Share via

أفضل ممارسات أمان البيانات والتشفير في Azure

  • مقالة

توضح هذه المقالة أفضل الممارسات لأمن البيانات وتشفيرها.

تستند أفضل الممارسات إلى توافق الآراء، وتعمل مع قدرات النظام الأساسي الحالي لـ Azure ومجموعات الميزات. تتغير الآراء والتقنيات بمرور الوقت ويتم تحديث هذه المقالة بشكل منتظم لتعكس تلك التغييرات.

حماية البيانات

للمساعدة في حماية البيانات في السحابة، تحتاج إلى حساب الحالات المحتملة التي يمكن أن تحدث فيها بياناتك وعناصر التحكم المتوفرة لتلك الحالة. تتعلق أفضل الممارسات لأمان البيانات والتشفير في Azure بحالات البيانات التالية:

  • البيانات الثابتة:يتضمن ذلك جميع كائنات تخزين المعلومات والحاويات والأنواع الموجودة بشكل ثابت على الوسائط الفعلية، سواء أكانت قرصاً مغناطيسياً أم ضوئياً.
  • البيانات أثناء النقل: عندما يتم نقل البيانات بين المكونات أو المواقع أو البرامج، تكون بيانات متنقلة. ومن الأمثلة على ذلك النقل عبر الشبكة، أو عبر ناقل خدمة (من محلي إلى سحابي والعكس صحيح، بما في ذلك الاتصالات المختلطة مثل ExpressRoute)، أو أثناء عملية الإدخال/الإخراج.
  • قيد الاستخدام: عند معالجة البيانات، تحتفظ الأجهزة الظاهرية للحوسبة السرية المستندة إلى مجموعة شرائح AMD و Intel المتخصصة بالبيانات المشفرة في الذاكرة باستخدام المفاتيح المدارة للأجهزة.

اختيار حل إدارة رئيسي

حماية المفاتيح ضرورية لحماية بياناتك في السحابة.

يساعد Azure Key Vault في حماية مفاتيح التشفير والبيانات السرية التي تستخدمها التطبيقات والخدمات السحابية. تبسط Key Vault عملية إدارة المفاتيح وتمكِّنك من الحفاظ على التحكم في المفاتيح التي يمكنها الوصول إلى بياناتك وتشفيرها. يمكن للمطورين إنشاء مفاتيح للتطوير والاختبار في دقائق، ثم ترحيلها إلى مفاتيح الإنتاج. يمكن لمسؤولي الأمان منح الإذن للمفاتيح (وإبطالها)، حسب الحاجة.

يمكنك استخدام Azure Key Vault لإنشاء حاويات آمنة متعددة، تسمى مخازن. هذه المخازن مدعومة من قبل HSMs. تساعد المخازن على تقليل فرص الفقد العرضي لمعلومات الأمان من خلال مركزية تخزين بيانات التطبيق السرية. تتحكم مخازن المفاتيح أيضاً في الوصول إلى أي شيء مخزَّن فيها وتسجله. يمكن لـ Azure Key Vault معالجة طلب وتجديد شهادات أمان طبقة النقل (TLS). ويوفر ميزات لحل قوي لإدارة مراحل تطوّر الشهادة.

تم تصميم Azure Key Vault لدعم مفاتيح التطبيقات والبيانات السرية. لا يقصد Key Vault أن يكون مخزنا لكلمات مرور المستخدم.

فيما يلي بعض أفضل الممارسات المتعلقة بالأمان لاستخدام Key Vault.

أفضل ممارسة: منح حق الوصول للمستخدمين والمجموعات والتطبيقات بنطاق محدد. التفاصيل: استخدم الأدوار المعرفة مسبقاً للتحكم في الوصول استناداً إلى الدور في Azure. على سبيل المثال، لمنح حق الوصول لمستخدم لإدارة مخازن المفاتيح، يمكنك تعيين الدور المحدد مسبقاً مساهم Key Vault لهذا المستخدم بنطاق محدد. سيكون النطاق، في هذه الحالة، اشتراكاً أو مجموعة موارد أو key vault محدداً. إذا كانت الأدوار المحددة مسبقاً لا تناسب احتياجاتك، يمكنك تحديد أدوارك الخاصة.

