أفضل ممارسات أمان البيانات والتشفير في Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة أفضل الممارسات لأمان البيانات والتشفير.

تستند أفضل الممارسات إلى إجماع الآراء، وهي تعمل مع إمكانات النظام الأساسي الحالي ل Azure ومجموعات الميزات. تتغير الآراء والتقنيات بمرور الوقت ويتم تحديث هذه المقالة بشكل منتظم لتعكس هذه التغييرات.

حماية البيانات

للمساعدة في حماية البيانات في السحابة، تحتاج إلى حساب الحالات المحتملة التي يمكن أن تحدث فيها بياناتك، وعناصر التحكم المتوفرة لتلك الحالة. تتعلق أفضل الممارسات لأمان بيانات Azure وتشفيرها بحالات البيانات التالية:

• في حالة السكون: يشمل ذلك جميع كائنات تخزين المعلومات والحاويات والأنواع الموجودة بشكل ثابت على الوسائط المادية ، سواء كانت قرصا مغناطيسيا أو ضوئيا.
• أثناء النقل: عندما يتم نقل البيانات بين المكونات أو المواقع أو البرامج، تكون قيد النقل. ومن الأمثلة على ذلك النقل عبر الشبكة، أو عبر ناقل خدمة (من الموقع إلى السحابة والعكس صحيح، بما في ذلك الاتصالات المختلطة مثل ExpressRoute)، أو أثناء عملية الإدخال/الإخراج.

اختر حلا رئيسيا للإدارة

تعد حماية مفاتيحك أمرا ضروريا لحماية بياناتك في السحابة.

يساعد Azure Key Vault في حماية مفاتيح التشفير والبيانات السرية التي تستخدمها التطبيقات والخدمات السحابية. تبسط Key Vault عملية إدارة المفاتيح وتمكِّنك من الحفاظ على التحكم في المفاتيح التي يمكنها الوصول إلى بياناتك وتشفيرها. يمكن للمطورين إنشاء مفاتيح للتطوير والاختبار في دقائق، ثم ترحيلها إلى مفاتيح الإنتاج. يمكن لمسؤولي الأمان منح الإذن للمفاتيح (وإبطالها)، حسب الحاجة.

يمكنك استخدام Azure Key Vault لإنشاء حاويات آمنة متعددة، تسمى مخازن. هذه الخزائن مدعومة ب HSMs. تساعد المخازن على تقليل فرص الفقد العرضي لمعلومات الأمان من خلال مركزية تخزين بيانات التطبيق السرية. تتحكم مخازن المفاتيح أيضاً في الوصول إلى أي شيء مخزَّن فيها وتسجله. يمكن ل Azure Key Vault التعامل مع طلب شهادات أمان طبقة النقل (TLS) وتجديدها. ويوفر ميزات لحل قوي لإدارة مراحل تطوّر الشهادة.

تم تصميم Azure Key Vault لدعم مفاتيح التطبيقات والبيانات السرية. ليس المقصود من Key Vault أن يكون متجرا لكلمات مرور المستخدمين.

فيما يلي أفضل ممارسات الأمان لاستخدام Key Vault.

أفضل الممارسات: منح حق الوصول إلى المستخدمين والمجموعات والتطبيقات في نطاق محدد.
التفاصيل: استخدم أدوار Azure RBAC المحددة مسبقا. على سبيل المثال، لمنح حق الوصول إلى مستخدم لإدارة الخزائن الرئيسية، يمكنك تعيين الدور المحدد مسبقا " مساهم المخزن الرئيسي" لهذا المستخدم في نطاق محدد. سيكون النطاق، في هذه الحالة، اشتراكاً أو مجموعة موارد أو key vault محدداً. إذا كانت الأدوار المحددة مسبقا لا تناسب احتياجاتك، فيمكنك تحديد أدوارك الخاصة.

أفضل الممارسات: التحكم في ما يمكن للمستخدمين الوصول إليه.
التفاصيل: يتم التحكم في الوصول إلى قبو رئيسي من خلال واجهتين منفصلتين: مستوى الإدارة ومستوى البيانات. تعمل عناصر التحكم في الوصول إلى وحدة الإدارة ووحدة البيانات بشكل مستقل عن بعضهما.

