Azure 數據安全與加密最佳做法,azure web安全防護

Azure 數據安全與加密最佳做法

本文介紹了針對數據安全和加密的最佳做法。

最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎。觀點和技術將隨著時間改變，本文會定期更新以反映這些更改。

保護數據

為了幫助保護云中的數據，需要考慮數據可能出現的狀態以及可用于該狀態的控件。Azure數據安全與加密的最佳做法與以下數據狀態相關：

靜態：包括物理媒體（磁盤或光盤）上以靜態方式存在的所有信息存儲對象、容器和類型。

傳輸中：在各組件、位置或程序間傳輸數據時，數據處于“傳輸中”狀態。例如通過網絡、通過服務總線（從本地到云，反之亦然，包括諸如ExpressRoute的混合連接）進行傳輸，或在輸入/輸出過程。

選擇密鑰管理解決方案

保護密鑰對保護云中的數據至關重要。

Azure Key Vault可幫助保護云應用程序和服務使用的加密密鑰和機密。密鑰保管庫簡化了密鑰管理過程，可讓你控制用于訪問和加密數據的密鑰。開發人員可以在幾分鐘內創建用于開發和測試的密鑰，然后將其遷移到生產密鑰。安全管理員可以根據需要授予（和吊銷）密鑰權限。

可以使用Key Vault創建多個安全容器（稱為保管庫）。這些保管庫受HSM支持。保管庫可以集中存儲應用程序機密，降低安全信息意外丟失的可能性。Key vault還控制并記錄外界對其所存儲內容的訪問。Azure Key Vault負責處理傳輸層安全性(TLS)證書的請求和續訂事宜。它為可靠的證書生命周期管理解決方案提供相關功能。

Azure Key Vault旨在支持應用程序密鑰和機密。Key Vault不應用于存儲用戶密碼。

以下是使用Key Vaul的安全最佳做法。

最佳做法：向特定范圍內的用戶、組和應用程序授予訪問權限。

詳細信息：使用Azure RBAC預定義角色。例如，要向用戶授予管理密鑰保管庫的訪問權限，需要將預定義的角色密鑰保管庫參與者分配給位于特定范圍內的此用戶。在此情況下，該范圍可以是訂閱、資源組，或只是特定的密鑰保管庫。如果預定義角色不符合需求，可以定義自己的角色。

最佳做法：控制用戶有權訪問的內容。

詳細信息：可通過以下兩個獨立接口來控制對密鑰保管庫的訪問：管理平面和數據平面。管理平面訪問控制與數據平面訪問控制相互獨立。

使用Azure RBAC控制用戶有權訪問的內容。例如，如果想要授予應用程序使用密鑰保管庫中的密鑰的訪問權限，只需使用密鑰保管庫訪問策略授予數據平面訪問權限，而無需授予此應用程序的管理平面訪問權限。相反，如果你希望用戶能夠讀取保管庫屬性和標記，但不能訪問密鑰、機密或證書，則可以使用Azure RBAC向此用戶授予讀取訪問權限，而不需要訪問數據平面。

最佳做法：將證書存儲在Key Vault中。證書的價值很高。如果落入他人之手，應用程序或數據的安全性可能會受到損害。

詳細信息：Azure資源管理器可以在部署VM時，將存儲在Azure Key Vault中的證書安全地部署到Azure VM。通過為密鑰保管庫設置適當的訪問策略，還可以控制有權訪問證書的人員。另一個好處是，可以在Azure Key Vault中的一個位置管理所有證書。有關詳細信息，請參閱將證書從客戶托管的Key Vault部署到VM。

最佳做法：確保可以恢復刪除的Key Vault或Key Vault對象。

詳細信息：刪除Key Vault或Key Vault對象可以是無意或惡意的。啟用Key Vault的軟刪除和清除保護功能，尤其是對用于加密靜態數據的密鑰。刪除這些密鑰相當于丟失數據，因此可以在需要時恢復已刪除的保管庫和保管庫對象。定期練習Key Vault恢復操作。

備注

如果用戶具有對密鑰保管庫管理平面(Azure RBAC)的參與者權限，則他們可以通過設置密鑰保管庫訪問策略來授予對數據平面的訪問權限。建議嚴格控制具有密鑰保管庫“參與者”權限的人員，以確保只有獲得授權的人員可以訪問和管理密鑰保管庫、密鑰、機密和證書。

使用安全工作站進行管理

備注

訂閱管理員或所有者應使用安全訪問工作站或特權訪問工作站。

因為絕大多數的攻擊以最終用戶為目標，所以終結點將成為主要攻擊點之一。入侵終結點的攻擊者可以使用用戶的憑據來訪問組織的數據。大多數終結點攻擊都利用了用戶是其本地工作站的管理員這一事實。