أفضل ممارسة: التحكم فيما يمكن للمستخدمين الوصول إليه. التفاصيل: يتم التحكم في الوصول إلى مخزن مفاتيح من خلال واجهتين منفصلتين هما: وحدة الإدارة ووحدة البيانات. تعمل عناصر التحكم في الوصول إلى وحدة الإدارة ووحدة البيانات بشكل مستقل عن بعضهما.

استخدم Azure RBAC للتحكم في ما يمكن للمستخدمين الوصول إليه. على سبيل المثال، إذا كنت تريد منح حق الوصول إلى تطبيق لاستخدام المفاتيح في key vault، فستحتاج فقط إلى منح أذونات الوصول إلى مستوى البيانات باستخدام نهج الوصول إلى key vault، ولا يلزم الوصول إلى مستوى الإدارة لهذا التطبيق. على العكس من ذلك، إذا كنت تريد أن يكون المستخدم قادراً على قراءة خصائص وعلامات المخزن، لكن ليس لديك أي حق للوصول إلى المفاتيح أو البيانات السرية أو الشهادات، يمكنك، باستخدام "RBAC"، منح حق الوصول للقراءة فقط إلى وحدة الإدارة.

أفضل ممارسة: تخزين الشهادات في مخزن المفاتيح لديك. شهاداتك ذات قيمة عالية. يمكن أن يتعرض أمان تطبيقك أو أمان بياناتك للخطر عند وقوعه في الأيدي الخطأ. التفاصيل: يمكن لـ Azure Resource Manager توزيع الشهادات المخزنة في Azure Key Vault توزيعاً آمناً إلى أجهزة Azure الظاهرية عند توزيع الأجهزة الظاهرية. من خلال إعداد نُهج الوصول المناسبة لمخزن المفاتيح، يمكنك أيضاً التحكم في من يحصل على حق الوصول إلى الشهادة. ثمة ميزة أخرى هي أنك تستطيع إدارة جميع شهاداتك في مكان واحد في Azure Key Vault. راجع نشر الشهادات على الأجهزة الظاهرية من Key Vault التي يديرها العميل للحصول على مزيد من المعلومات.

أفضل ممارسة: التأكد من أنه يمكنك استرداد حذف مخازن المفاتيح أو عناصرها. التفاصيل: يمكن أن يكون حذف مخازن المفاتيح أو عناصرها غير مقصود أو ضاراً. قم بتمكين ميزات الحذف المبدئي والحماية من الإزالة في Key Vault، لا سيما بالنسبة للمفاتيح المستخدمة لتشفير البيانات الثابتة. يعادل حذف هذه المفاتيح فقدان البيانات، لذلك، يمكنك استرداد المخازن المحذوفة وكائناتها إذا لزم الأمر. قم بإجراء عمليات استرداد "Key Vault" بانتظام.

إشعار

إذا كان لدى المستخدم أذونات Contributor (المساهم) (Azure RBAC) للوصول إلى وحدة إدارة مخزن المفاتيح، يمكنه منح نفسه الوصول إلى وحدة البيانات عن طريق تعيين نهج الوصول إلى مخزن المفاتيح. من المستحسن أن تتحكم بإحكام في من يكون لديه حق وصول Contributor (المساهم) إلى key vaults لضمان أن الأشخاص المخوَّلين فقط هم الذين يمكنهم الوصول إلى key vaults والمفاتيح والبيانات السرية والشهادات الرقمية وإدارتها.

الإدارة باستخدام محطات عمل آمنة

إشعار

يجب أن يستخدم مسؤول الاشتراك أو المالك محطة عمل وصول آمنة أو محطة عمل وصول متميزة.