استخدم Azure RBAC للتحكم في ما يمكن للمستخدمين الوصول إليه. على سبيل المثال، إذا كنت تريد منح حق الوصول إلى تطبيق لاستخدام المفاتيح في key vault، فستحتاج فقط إلى منح أذونات الوصول إلى مستوى البيانات باستخدام نهج الوصول إلى key vault، ولا يلزم الوصول إلى مستوى الإدارة لهذا التطبيق. وعلى العكس من ذلك، إذا كنت تريد أن يتمكن المستخدم من قراءة خصائص المخزن وعلاماته ولكن ليس لديه أي حق وصول إلى المفاتيح أو الأسرار أو الشهادات، فيمكنك منح هذا المستخدم حق الوصول للقراءة باستخدام Azure RBAC، ولا يلزم الوصول إلى مستوى البيانات.

أفضل الممارسات: يمكنك تخزين الشهادات في مخزن المفاتيح. شهاداتك ذات قيمة عالية. في الأيدي الخطأ ، يمكن اختراق أمان تطبيقك أو أمان بياناتك.
التفاصيل: يمكن ل Azure Resource Manager نشر الشهادات المخزنة في Azure Key Vault بأمان إلى أجهزة Azure الظاهرية عند نشر الأجهزة الظاهرية. من خلال إعداد نُهج الوصول المناسبة لمخزن المفاتيح، يمكنك أيضًا التحكم في من يحصل على حق الوصول إلى الشهادة. ثمة ميزة أخرى هي أنك تستطيع إدارة جميع شهاداتك في مكان واحد في Azure Key Vault. راجع نشر الشهادات على الأجهزة الظاهرية من Key Vault الذي يديره العميل للحصول على مزيد من المعلومات.

أفضل الممارسات: تأكد من أنه يمكنك استرداد حذف الخزائن الرئيسية أو كائنات الخزائن الرئيسية.
التفاصيل: قد يكون حذف الخزائن الرئيسية أو كائنات الخزائن الرئيسية غير مقصود أو ضارا. قم بتمكين ميزات الحذف المبدئي والحماية من الإزالة في Key Vault، لا سيما بالنسبة للمفاتيح المستخدمة لتشفير البيانات الثابتة. ويعادل حذف هذه المفاتيح فقدان البيانات؛ لذلك، يمكنك استرداد المخازن المحذوفة وكائناتها إذا لزم الأمر. قم بإجراء عمليات استرداد "Key Vault" بانتظام.

ملاحظة

إذا كان لدى المستخدم أذونات مساهم (Azure RBAC) إلى مستوى إدارة المخزن الرئيسي، فيمكنه منح نفسه حق الوصول إلى مستوى البيانات عن طريق تعيين سياسة الوصول إلى المخزن الرئيسي. من المستحسن أن تتحكم بإحكام في من يكون لديه حق وصول Contributor (المساهم) إلى key vaults لضمان أن الأشخاص المخوَّلين فقط هم الذين يمكنهم الوصول إلى key vaults والمفاتيح والبيانات السرية والشهادات الرقمية وإدارتها.

الإدارة باستخدام محطات العمل الآمنة

ملاحظة

يجب على مسؤول الاشتراك أو المالك استخدام محطة عمل وصول آمن أو محطة عمل وصول مميزة.

نظرا لأن الغالبية العظمى من الهجمات تستهدف المستخدم النهائي ، تصبح نقطة النهاية واحدة من النقاط الأساسية للهجوم. يمكن للمهاجم الذي يخترق نقطة النهاية استخدام بيانات اعتماد المستخدم للوصول إلى بيانات المؤسسة. تستفيد معظم هجمات نقاط النهاية من حقيقة أن المستخدمين هم مسؤولون في محطات العمل المحلية الخاصة بهم.

أفضل الممارسات: استخدم محطة عمل إدارة آمنة لحماية الحسابات والمهام والبيانات الحساسة.
التفاصيل: استخدم محطة عمل وصول مميزة لتقليل سطح الهجوم في محطات العمل. يمكن أن تساعدك محطات عمل الإدارة الآمنة هذه في التخفيف من بعض هذه الهجمات وضمان أن بياناتك أكثر أمانا.