最佳做法：使用安全管理工作站來保護敏感帳戶、任務和數據。

詳細信息：使用特權訪問工作站來減小工作站的受攻擊面。這些安全管理工作站可幫助減輕其中一些攻擊，以確保數據更為安全。

最佳做法：確保終結點受保護。

詳細信息：在用于使用數據的所有設備上強制實施安全策略（無論數據位于云中還是本地）。

保護靜止的數據

靜態數據加密是實現數據隱私性、符合性和數據主權的必要措施。

最佳做法：使用磁盤加密來幫助保護數據。

詳細信息：使用Azure磁盤加密。它使IT管理員能夠加密Windows和Linux IaaS VM磁盤。磁盤加密利用符合行業標準的Windows BitLocker功能和Linux dmcrypt功能為OS和數據磁盤提供卷加密。

Azure存儲和Azure SQL數據庫默認對靜態數據進行加密，并且許多服務都將加密作為選項提供?？梢允褂肁zure Key Vault來持續控制用于訪問和加密數據的密鑰。有關詳細信息，請參閱Azure資源提供程序加密模型支持。

最佳做法：使用加密來幫助降低與未經授權訪問數據相關的風險。

詳細信息：在將敏感數據寫入驅動器之前先將驅動器加密。

未實施數據加密的組織面臨的數據保密性問題風險更大。例如，未經授權的用戶或惡意用戶可能會竊取已入侵帳戶中的數據，或者未經授權訪問以明文格式編碼的數據。公司還必須證明，為了遵守行業法規，他們在不斷作出相應努力并使用正確的安全控件來增強其數據安全性。

保護傳輸中的數據

保護傳輸中的數據應該是數據保護策略中不可或缺的部分。由于數據在許多位置間來回移動，因此，通常建議始終使用SSL/TLS協議在不同位置間交換數據。在某些情況下，可以使用VPN隔離本地與云基礎結構之間的整個信道。

對于在本地基礎結構與Azure之間移動的數據，請考慮適當的防護措施，例如HTTPS或VPN。通過公共internet在Azure虛擬網絡與本地位置之間發快遞加密流量時，請使用AZURE VPN網關。

以下是特定于使用Azure VPN網關、SSL/TLS和HTTPS的最佳做法。

最佳做法：從位于本地的多個工作站安全訪問Azure虛擬網絡。

詳細信息：使用站點到站點VPN。

最佳做法：從位于本地的單個工作站安全訪問Azure虛擬網絡。

詳細信息：使用點到站點VPN。

最佳做法：通過專用高速WAN鏈路移動大型數據集。

詳細信息：使用ExpressRoute。如果選擇使用ExpressRoute，則還可以使用SSL/TLS或其他協議在應用程序級別加密數據，以提供額外的保護。

最佳做法：通過Azure門戶與Azure存儲交互。

詳細信息：所有事務都通過HTTPS進行。也可通過HTTPS使用存儲REST API與Azure存儲進行交互。

無法保護傳輸中數據的組織更容易遭受中間人攻擊、竊聽和會話劫持。這些攻擊可能是獲取機密數據訪問權限的第一步。

保護電子郵件、文檔和敏感數據

你希望控制并幫助保護在公司外部共享的電子郵件、文檔和敏感數據。Azure信息保護是基于云的解決方案，可幫助組織對其文檔和電子郵件進行分類、標記和保護。這可以由定義了規則和條件的管理員自動執行、由用戶手動執行，或者以組合方式執行，在組合方式中，用戶可獲得建議。

分類始終是可標識的，而無論數據的存儲位置或數據的共享人員。標簽包括視覺標記，如頁眉、頁腳或水印。元數據以明文形式添加到文件和電子郵件標題中。明文形式確保其他服務（如防止數據丟失的解決方案）可以識別分類并采取相應的操作。

保護技術使用Azure Rights Management(Azure RMS)。此技術與其他Microsoft云服務和應用程序（如Microsoft 365和Azure Active Directory）相集成。此保護技術使用加密、標識和授權策略。通過Azure RMS應用的保護與文檔和電子郵件保留在一起，不受位置影響，也無論是在組織、網絡、文件服務器和應用程序內部還是外部。

此信息保護解決方案可用于控制數據，即使是與他人共享的數據，也可控制。還可以將Azure RMS用于自己的業務線應用程序和軟件供應商提供的信息保護解決方案，而無論這些應用程序和解決方案是在本地還是在云中。

建議：

為組織部署Azure信息保護。

應用可反映業務需求的標簽。例如：將名為“高度機密”的標簽應用于包含絕密數據的所有文檔和電子郵件，以對這些數據進行分類和保護。然后，只有授權的用戶才能訪問此數據，并具有指定的任何限制。

配置Azure RMS的使用情況日志記錄，以便監視組織使用保護服務的方式。

數據分類和文件保護能力不佳的組織可能更容易遭到數據泄漏或數據濫用。使用適當的文件保護，可以分析數據流，以深入了解業務、檢測風險行為并采取糾正措施、跟蹤對文檔的訪問等等。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。