Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文介绍了针对数据安全和加密的最佳做法。
最佳做法基于意见的共识,它们适用于当前的Azure平台功能和功能集。 观点和技术将随着时间改变,本文会定期更新以反映这些更改。
本文与 Microsoft 的 Zero Trust 安全模型保持一致,该模型将数据视为所有阶段需要保护的关键支柱之一。 有关强制实施Azure Policy的规范性安全控制,请参阅 Microsoft Cloud Security Benchmark v2 - Data Protection。
保护数据
为了帮助保护云中的数据,需要考虑数据可能出现的状态以及可用于该状态的控件。 Azure数据安全性和加密的最佳做法与以下数据状态相关:
- 静态下的所有信息包含静态存在于物理介质上(无论是磁盘还是光盘)的存储对象、容器和类型。
- 传输中:在各组件、位置或程序间传输数据时,数据处于“传输中”状态。 例如,传输可以通过网络、通过服务总线(包括从本地传输到云端或从云端传输到本地,以及如 ExpressRoute 等混合连接),或在输入/输出过程中进行。
选择密钥管理解决方案
保护密钥对保护云中的数据至关重要。
Azure提供多种不同的服务来保护使用 HSM 的加密密钥。 这些产品/服务提供云可伸缩性和可用性,同时提供对密钥的完全控制。 建议使用 Azure Key Vault Premium 或 Azure Key Vault 托管 HSM来管理静态密钥的加密。
使用安全工作站进行管理
注意事项
订阅管理员或所有者应使用安全访问工作站或特权访问工作站。
因为绝大多数的攻击以最终用户为目标,所以终结点将成为主要攻击点之一。 攻击者若攻破端点,便可利用用户的凭据访问组织的数据。 大多数终结点攻击都利用了用户是其本地工作站的管理员这一事实。
使用安全管理工作站来保护敏感帐户、任务和数据:使用特权访问工作站来减少工作站中的攻击面。 这些安全管理工作站可帮助减轻其中一些攻击,以确保数据更为安全。
确保终结点保护:无论数据位置(云或本地)如何,在用于使用数据的所有设备上强制实施安全策略。
保护静止的数据
静态数据加密是实现数据隐私性、符合性和数据主权的必要措施。
- 在主机应用加密以帮助保护数据:在主机使用 加密 - VM 的端到端加密。 在主机上进行加密是虚拟机的一项功能,它增强了Azure Disk Storage的服务器端加密,以确保所有临时磁盘和磁盘缓存都进行静止加密,并在传输过程中加密并传输到存储群集。
默认情况下,大多数Azure服务(如Azure Storage和Azure SQL Database)会静态加密数据。 您可以使用 Azure Key Vault 来维护对用于访问和加密您的数据的密钥的控制。 请参阅 Azure 资源提供程序加密模型支持以了解详细信息。
- 使用加密来帮助缓解与数据的未经授权访问相关的风险:在向其写入敏感数据之前,请加密您的服务。
未实施数据加密的组织面临的数据保密性问题风险更大。 公司还必须证明,为了遵守行业法规,他们在不断作出相应努力并使用正确的安全控件来增强其数据安全性。
保护传输中的数据
保护传输中的数据应该是数据保护策略中不可或缺的部分。 由于数据正从多个位置来回移动,因此我们通常建议始终使用 SSL/TLS 协议来exchange不同位置的数据。 在某些情况下,可以使用 VPN 隔离本地与云基础结构之间的整个信道。
对于在本地基础结构和Azure之间移动的数据,请考虑适当的安全措施,例如 HTTPS 或 VPN。 通过公共互联网在 Azure 虚拟网络与本地位置之间发送加密流量时,请使用 Azure VPN Gateway。
下面是特定于使用 Azure VPN Gateway、SSL/TLS 和 HTTPS 的最佳做法。
从多个本地工作站安全访问 Azure 虚拟网络:使用站点到站点 VPN。
从位于本地的单个工作站安全访问 Azure 虚拟网络:使用点到站点 VPN。
