Azure 數(shù)據(jù)安全與加密最佳做法,azure web安全防護(hù)-ESG跨境

Azure 數(shù)據(jù)安全與加密最佳做法,azure web安全防護(hù)

Azure 數(shù)據(jù)安全與加密最佳做法

本文介紹了針對(duì)數(shù)據(jù)安全和加密的最佳做法。

最佳做法以觀點(diǎn)的共識(shí)以及Azure平臺(tái)功能和特性集為基礎(chǔ)。觀點(diǎn)和技術(shù)將隨著時(shí)間改變，本文會(huì)定期更新以反映這些更改。

保護(hù)數(shù)據(jù)

為了幫助保護(hù)云中的數(shù)據(jù)，需要考慮數(shù)據(jù)可能出現(xiàn)的狀態(tài)以及可用于該狀態(tài)的控件。Azure數(shù)據(jù)安全與加密的最佳做法與以下數(shù)據(jù)狀態(tài)相關(guān)：

靜態(tài)：包括物理媒體（磁盤或光盤）上以靜態(tài)方式存在的所有信息存儲(chǔ)對(duì)象、容器和類型。

傳輸中：在各組件、位置或程序間傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)處于“傳輸中”狀態(tài)。例如通過網(wǎng)絡(luò)、通過服務(wù)總線（從本地到云，反之亦然，包括諸如ExpressRoute的混合連接）進(jìn)行傳輸，或在輸入/輸出過程。

選擇密鑰管理解決方案

保護(hù)密鑰對(duì)保護(hù)云中的數(shù)據(jù)至關(guān)重要。

Azure Key Vault可幫助保護(hù)云應(yīng)用程序和服務(wù)使用的加密密鑰和機(jī)密。密鑰保管庫簡(jiǎn)化了密鑰管理過程，可讓你控制用于訪問和加密數(shù)據(jù)的密鑰。開發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開發(fā)和測(cè)試的密鑰，然后將其遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予（和吊銷）密鑰權(quán)限。

可以使用Key Vault創(chuàng)建多個(gè)安全容器（稱為保管庫）。這些保管庫受HSM支持。保管庫可以集中存儲(chǔ)應(yīng)用程序機(jī)密，降低安全信息意外丟失的可能性。Key vault還控制并記錄外界對(duì)其所存儲(chǔ)內(nèi)容的訪問。Azure Key Vault負(fù)責(zé)處理傳輸層安全性(TLS)證書的請(qǐng)求和續(xù)訂事宜。它為可靠的證書生命周期管理解決方案提供相關(guān)功能。

Azure Key Vault旨在支持應(yīng)用程序密鑰和機(jī)密。Key Vault不應(yīng)用于存儲(chǔ)用戶密碼。

以下是使用Key Vaul的安全最佳做法。

最佳做法：向特定范圍內(nèi)的用戶、組和應(yīng)用程序授予訪問權(quán)限。

詳細(xì)信息：使用Azure RBAC預(yù)定義角色。例如，要向用戶授予管理密鑰保管庫的訪問權(quán)限，需要將預(yù)定義的角色密鑰保管庫參與者分配給位于特定范圍內(nèi)的此用戶。在此情況下，該范圍可以是訂閱、資源組，或只是特定的密鑰保管庫。如果預(yù)定義角色不符合需求，可以定義自己的角色。

最佳做法：控制用戶有權(quán)訪問的內(nèi)容。

詳細(xì)信息：可通過以下兩個(gè)獨(dú)立接口來控制對(duì)密鑰保管庫的訪問：管理平面和數(shù)據(jù)平面。管理平面訪問控制與數(shù)據(jù)平面訪問控制相互獨(dú)立。

使用Azure RBAC控制用戶有權(quán)訪問的內(nèi)容。例如，如果想要授予應(yīng)用程序使用密鑰保管庫中的密鑰的訪問權(quán)限，只需使用密鑰保管庫訪問策略授予數(shù)據(jù)平面訪問權(quán)限，而無需授予此應(yīng)用程序的管理平面訪問權(quán)限。相反，如果你希望用戶能夠讀取保管庫屬性和標(biāo)記，但不能訪問密鑰、機(jī)密或證書，則可以使用Azure RBAC向此用戶授予讀取訪問權(quán)限，而不需要訪問數(shù)據(jù)平面。

最佳做法：將證書存儲(chǔ)在Key Vault中。證書的價(jià)值很高。如果落入他人之手，應(yīng)用程序或數(shù)據(jù)的安全性可能會(huì)受到損害。

詳細(xì)信息：Azure資源管理器可以在部署VM時(shí)，將存儲(chǔ)在Azure Key Vault中的證書安全地部署到Azure VM。通過為密鑰保管庫設(shè)置適當(dāng)?shù)脑L問策略，還可以控制有權(quán)訪問證書的人員。另一個(gè)好處是，可以在Azure Key Vault中的一個(gè)位置管理所有證書。有關(guān)詳細(xì)信息，請(qǐng)參閱將證書從客戶托管的Key Vault部署到VM。

