Azure 数据安全与加密最佳做法

本文介绍了针对数据安全和加密的最佳做法。

最佳做法是基于大家普遍认可的观点，并与当前的 Azure 平台功能和特性组合相契合。 观点和技术将随着时间改变，本文会定期更新以反映这些更改。

本文与 Microsoft 的 零信任 安全模型保持一致，该模型将数据视为在所有阶段需要保护的关键支柱之一。 有关实施 Azure Policy 的规范性安全控制，请参阅 Microsoft云安全基准 v2 - 数据保护。

保护数据

为了帮助保护云中的数据，需要考虑数据可能出现的状态以及可用于该状态的控件。 Azure 数据安全与加密的最佳做法与以下数据状态相关：

• 静态：包括物理媒体（磁盘或光盘）上以静态方式存在的所有信息存储对象、容器和类型。
• 传输中：在各组件、位置或程序间传输数据时，数据处于“传输中”状态。 例如通过网络、通过服务总线（从本地到云，反之亦然，包括诸如 ExpressRoute 的混合连接）进行传输，或在输入/输出过程。

选择密钥管理解决方案

保护密钥对保护云中的数据至关重要。

Azure 提供多种不同的服务来保护使用 HSM 的加密密钥。 这些产品/服务提供云可伸缩性和可用性，同时提供对密钥的完全控制。 建议使用 Azure Key Vault Premium 或 Azure Key Vault 托管 HSM 来管理静态密钥的加密。

使用安全工作站进行管理

因为绝大多数的攻击以最终用户为目标，所以终结点将成为主要攻击点之一。 入侵终结点的攻击者可以使用用户的凭据来访问组织的数据。 大多数终结点攻击都利用了用户是其本地工作站的管理员这一事实。

• 使用安全管理工作站来保护敏感帐户、任务和数据：使用 特权访问工作站 减少工作站中的攻击面。 这些安全管理工作站可帮助减轻其中一些攻击，以确保数据更为安全。

• 确保终结点保护：无论数据位置（云或本地）如何，在用于使用数据的所有设备上强制实施安全策略。

保护静止的数据

静态数据加密是实现数据隐私性、符合性和数据主权的必要措施。

• 在主机应用加密以帮助保护数据：在主机使用 加密 - VM 的端到端加密。 主机加密是一种虚拟机选项，可增强 Azure 磁盘存储的服务器端加密，以确保所有临时磁盘和磁盘缓存在静止时加密，并在传输到存储群集时加密。

默认情况下，大多数 Azure 服务（如 Azure 存储和 Azure SQL 数据库）都会加密静态数据。 可以使用 Azure Key Vault 来持续控制用于访问和加密数据的密钥。 有关详细信息，请参阅 Azure 资源提供程序加密模型支持。

• 使用加密来帮助缓解与未经授权的数据访问相关的风险：在向服务写入敏感数据之前加密服务。

未实施数据加密的组织面临的数据保密性问题风险更大。 公司还必须证明，为了遵守行业法规，他们在不断作出相应努力并使用正确的安全控件来增强其数据安全性。

保护传输中的数据

保护传输中的数据应该是数据保护策略中不可或缺的部分。 由于数据在许多位置间来回移动，因此，通常建议始终使用 SSL/TLS 协议在不同位置间交换数据。 在某些情况下，可以使用 VPN 隔离本地与云基础结构之间的整个信道。

对于在本地基础结构与 Azure 之间移动的数据，请考虑适当的防护措施，例如 HTTPS 或 VPN。 通过公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密流量时，请使用 Azure VPN 网关。

以下是特定于使用 Azure VPN 网关、SSL/TLS 和 HTTPS 的最佳做法。

• 为多个位于本地的工作站安全访问 Azure 虚拟网络：使用 站点到站点 VPN。

• 从位于本地的单个工作站安全访问 Azure 虚拟网络：使用 点到站点 VPN。

• 通过专用高速 WAN 链接移动更大的数据集：使用 ExpressRoute。 如果选择使用 ExpressRoute，则还可以使用 SSL/TLS 或其他协议在应用程序级别加密数据，以提供额外的保护。

