Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся рекомендации по безопасности и шифрованию данных.
Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Со временем мнения и технологии меняются, поэтому эта статья постоянно обновляется, чтобы отражать эти изменения.
Защита данных
Для защиты данных в облаке необходимо учитывать все возможные состояния, в которых могут находиться данные, а также все методы управления для каждого из этих состояний. Рекомендации по защите и шифрованию данных Azure действуют для следующих состояний данных.
- Неактивные: сюда относятся все объекты, контейнеры и типы хранения информации, которые существуют на физическом носителе в конкретном месте, например на магнитном или оптическом диске.
- При передаче: передаваемые между компонентами, расположениями или программами данные находятся в пути. Примерами являются передачи по сети, по служебной шине (из локальной сети в облако и наоборот, включая гибридные подключения, такие как ExpressRoute), а также в процессе ввода-вывода.
- Использование. При обработке данных специализированные процессоры AMD и Intel на основе конфиденциальных вычислительных виртуальных машин хранят данные в памяти с помощью аппаратных управляемых ключей.
Выбор решения для управления ключами
Защита ключей имеет очень важное значение для защиты данных в облаке.
Azure предлагает несколько различных служб для защиты криптографических ключей с помощью HSM. Эти предложения обеспечивают масштабируемость и доступность облака, обеспечивая полный контроль над ключами. Дополнительные сведения и рекомендации по выбору этих предложений по управлению ключами см. в статье "Выбор подходящего решения для управления ключами Azure". Рекомендуется использовать Azure Key Vault Premium или Управляемый HSM Azure Key Vault для управления вашими ключами шифрования при хранении.
Безопасное управление рабочими станциями
Примечание.
Администратор или владелец подписки должен использовать рабочую станцию с безопасным доступом или рабочую станцию с привилегированным доступом.
Так как большая часть атак направлена на пользователя, одной из основных целей атакующих становится конечная точка. Злоумышленник, который скомпрометирует конечную точку, может использовать учетные данные пользователя для доступа к данным организации. Большинство атак на конечные точки происходит с учетом того, что пользователи являются администраторами на своих локальных рабочих станциях.
Рекомендация: используйте рабочие станции с безопасным доступом для защиты конфиденциальных учетных записей, задач и данных. Сведения: используйте рабочие станции с привилегированным доступом для снижения уязвимости рабочих станций к атакам. Этот метод безопасного управления рабочими станциями поможет избежать некоторых типов атак, тем самым повышая безопасность данных.
Рекомендация: обеспечьте защиту конечной точки. Сведения: обязательно применяйте политики безопасности на всех устройствах, которые используются для получения данных, независимо от расположения этих данных (локально или в облаке).
Защита хранящихся данных
Шифрование неактивных данных является обязательным шагом для защиты данных, соответствия стандартам и обеспечения конфиденциальности данных.
Рекомендация. Применение шифрования на узле для защиты данных. Подробности: Используйте шифрование у источника — сквозное шифрование для вашей виртуальной машины. Шифрование на узле — это параметр виртуальной машины, который улучшает шифрование данных на стороне сервера дисков Azure, чтобы гарантировать, что все временные накопители и кэши дисков шифруются в состоянии покоя и данные шифруются при потоковой передаче в кластеры хранилища.
Большинство служб Azure, таких как служба хранилища Azure и База данных SQL Azure, по умолчанию шифруют неактивных данных. С помощью Azure Key Vault можно контролировать ключи для доступа к данным и их шифрования. Дополнительные сведения см. в статье Поддержка модели шифрования поставщиками ресурсов Azure.
Рекомендация: используйте шифрование для снижения рисков, связанных с несанкционированным доступом к данным. Подробности. Шифруйте ваши службы перед записью в них конфиденциальных данных.
Если организация не применяет шифрование данных, повышается вероятность потери конфиденциальных данных. Компании могут соблюдать отраслевые стандарты, используя надлежащие средства защиты данных для повышения уровня безопасности данных.
Защита данных при передаче
Защита данных при передаче обязательно должна быть учтена в стратегии защиты данных. Поскольку данные перемещаются туда и обратно, обычно рекомендуется всегда использовать протоколы SSL/TLS для обмена данными между разными расположениями. В некоторых случаях может потребоваться изолировать весь коммуникационный канал между локальной и облачной инфраструктурой с помощью VPN.
Для перемещения данных между локальной инфраструктурой и Azure следует применять соответствующие меры безопасности, например использовать HTTPS или VPN. При передаче зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет необходимо использовать VPN-шлюз Azure.
Ниже приведены рекомендации по работе с VPN-шлюзом Azure, HTTPS и SSL/TLS.
Рекомендация: обеспечьте безопасность доступа из нескольких рабочих станций, расположенных локально, в виртуальную сеть Azure. Сведения: используйте VPN-подключения типа "сеть — сеть".
Рекомендация: обеспечьте безопасность доступа из отдельной рабочей станции, расположенной локально, в виртуальную сеть Azure. Сведения: используйте VPN-подключения типа "точка — сеть".
Рекомендация: перемещайте большие наборы данных через выделенный высокоскоростной канал глобальной сети. Сведения: используйте ExpressRoute. Если вы решите использовать ExpressRoute, то для дополнительной защиты можно зашифровать данные на уровне приложения с помощью SSL/TLS или других протоколов.