最佳做法：確?？梢曰謴?fù)刪除的Key Vault或Key Vault對(duì)象。

詳細(xì)信息：刪除Key Vault或Key Vault對(duì)象可以是無意或惡意的。啟用Key Vault的軟刪除和清除保護(hù)功能，尤其是對(duì)用于加密靜態(tài)數(shù)據(jù)的密鑰。刪除這些密鑰相當(dāng)于丟失數(shù)據(jù)，因此可以在需要時(shí)恢復(fù)已刪除的保管庫和保管庫對(duì)象。定期練習(xí)Key Vault恢復(fù)操作。

備注

如果用戶具有對(duì)密鑰保管庫管理平面(Azure RBAC)的參與者權(quán)限，則他們可以通過設(shè)置密鑰保管庫訪問策略來授予對(duì)數(shù)據(jù)平面的訪問權(quán)限。建議嚴(yán)格控制具有密鑰保管庫“參與者”權(quán)限的人員，以確保只有獲得授權(quán)的人員可以訪問和管理密鑰保管庫、密鑰、機(jī)密和證書。

使用安全工作站進(jìn)行管理

備注

訂閱管理員或所有者應(yīng)使用安全訪問工作站或特權(quán)訪問工作站。

因?yàn)榻^大多數(shù)的攻擊以最終用戶為目標(biāo)，所以終結(jié)點(diǎn)將成為主要攻擊點(diǎn)之一。入侵終結(jié)點(diǎn)的攻擊者可以使用用戶的憑據(jù)來訪問組織的數(shù)據(jù)。大多數(shù)終結(jié)點(diǎn)攻擊都利用了用戶是其本地工作站的管理員這一事實(shí)。

最佳做法：使用安全管理工作站來保護(hù)敏感帳戶、任務(wù)和數(shù)據(jù)。

詳細(xì)信息：使用特權(quán)訪問工作站來減小工作站的受攻擊面。這些安全管理工作站可幫助減輕其中一些攻擊，以確保數(shù)據(jù)更為安全。

最佳做法：確保終結(jié)點(diǎn)受保護(hù)。

詳細(xì)信息：在用于使用數(shù)據(jù)的所有設(shè)備上強(qiáng)制實(shí)施安全策略（無論數(shù)據(jù)位于云中還是本地）。

保護(hù)靜止的數(shù)據(jù)

靜態(tài)數(shù)據(jù)加密是實(shí)現(xiàn)數(shù)據(jù)隱私性、符合性和數(shù)據(jù)主權(quán)的必要措施。

最佳做法：使用磁盤加密來幫助保護(hù)數(shù)據(jù)。

詳細(xì)信息：使用Azure磁盤加密。它使IT管理員能夠加密Windows和Linux IaaS VM磁盤。磁盤加密利用符合行業(yè)標(biāo)準(zhǔn)的Windows BitLocker功能和Linux dmcrypt功能為OS和數(shù)據(jù)磁盤提供卷加密。

Azure存儲(chǔ)和Azure SQL數(shù)據(jù)庫默認(rèn)對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密，并且許多服務(wù)都將加密作為選項(xiàng)提供?？梢允褂肁zure Key Vault來持續(xù)控制用于訪問和加密數(shù)據(jù)的密鑰。有關(guān)詳細(xì)信息，請(qǐng)參閱Azure資源提供程序加密模型支持。

最佳做法：使用加密來幫助降低與未經(jīng)授權(quán)訪問數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)。

詳細(xì)信息：在將敏感數(shù)據(jù)寫入驅(qū)動(dòng)器之前先將驅(qū)動(dòng)器加密。

未實(shí)施數(shù)據(jù)加密的組織面臨的數(shù)據(jù)保密性問題風(fēng)險(xiǎn)更大。例如，未經(jīng)授權(quán)的用戶或惡意用戶可能會(huì)竊取已入侵帳戶中的數(shù)據(jù)，或者未經(jīng)授權(quán)訪問以明文格式編碼的數(shù)據(jù)。公司還必須證明，為了遵守行業(yè)法規(guī)，他們?cè)诓粩嘧鞒鱿鄳?yīng)努力并使用正確的安全控件來增強(qiáng)其數(shù)據(jù)安全性。

保護(hù)傳輸中的數(shù)據(jù)

保護(hù)傳輸中的數(shù)據(jù)應(yīng)該是數(shù)據(jù)保護(hù)策略中不可或缺的部分。由于數(shù)據(jù)在許多位置間來回移動(dòng)，因此，通常建議始終使用SSL/TLS協(xié)議在不同位置間交換數(shù)據(jù)。在某些情況下，可以使用VPN隔離本地與云基礎(chǔ)結(jié)構(gòu)之間的整個(gè)信道。