أفضل الممارسات: ضمان حماية نقطة النهاية.
التفاصيل: فرض سياسات الأمان عبر جميع الأجهزة المستخدمة لاستهلاك البيانات، بغض النظر عن موقع البيانات (السحابة أو المحلية).

حماية البيانات الثابتة

تشفير البيانات في حالة عدم الراحة هو خطوة إلزامية نحو خصوصية البيانات والامتثال لها وسيادة البيانات.

أفضل الممارسات: تطبيق تشفير القرص للمساعدة في حماية بياناتك.
التفاصيل: استخدم تشفير قرص Azure. إنه يمكن مسؤولي تكنولوجيا المعلومات من تشفير Windows وأقراص Linux IaaS VM. يجمع Disk Encryption بين ميزة BitLocker Windows المتوافقة مع معايير الصناعة وميزة Linux dm-crypt لتوفير تشفير وحدة التخزين لنظام التشغيل وأقراص البيانات.

يقوم Azure Storage وAzure SQL Database بتشفير البيانات في وضع السكون بشكل افتراضي، وتوفر العديد من الخدمات التشفير كخيار. يمكنك استخدام Azure Key Vault للحفاظ على التحكم في المفاتيح التي تصل إلى بياناتك وتشفّرها. راجع دعم نموذج تشفير موفري موارد Azure لمعرفة المزيد.

أفضل الممارسات: استخدم التشفير للمساعدة في تخفيف المخاطر المتعلقة بالوصول غير المصرح به إلى البيانات.
التفاصيل: قم بتشفير محركات الأقراص قبل كتابة بيانات حساسة لها.

المؤسسات التي لا تفرض تشفير البيانات أكثر عرضة لمشكلات سرية البيانات. على سبيل المثال، قد يسرق المستخدمون غير المصرح لهم أو المارقون البيانات في الحسابات المخترقة أو يحصلون على وصول غير مصرح به إلى البيانات المشفرة في Clear Format. يجب على الشركات أيضا إثبات أنها مجتهدة وتستخدم ضوابط الأمان الصحيحة لتعزيز أمن بياناتها من أجل الامتثال للوائح الصناعة.

حماية البيانات المتنقلة

يجب أن تكون حماية البيانات المتنقلة جزءًا أساسيًا من استراتيجية حماية بياناتك. نظرًا إلى أن البيانات تنتقل بين العديد من المواقع، فإننا نوصي عمومًا باستخدام بروتوكولات SSL/TLS دائمًا لتبادل البيانات عبر مواقع مختلفة. في بعض الظروف، قد ترغب في عزل قناة الاتصال بالكامل بين البنى التحتية المحلية والسحابة باستخدام VPN.

لنقل البيانات بين البنية الأساسية المحلية وAzure، ضع في اعتبارك الضمانات المناسبة مثل HTTPS أو VPN. عند إرسال حركة مرور مشفرة بين شبكة Azure الظاهرية وموقع محلي عبر الإنترنت العام، استخدم Azure VPN Gateway.

فيما يلي أفضل الممارسات الخاصة باستخدام بوابة Azure VPN وSSL/TLS وHTTPS.

أفضل الممارسات: الوصول الآمن من محطات عمل متعددة موجودة محليا إلى شبكة Azure الظاهرية.
التفاصيل: استخدم VPN من موقع إلى موقع.

أفضل الممارسات: الوصول الآمن من محطة عمل فردية موجودة محليا إلى شبكة Azure الظاهرية.
التفاصيل: استخدم VPN من نقطة إلى موقع.

أفضل الممارسات: انقل مجموعات بيانات أكبر عبر رابط WAN مخصص عالي السرعة.
التفاصيل: استخدم ExpressRoute. إذا اخترت استخدام ExpressRoute، فإنه يمكنك أيضًا تشفير البيانات على مستوى التطبيق باستخدام SSL/TLS أو بروتوكولات أخرى لتوفير حماية إضافية.

أفضل الممارسات: التفاعل مع Azure Storage من خلال مدخل Azure.
التفاصيل: تحدث جميع المعاملات عبر HTTPS. يمكنك أيضا استخدام واجهة برمجة تطبيقات Storage REST عبر HTTPS للتفاعل مع تخزين Azure.

