數(shù)據(jù)隱私性、符合性和數(shù)據(jù)主權(quán)的必要措施。

最佳做法：使用磁盤加密來幫助保護數(shù)據(jù)。

詳細信息：使用Azure磁盤加密。它使IT管理員能夠加密Windows和Linux IaaS VM磁盤。磁盤加密利用符合行業(yè)標準的Windows BitLocker功能和Linux dmcrypt功能為OS和數(shù)據(jù)磁盤提供卷加密。

Azure存儲和Azure SQL數(shù)據(jù)庫默認對靜態(tài)數(shù)據(jù)進行加密，并且許多服務都將加密作為選項提供?？梢允褂肁zure Key Vault來持續(xù)控制用于訪問和加密數(shù)據(jù)的密鑰。有關(guān)詳細信息，請參閱Azure資源提供程序加密模型支持。

最佳做法：使用加密來幫助降低與未經(jīng)授權(quán)訪問數(shù)據(jù)相關(guān)的風險。

詳細信息：在將敏感數(shù)據(jù)寫入驅(qū)動器之前先將驅(qū)動器加密。

未實施數(shù)據(jù)加密的組織面臨的數(shù)據(jù)保密性問題風險更大。例如，未經(jīng)授權(quán)的用戶或惡意用戶可能會竊取已入侵帳戶中的數(shù)據(jù)，或者未經(jīng)授權(quán)訪問以明文格式編碼的數(shù)據(jù)。公司還必須證明，為了遵守行業(yè)法規(guī)，他們在不斷作出相應努力并使用正確的安全控件來增強其數(shù)據(jù)安全性。

保護傳輸中的數(shù)據(jù)

保護傳輸中的數(shù)據(jù)應該是數(shù)據(jù)保護策略中不可或缺的部分。由于數(shù)據(jù)在許多位置間來回移動，因此，通常建議始終使用SSL/TLS協(xié)議在不同位置間交換數(shù)據(jù)。在某些情況下，可以使用VPN隔離本地與云基礎結(jié)構(gòu)之間的整個信道。

對于在本地基礎結(jié)構(gòu)與Azure之間移動的數(shù)據(jù)，請考慮適當?shù)姆雷o措施，例如HTTPS或VPN。通過公共internet在Azure虛擬網(wǎng)絡與本地位置之間發(fā)快遞加密流量時，請使用AZURE VPN網(wǎng)關(guān)。

以下是特定于使用Azure VPN網(wǎng)關(guān)、SSL/TLS和HTTPS的最佳做法。

最佳做法：從位于本地的多個工作站安全訪問Azure虛擬網(wǎng)絡。

詳細信息：使用站點到站點VPN。

最佳做法：從位于本地的單個工作站安全訪問Azure虛擬網(wǎng)絡。

詳細信息：使用點到站點VPN。

最佳做法：通過專用高速WAN鏈路移動大型數(shù)據(jù)集。

詳細信息：使用ExpressRoute。如果選擇使用ExpressRoute，則還可以使用SSL/TLS或其他協(xié)議在應用程序級別加密數(shù)據(jù)，以提供額外的保護。

最佳做法：通過Azure門戶與Azure存儲交互。

詳細信息：所有事務都通過HTTPS進行。也可通過HTTPS使用存儲REST API與Azure存儲進行交互。

無法保護傳輸中數(shù)據(jù)的組織更容易遭受中間人攻擊、竊聽和會話劫持。這些攻擊可能是獲取機密數(shù)據(jù)訪問權(quán)限的第一步。

保護電子郵件、文檔和敏感數(shù)據(jù)

你希望控制并幫助保護在公司外部共享的電子郵件、文檔和敏感數(shù)據(jù)。Azure信息保護是基于云的解決方案，可幫助組織對其文檔和電子郵件進行分類、標記和保護。這可以由定義了規(guī)則和條件的管理員自動執(zhí)行、由用戶手動執(zhí)行，或者以組合方式執(zhí)行，在組合方式中，用戶可獲得建議。

分類始終是可標識的，而無論數(shù)據(jù)的存儲位置或數(shù)據(jù)的共享人員。標簽包括視覺標記，如頁眉、頁腳或水印。元數(shù)據(jù)以明文形式添加到文件和電子郵件標題中。明文形式確保其他服務（如防止數(shù)據(jù)丟失的解決方案）可以識別分類并采取相應的操作。

保護技術(shù)使用Azure Rights Management(Azure RMS)。此技術(shù)與其他Microsoft云服務和應用程序（如Microsoft 365和Azure Active Directory）相集成。此保護技術(shù)使用加密、標識和授權(quán)策略。通過Azure RMS應用的保護與文檔和電子郵件保留在一起，不受位置影響，也無論是在組織、網(wǎng)絡、文件服務器和應用程序內(nèi)部還是外部。

此信息保護解決方案可用于控制數(shù)據(jù)，即使是與他人共享的數(shù)據(jù)，也可控制。還可以將Azure RMS用于自己的業(yè)務線應用程序和軟件供應商提供的信息保護解決方案，而無論這些應用程序和解決方案是在本地還是在云中。

建議：

為組織部署Azure信息保護。

應用可反映業(yè)務需求的標簽。例如：將名為“高度機密”的標簽應用于包含絕密數(shù)據(jù)的所有文檔和電子郵件，以對這些數(shù)據(jù)進行分類和保護。然后，只有授權(quán)的用戶才能訪問此數(shù)據(jù)，并具有指定的任何限制。

配置Azure RMS的使用情況日志記錄，以便監(jiān)視組織使用保護服務的方式。

數(shù)據(jù)分類和文件保護能力不佳的組織可能更容易遭到數(shù)據(jù)泄漏或數(shù)據(jù)濫用。使用適當?shù)奈募Ｗo，可以分析數(shù)據(jù)流，以深入了解業(yè)務、檢測風險行為并采取糾正措施、跟蹤對文檔的訪問等等。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。