نظراً لأن الغالبية العظمى من الهجمات تستهدف المستخدم النهائي، تصبح نقطة النهاية إحدى نقاط الهجوم الأساسية. يمكن للمهاجم الذي يخترق نقطة النهاية استخدام بيانات اعتماد المستخدم للوصول إلى بيانات المؤسسة. تستفيد معظم هجمات نقطة النهاية من حقيقة أن المستخدمين هم المسؤولون في محطات العمل المحلية الخاصة بهم.

أفضل ممارسة: استخدام محطة عمل إدارة آمنة لحماية الحسابات والمهام والبيانات الحساسة. التفاصيل: استخدم محطة عمل وصول متميزة لتقليل سطح الهجوم في محطات العمل. يمكن أن تساعدك محطات عمل الإدارة الآمنة هذه في التخفيف من بعض هذه الهجمات والتأكد من أن بياناتك أكثر أماناً.

أفضل ممارسة: ضمان حماية نقطة النهاية. التفاصيل: فرض نهج الأمان عبر جميع الأجهزة المستخدمة لاستهلاك البيانات، بغض النظر عن موقع البيانات (السحابة أو محلياً).

حماية البيانات الثابتة

يُعد تشفير البيانات غير النشطة خطوة إلزامية نحو خصوصية البيانات والامتثال وسيادة البيانات.

أفضل ممارسة: يجب تطبيق تشفير القرص للمساعدة في حماية بياناتك. تفاصيل: استخدم تشفير قرص Azure لأجهزة Linux الظاهرية أو تشفير قرص Azure لأجهزة Windows الظاهرية. يجمع تشفير القرص بين ميزة Linux dm-crypt القياسية في الصناعة أو ميزة Windows BitLocker لتوفير تشفير وحدة التخزين لنظام التشغيل وأقراص البيانات.

يقوم التخزين في Azure وقاعدة بيانات Azure SQL Database بتشفير البيانات الثابتة افتراضيًا، وتقدم العديد من الخدمات التشفير باعتباره أحد الخيارات. يمكنك استخدام Azure Key Vault للحفاظ على التحكم في المفاتيح التي تصل إلى بياناتك وتشفّرها. راجع دعم نموذج تشفير موفري موارد Azure لمعرفة المزيد.

أفضل ممارسة: استخدام التشفير للمساعدة في التخفيف من المخاطر المتعلقة بالوصول غير المخول إلى البيانات. التفاصيل: قم بتشفير محركات الأقراص قبل كتابة بيانات حساسة بها.

المؤسسات التي لا تفرض تشفير البيانات أكثر عرضة لمشكلات سرية البيانات. على سبيل المثال، قد يسرق المستخدمون غير المخول لهم أو المحتالون البيانات الموجودة في الحسابات المخترقة أو يحصلون على وصول غير مخول إلى البيانات المشفرة بتنسيق واضح. يجب على الشركات أيضًا إثبات أنها تعمل بجد وتستخدم ضوابط أمان صحيحة لتعزيز أمان بياناتها للامتثال للوائح الصناعة.

حماية البيانات المتنقلة

يجب أن تكون حماية البيانات المتنقلة جزءًا أساسيًا من استراتيجية حماية بياناتك. نظرًا إلى أن البيانات تنتقل بين العديد من المواقع، فإننا نوصي عمومًا باستخدام بروتوكولات SSL/TLS دائمًا لتبادل البيانات عبر مواقع مختلفة. في بعض الظروف، قد ترغب في عزل قناة الاتصال بالكامل بين البنى التحتية المحلية والسحابة باستخدام VPN.

لنقل البيانات بين البنية الأساسية المحلية وAzure، ضع في اعتبارك الضمانات المناسبة مثل HTTPS أو VPN. استخدم Azure VPN Gateway عند إرسال نسبة استخدام الشبكة بشكل مشفر بين شبكة Azure ظاهرية وموقع محلي عبر الإنترنت العام.