• 通过 Azure 门户与 Azure 存储交互：所有事务都通过 HTTPS 进行。 也可通过 HTTPS 使用存储 REST API 与 Azure 存储进行交互。

无法保护传输中数据的组织更容易遭受中间人攻击、窃听和会话劫持。 这些攻击可能是获取机密数据访问权限的第一步。

保护正在使用的数据

减少对信任的需求：在云上运行工作负载需要信任。 将此信任授予各种提供程序，以启用应用程序的不同组件。

• 应用软件供应商：通过本地部署、使用开放源代码或通过构建内部应用程序软件来信任软件。
• 硬件供应商：通过使用本地硬件或内部硬件来信任硬件。
• 基础结构提供商：信任云提供商或管理你自己的本地数据中心。

减少受攻击面：可信计算基 (TCB) 指提供安全环境的系统所有硬件、固件和软件组件。 TCB 内的组件被视为“关键”组件。如果 TCB 内部有一个组件存在风险，则可能危及整个系统的安全性。 更低的 TCB 意味着更高的安全性。 受各种漏洞、恶意软件、攻击和恶意用户的影响的风险更小。

保护电子邮件、文档和敏感数据

你希望控制并帮助保护在公司外部共享的电子邮件、文档和敏感数据。 Azure 信息保护是基于云的解决方案，可帮助组织对其文档和电子邮件进行分类、标记和保护。 这可以由定义了规则和条件的管理员自动执行、由用户手动执行，或者以组合方式执行，在组合方式中，用户可获得建议。

分类始终是可标识的，不管数据存储在什么位置，也不管数据是与谁共享的。 标签包括视觉标记，如页眉、页脚或水印。 元数据以明文形式添加到文件和电子邮件标题中。 明文形式确保其他服务（如防止数据丢失的解决方案）可以识别分类并采取相应的操作。

保护技术使用 Azure Rights Management (Azure RMS)。 此技术与其他 Azure 云服务和应用程序（如 Microsoft 365 和 Microsoft Entra ID）集成。 此保护技术使用加密、标识和授权策略。 通过 Azure RMS 应用的保护始终伴随文档和电子邮件，无论在组织、网络、文件服务器和应用程序内部还是外部，均不受位置影响。

此信息保护解决方案即使在与他人共享时，也让您能够控制您的数据。 还可以将 Azure RMS 用于自己的业务线应用程序和软件供应商提供的信息保护解决方案，而无论这些应用程序和解决方案是在本地还是在云中。

我们建议您：

• 为组织部署 Azure 信息保护。
• 应用可反映业务需求的标签。 例如：将名为“高度机密”的标签应用于包含绝密数据的所有文档和电子邮件，以对这些数据进行分类和保护。 然后，只有授权的用户才能访问此数据，并具有指定的任何限制。
• 配置 Azure RMS 的使用情况日志记录，以便监视组织使用保护服务的方式。

数据分类和文件保护能力不佳的组织可能更容易遭到数据泄漏或数据滥用。 使用适当的文件保护，可以分析数据流，以深入了解业务、检测风险行为并采取纠正措施、跟踪对文档的访问等等。

后续步骤

• 有关通过 Azure 设计、部署和管理云解决方案时可以使用的更多安全最佳做法，请参阅 Azure 安全最佳做法和模式。
• 查看 Microsoft 云安全基准 v2 - 数据保护 控制，以获取有关 Azure Policy 映射的全面数据安全指南。
• 了解 Microsoft 安全未来计划 (SFI)，了解 Microsoft 的内部安全最佳实践，这些实践用于保护数据，我们也建议客户使用这些实践。
• 请探索 零信任在数据保护中的部署，获取关于为数据实现零信任原则的实施指南。