المؤسسات التي تفشل في حماية البيانات أثناء نقلها تكون أكثر عرضة لهجمات الرجل في الوسطوالتنصت واختطاف الجلسات. يمكن أن تكون هذه الهجمات الخطوة الأولى للوصول إلى البيانات السرية.

تأمين البريد الإلكتروني والمستندات والبيانات الحساسة

تريد التحكم في البريد الإلكتروني والمستندات والبيانات الحساسة التي تشاركها خارج شركتك وتأمينها. Azure Information Protection هو حل قائم على السحابة يساعد المؤسسة على تصنيف مستنداتها ورسائل البريد الإلكتروني الخاصة بها وتصنيفها وحمايتها. يمكن القيام بذلك تلقائيا بواسطة المشرفين الذين يحددون القواعد والشروط ، يدويا من قبل المستخدمين ، أو مجموعة حيث يحصل المستخدمون على توصيات.

يمكن التعرف على التصنيف في جميع الأوقات، بغض النظر عن مكان تخزين البيانات أو مع من تتم مشاركتها. تتضمن التسميات علامات مرئية مثل رأس أو تذييل أو علامة مائية. تتم إضافة البيانات الوصفية إلى الملفات ورؤوس البريد الإلكتروني بنص واضح. يضمن النص الواضح أن الخدمات الأخرى ، مثل الحلول لمنع فقدان البيانات ، يمكنها تحديد التصنيف واتخاذ الإجراء المناسب.

تستخدم تقنية الحماية إدارة حقوق Azure (Azure RMS). تم دمج هذه التقنية مع خدمات وتطبيقات Microsoft السحابية الأخرى، مثل Microsoft 365 وAzure Active Directory. تستخدم تقنية الحماية هذه سياسات التشفير والهوية والتفويض. تظل الحماية التي يتم تطبيقها من خلال Azure RMS مع المستندات ورسائل البريد الإلكتروني، بشكل مستقل عن الموقع - داخل مؤسستك وشبكاتك وخوادم الملفات والتطبيقات أو خارجها.

يبقيك حل حماية المعلومات هذا متحكما في بياناتك، حتى عند مشاركتها مع أشخاص آخرين. يمكنك أيضا استخدام Azure RMS مع تطبيقات خط العمل الخاصة بك وحلول حماية المعلومات من موردي البرامج، سواء كانت هذه التطبيقات والحلول محلية أو في السحابة.

ننصح بما يلي:

• نشر حماية معلومات Azure لمؤسستك.
• تطبيق التصنيفات التي تعكس متطلبات نشاطك التجاري. على سبيل المثال: تطبيق تصنيف باسم "سري للغاية" على جميع المستندات ورسائل البريد الإلكتروني التي تحتوي على بيانات سرية للغاية، لتصنيف هذه البيانات وحمايتها. بعد ذلك ، يمكن للمستخدمين المصرح لهم فقط الوصول إلى هذه البيانات ، مع أي قيود تحددها.
• قم بتكوين تسجيل الاستخدام ل Azure RMS بحيث يمكنك مراقبة كيفية استخدام مؤسستك لخدمة الحماية.

قد تكون المؤسسات الضعيفة في تصنيف البيانات وحماية الملفات أكثر عرضة لتسرب البيانات أو إساءة استخدامها. مع الحماية المناسبة للملفات، يمكنك تحليل تدفقات البيانات للحصول على نظرة ثاقبة على عملك، واكتشاف السلوكيات المحفوفة بالمخاطر واتخاذ التدابير التصحيحية، وتتبع الوصول إلى المستندات، وما إلى ذلك.

الخطوات التالية

راجع أفضل ممارسات وأنماط أمان Azure للحصول على المزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة ونشرها وإدارتها باستخدام Azure .

تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure خدمات Microsoft ذات الصلة:

• مدونة فريق أمان Azure - للحصول على أحدث المعلومات حول أحدث ما توصل إليه أمان Azure
• مركز الاستجابة الأمنية ل Microsoft - حيث يمكن الإبلاغ عن الثغرات الأمنية في Microsoft، بما في ذلك المشكلات المتعلقة ب Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com