إليك التالي أفضل الممارسات الخاصة باستخدام Azure VPN Gateway وSSL/TLS وHTTPS.

أفضل ممارسة: تأمين الوصول من محطات عمل متعددة موجودة في أماكن العمل إلى شبكة Azure الظاهرية. التفاصيل: استخدم VPN من موقع إلى موقع.

أفضل ممارسة: قم بتأمين الوصول من محطة عمل فردية موجودة في الموقع المحلي إلى شبكة Azure ظاهرية. التفاصيل: استخدم VPN من نقطة إلى موقع.

أفضل ممارسة: انقل مجموعات البيانات الأكبر عبر ارتباط شبكة واسعة النطاق (WAN) مخصص عالي السرعة. التفاصيل: استخدم ExpressRoute. إذا اخترت استخدام ExpressRoute، فإنه يمكنك أيضًا تشفير البيانات على مستوى التطبيق باستخدام SSL/TLS أو بروتوكولات أخرى لتوفير حماية إضافية.

أفضل ممارسة: التفاعل مع Azure Storage من خلال مدخل Azure. التفاصيل: تحدث جميع العمليات عبر HTTPS. يمكنك أيضاً استخدام واجهة برمجة تطبيقات REST لـ Storage عبر HTTPS للتفاعل مع Azure Storage.

تكون المنظمات التي تفشل في حماية البيانات المتنقلة أكثر عرضة لهجمات الدخلاءوالتنصت وتتبع الجلسات. يمكن أن تكون هذه الهجمات الخطوة الأولى للوصول إلى البيانات السرية.

حماية البيانات المستخدمة

تقليل الحاجة إلى الثقة يتطلب تشغيل أحمال العمل على السحابة الثقة. بإمكانك منح هذه الثقة لمزودين مختلفين لتمكين مكونات مختلفة من التطبيق.

  • موردو برامج التطبيقات: الوثوق بالبرامج من خلال التوزيع المحلي، أو باستخدام المصدر المفتوح، أو عن طريق إنشاء برامج تطبيقات داخلية.
  • موردو الأجهزة: الثقة في الأجهزة باستخدام الأجهزة المحلية أو الأجهزة الداخلية.
  • موفرو البنية الأساسية: الثقة في موفري السحابة أو إدارة مراكز البيانات المحلية الخاصة بك.

تقليل سطح الهجوم تشير قاعدة الحوسبة الموثوق بها (TCB) إلى جميع مكونات الأجهزة والبرامج الثابتة والبرامج الخاصة بالنظام التي توفر بيئة آمنة. تعتبر المكونات داخل TCB "حرجة". إذا تعرض أحد المكونات داخل TCB للخطر، فقد يتعرض أمان النظام بأكمله للخطر. انخفاض قاعدة الحوسبة الموثوقة يعني ارتفاع الأمن. هناك مخاطر أقل للتعرض للعديد من نقاط الضعف والبرامج الضارة والهجمات والأشخاص المؤذيين.

يمكن أن تساعدك الحوسبة السرية في Azure على:

  • منع الوصول غير المصرح به: قم بتشغيل البيانات الحساسة في السحابة. ثق بأن Azure يوفر أفضل حماية ممكنة للبيانات، مع تغيير بسيط أو بدون تغيير عما يتم إنجازه اليوم.
  • تلبية التوافق التنظيمي: قم بالترحيل إلى السحابة والاحتفاظ بالتحكم الكامل في البيانات لتلبية اللوائح الحكومية لحماية المعلومات الشخصية وتأمين IP التنظيمي.
  • ضمان التعاون الآمن وغير الموثوق به: قم بمعالجة المشاكل على نطاق العمل على مستوى الصناعة من خلال تمشيط البيانات عبر المؤسسات، وحتى المنافسين، لفتح تحليلات البيانات الواسعة والرؤى الأعمق.
  • عزل المعالجة: تقديم موجة جديدة من المنتجات التي تزيل المسؤولية عن البيانات الخاصة مع المعالجة العمياء. لا يمكن حتى استرداد بيانات المستخدم من قبل موفر الخدمة.