Рекомендация: взаимодействуйте со службой хранилища Azure на портале Azure. Сведения: все транзакции проходят по протоколу HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS.
Организации, не защищающие передаваемые данные, более уязвимы для атак типа "злоумышленник в середине", перехвата данных и перехвата сеанса. Такие атаки могут стать первым шагом в ходе получения доступа к конфиденциальным данным.
Защита данных при использовании
Уменьшите потребность в доверии выполняющихся рабочих нагрузок в облаке. Вы доверяете всем поставщикам, которые обеспечивают работу разных компонентов приложения.
- Поставщики программного обеспечения приложений: доверие к программному обеспечению путем развертывания локальной среды, использования открытого исходного кода или создания встроенного программного обеспечения приложений.
- Поставщики оборудования: доверять оборудованию с помощью локального оборудования или внутреннего оборудования.
- Поставщики инфраструктуры: доверять облачным поставщикам или управлять собственными локальными центрами обработки данных.
Сокращение поверхности атаки— база доверенных вычислений (TCB) относится ко всем компонентам оборудования, встроенного ПО и программного обеспечения системы, которые обеспечивают безопасную среду. Компоненты внутри TCB считаются "критически важными". Если один компонент внутри TCB скомпрометирован, безопасность всей системы может быть поставлена под угрозу. Чем меньше доверенная вычислительная база, тем выше безопасность. Это снижает риск воздействия разных уязвимостей, вредоносных программ, атак и злоумышленников.
Конфиденциальные вычисления Azure помогут вам:
- Запрет несанкционированного доступа. Запустите конфиденциальные данные в облаке. Вы можете быть уверены, что Azure обеспечит наилучшую возможную защиту данных, не требуя существенно изменять рабочие процессы.
- Соответствие нормативным требованиям. Миграция в облако и обеспечение полного контроля над данными для удовлетворения нормативных требований для защиты персональных данных и безопасного IP-адреса организации.
- Обеспечение безопасной и ненадежной совместной работы: решение проблем в масштабах всей отрасли путем объединения данных между организациями, даже конкурентами, для разблокировки широкой аналитики данных и более глубокой аналитики.
- Изоляция обработки: предложение новой волны продуктов, которые удаляют ответственность за частные данные с слепой обработкой. Пользовательские данные даже не могут быть получены поставщиком услуг.
Дополнительные сведения о конфиденциальных вычислениях.
Защита электронной почты, документов и конфиденциальных данных
Контролируйте и защищайте электронную почту, документы и конфиденциальные данные, которые вы пересылаете за пределы компании. Azure Information Protection — это облачное решение, помогающее организациям классифицировать, отмечать и защищать документы и сообщения электронной почты. Это можно сделать автоматически с помощью администраторов, которые определяют правила и условия, вручную (самими пользователями) или сочетая два этих подхода, когда пользователи получают рекомендации.
Классификация всегда идентифицируется независимо от того, где хранятся данные или с которыми он предоставляет общий доступ. Метки включают в себя визуальную маркировку, например верхний и нижний колонтитулы или водяной знак. Метаданные добавляются в файлы и заголовки электронной почты в виде открытого текста. Открытый текст гарантирует, что другие службы, такие как решения для предотвращения потери данных, могут определить классификацию и предпринять соответствующие действия.
Технология защиты использует Azure Rights Management (Azure RMS). Эта технология интегрирована с другими облачными службами и приложениями Майкрософт, такими как Microsoft 365 и идентификатор Microsoft Entra. Эта технология защиты использует политики шифрования, удостоверений и авторизации. Защита, применяемая с помощью Azure RMS, остается в документах и сообщениях электронной почты независимо от расположения внутри организации или вне организации, сетей, файловых серверов и приложений.
Это решение для защиты информации позволяет контролировать данные, даже если они совместно используются другим пользователям. Azure RMS можно также использовать с собственными бизнес-приложениями и решениями по защите информации от поставщиков программного обеспечения независимо от места расположения этих приложений — в локальной или облачной средах.
Примите во внимание следующие рекомендации.
- Разверните Azure Information Protection для вашей организации.
- Примените метки, соответствующие бизнес-требованиям. Например: примените метку с именем "строго конфиденциальный" ко всем документам и электронным письмам, содержащим данные верхнего секрета, для классификации и защиты этих данных. После этого доступ к данным будут иметь только авторизованные пользователи с указанными вами ограничениями.
- Настройте ведение журнала использования для Azure RMS, чтобы отслеживать, как в вашей организации используется служба защиты.
Организации, которые не уделяют достаточно внимания классификации данных и защите файлов, могут быть более уязвимыми к утечкам и несанкционированному использованию данных. Обеспечив надлежащую защиту файлов, можно анализировать потоки данных для лучшего понимания бизнеса, выявления схем опасного поведения, принятия корректирующих мер, отслеживания доступа к документам и т. д.
Следующие шаги
Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.
Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.
- Блог команды безопасности Azure. Благодаря этому блогу вы будете в курсе последних новостей о безопасности Azure.
- Microsoft Security Response Center. Это место, куда можно сообщать об уязвимостях, в том числе о проблемах Azure. Это также можно сделать по почте, отправив сообщение по адресу [email protected].