通过专用高速 WAN 链接移动更大的数据集:使用 ExpressRoute。 如果选择使用 ExpressRoute,则还可以使用 SSL/TLS 或其他协议在应用程序级别加密数据,以提供额外的保护。
通过 Azure portal 与 Azure Storage 交互:所有事务都通过 HTTPS 进行。 还可以通过 HTTPS 使用 Storage REST API与 Azure Storage 进行交互。
无法保护传输中数据的组织更容易遭受中间人攻击、窃听和会话劫持。 这些攻击可能是获取机密数据的第一步。
保护正在使用的数据
减少对信任的需求:在云上运行工作负载需要信任。 将此信任授予各种提供程序,以启用应用程序的不同组件。
- 应用软件供应商:通过本地部署、使用开放源代码或通过构建内部应用程序软件来信任软件。
- 硬件供应商:通过使用本地硬件或内部硬件来信任硬件。
- 基础结构提供商:信任云提供商或管理你自己的本地数据中心。
减少攻击面受信任的计算基础(TCB)是指提供安全环境的所有系统硬件、固件和软件组件。 TCB 内的组件被视为“关键”组件。如果 TCB 内部有一个组件存在风险,则可能危及整个系统的安全性。 更低的 TCB 意味着更高的安全性。 受各种漏洞、恶意软件、攻击和恶意用户的影响的风险更小。
保护电子邮件、文档和敏感数据
你希望控制并帮助保护在公司外部共享的电子邮件、文档和敏感数据。 Azure Information Protection是一种基于云的解决方案,可帮助组织对文档和电子邮件进行分类、标记和保护。 这可以由定义了规则和条件的管理员自动执行、由用户手动执行,或者以组合方式执行,在组合方式中,用户可获得建议。
分类始终是可标识的,不管数据存储在什么位置,也不管数据是与谁共享的。 标签包括视觉标记,如页眉、页脚或水印。 元数据以明文形式添加到文件和电子邮件标题中。 明文形式确保其他服务(如防止数据丢失的解决方案)可以识别分类并采取相应的操作。
保护技术使用Azure Rights Management(Azure RMS)。 这项技术与其他Azure cloud services和应用程序(如Microsoft 365和Microsoft Entra ID)集成。 此保护技术使用加密、标识和授权策略。 通过 Azure RMS 实施的保护始终伴随文档和电子邮件,无论它们是在组织内部还是外部,亦或在网络、文件服务器和应用程序中。
此信息保护解决方案可让您始终掌控您的数据,即使它与他人共享。 还可以将 Azure RMS 与自有业务应用程序和软件供应商提供的信息保护解决方案配合使用,无论这些应用程序和解决方案是在本地还是在云中。
我们建议您:
- 为您的组织部署 Azure 信息保护。
- 应用可反映业务需求的标签。 例如:将名为“高度机密”的标签应用于包含绝密数据的所有文档和电子邮件,以对这些数据进行分类和保护。 然后,只有经过授权的用户才能access此数据,但有你指定的任何限制。
- 为 Azure RMS 配置 使用日志记录,以便监控组织如何使用保护服务。
数据分类和文件保护能力不佳的组织可能更容易遭到数据泄漏或数据滥用。 通过适当的文件保护,可以分析数据流,以深入了解业务、检测风险行为并采取纠正措施、跟踪文档access等。
后续步骤
- 请参阅 Azure 安全最佳做法和模式,了解在使用 Azure 设计、部署和管理云解决方案时要使用的更多安全最佳做法。
- 查看 Microsoft Cloud Security Benchmark v2 - Data Protection 控制,以获取包含Azure Policy映射的综合数据安全指南。
- 了解 Microsoft 安全未来计划 (SFI),了解 Microsoft 的内部安全最佳实践,这些实践用于保护数据,我们也建议客户使用这些实践。
- 浏览Zero Trust数据部署,获取有关实施数据保护Zero Trust原则的指导。