تعرف على المزيد حول الحوسبة السرية.

البريد الإلكتروني الآمن والمستندات والبيانات الحساسة

تريد التحكم في البريد الإلكتروني والمستندات والبيانات الحساسة التي تشاركها خارج شركتك وتأمينها. حماية المعلومات في Azure حل مستند إلى السحابة يساعد المؤسسات على تصنيف المستندات ورسائل البريد الإلكتروني وتسميتها وحمايتها. يمكن تطبيق ذلك تلقائياً بواسطة المسؤولين الذين يحددون القواعد والشروط، أو يدوياً بواسطة المستخدمين، أو الطريقتين معاً؛ حيث يُعطى المستخدمين توصيات.

يمكن تحديد التصنيف في جميع الأوقات، بغض النظر عن مكان تخزين البيانات أو مع من تتم مشاركتها. تتضمن التسميات علامات مرئية مثل رأس أو تذييل أو علامة مائية. تتم إضافة بيانات التعريف إلى الملفات ورؤوس البريد الإلكتروني في نص واضح. يضمن النص الواضح أن الخدمات الأخرى، مثل الحلول لمنع فقدان البيانات، يمكنها تحديد التصنيف واتخاذ الإجراءات المناسبة.

تستخدم تقنية الحماية إدارة حقوق Azure (Azure RMS). تم دمج هذه التقنية مع خدمات وتطبيقات Microsoft السحابية الأخرى، مثل Microsoft 365 ومعرف Microsoft Entra. تستخدم تقنية الحماية نُهج التشفير والهوية والتخويل. تظل الحماية التي يتم تطبيقها من خلال Azure RMS مع المستندات ورسائل البريد الإلكتروني، بشكل مستقل عن الموقع داخل المؤسسة أو خارجها والشبكات وخوادم الملفات والتطبيقات.

يحافظ حل حماية المعلومات هذا على التحكم في بياناتك، حتى عندما تتم مشاركتها مع أشخاص آخرين. يمكنك أيضا استخدام Azure RMS مع تطبيقات خط العمل الخاصة بك وحلول حماية المعلومات من موردي البرامج، سواء كانت هذه التطبيقات والحلول محلية أو في السحابة.

نوصيك بما يلي:

  • توزيع حماية بيانات Azure لمؤسستك.
  • تطبيق التسميات التي تعكس متطلبات عملك. على سبيل المثال: تطبيق تسمية باسم "سري للغاية" على جميع المستندات ورسائل البريد الإلكتروني التي تحتوي على بيانات سرية للغاية، لتصنيف هذه البيانات وحمايتها. بعد ذلك، يمكن للمستخدمين المعتمدين فقط الوصول إلى هذه البيانات، مع أي قيود تحددها.
  • تكوين تسجيل الاستخدام لـ Azure RMS بحيث يمكنك مراقبة كيفية استخدام مؤسستك لخدمة الحماية.

قد تكون المؤسسات الضعيفة في تصنيف البيانات وحماية الملفات أكثر عرضة لتسرب البيانات أو إساءة استخدام البيانات. باستخدام حماية الملفات المناسبة، يمكنك تحليل تدفق البيانات للحصول على نتيجة تحليلات لعملك، والكشف عن السلوكيات الخطرة واتخاذ تدابير تصحيحية، وتتبع الوصول إلى المستندات، وغير ذلك.

الخطوات التالية

راجع أفضل ممارسات وأنماط أمان Azure لمزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة وتوزيعها وإدارتها باستخدام Azure.

تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure وخدمات Microsoft ذات الصلة:

  • مدونة فريق Azure Security - للحصول على معلومات محدثة عن أحدث إصدار في Azure Security
  • Microsoft Security Response Center - حيث يمكن الإبلاغ عن الثغرات الأمنية من Microsoft، بما في ذلك المشكلات المتعلقة بـ Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com