對(duì)于在本地基礎(chǔ)結(jié)構(gòu)與Azure之間移動(dòng)的數(shù)據(jù)，請(qǐng)考慮適當(dāng)?shù)姆雷o(hù)措施，例如HTTPS或VPN。通過公共internet在Azure虛擬網(wǎng)絡(luò)與本地位置之間發(fā)快遞加密流量時(shí)，請(qǐng)使用AZURE VPN網(wǎng)關(guān)。

以下是特定于使用Azure VPN網(wǎng)關(guān)、SSL/TLS和HTTPS的最佳做法。

最佳做法：從位于本地的多個(gè)工作站安全訪問Azure虛擬網(wǎng)絡(luò)。

詳細(xì)信息：使用站點(diǎn)到站點(diǎn)VPN。

最佳做法：從位于本地的單個(gè)工作站安全訪問Azure虛擬網(wǎng)絡(luò)。

詳細(xì)信息：使用點(diǎn)到站點(diǎn)VPN。

最佳做法：通過專用高速WAN鏈路移動(dòng)大型數(shù)據(jù)集。

詳細(xì)信息：使用ExpressRoute。如果選擇使用ExpressRoute，則還可以使用SSL/TLS或其他協(xié)議在應(yīng)用程序級(jí)別加密數(shù)據(jù)，以提供額外的保護(hù)。

最佳做法：通過Azure門戶與Azure存儲(chǔ)交互。

詳細(xì)信息：所有事務(wù)都通過HTTPS進(jìn)行。也可通過HTTPS使用存儲(chǔ)REST API與Azure存儲(chǔ)進(jìn)行交互。

無法保護(hù)傳輸中數(shù)據(jù)的組織更容易遭受中間人攻擊、竊聽和會(huì)話劫持。這些攻擊可能是獲取機(jī)密數(shù)據(jù)訪問權(quán)限的第一步。

保護(hù)電子郵件、文檔和敏感數(shù)據(jù)

你希望控制并幫助保護(hù)在公司外部共享的電子郵件、文檔和敏感數(shù)據(jù)。Azure信息保護(hù)是基于云的解決方案，可幫助組織對(duì)其文檔和電子郵件進(jìn)行分類、標(biāo)記和保護(hù)。這可以由定義了規(guī)則和條件的管理員自動(dòng)執(zhí)行、由用戶手動(dòng)執(zhí)行，或者以組合方式執(zhí)行，在組合方式中，用戶可獲得建議。

分類始終是可標(biāo)識(shí)的，而無論數(shù)據(jù)的存儲(chǔ)位置或數(shù)據(jù)的共享人員。標(biāo)簽包括視覺標(biāo)記，如頁眉、頁腳或水印。元數(shù)據(jù)以明文形式添加到文件和電子郵件標(biāo)題中。明文形式確保其他服務(wù)（如防止數(shù)據(jù)丟失的解決方案）可以識(shí)別分類并采取相應(yīng)的操作。

保護(hù)技術(shù)使用Azure Rights Management(Azure RMS)。此技術(shù)與其他Microsoft云服務(wù)和應(yīng)用程序（如Microsoft 365和Azure Active Directory）相集成。此保護(hù)技術(shù)使用加密、標(biāo)識(shí)和授權(quán)策略。通過Azure RMS應(yīng)用的保護(hù)與文檔和電子郵件保留在一起，不受位置影響，也無論是在組織、網(wǎng)絡(luò)、文件服務(wù)器和應(yīng)用程序內(nèi)部還是外部。

此信息保護(hù)解決方案可用于控制數(shù)據(jù)，即使是與他人共享的數(shù)據(jù)，也可控制。還可以將Azure RMS用于自己的業(yè)務(wù)線應(yīng)用程序和軟件供應(yīng)商提供的信息保護(hù)解決方案，而無論這些應(yīng)用程序和解決方案是在本地還是在云中。

建議：

為組織部署Azure信息保護(hù)。

應(yīng)用可反映業(yè)務(wù)需求的標(biāo)簽。例如：將名為“高度機(jī)密”的標(biāo)簽應(yīng)用于包含絕密數(shù)據(jù)的所有文檔和電子郵件，以對(duì)這些數(shù)據(jù)進(jìn)行分類和保護(hù)。然后，只有授權(quán)的用戶才能訪問此數(shù)據(jù)，并具有指定的任何限制。

配置Azure RMS的使用情況日志記錄，以便監(jiān)視組織使用保護(hù)服務(wù)的方式。

數(shù)據(jù)分類和文件保護(hù)能力不佳的組織可能更容易遭到數(shù)據(jù)泄漏或數(shù)據(jù)濫用。使用適當(dāng)?shù)奈募Ｗo(hù)，可以分析數(shù)據(jù)流，以深入了解業(yè)務(wù)、檢測(cè)風(fēng)險(xiǎn)行為并采取糾正措施、跟蹤對(duì)文檔的訪問等等。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。