Šifrování dat v Azure

Data je možné rozdělit do kategorií podle jejího stavu:

• Neaktivní neaktivní data. Všechny informace o objektech úložiště, kontejnerech a typech, které existují staticky na fyzických médiích, ať už magnetickém nebo optickým diskem.

• Přenos dat. Data přenášená mezi součástmi, umístěními nebo programy.

V cloudovém řešení může jediná obchodní transakce vést k několika operacím s daty, kdy se data přesunou z jednoho úložného média do druhého. Aby byla zajištěna úplná ochrana dat, musí být zašifrovaná na svazcích úložiště a při přenosu z jednoho bodu do druhého.

Klíčové body

• Použijte řízení přístupu k úložišti na základě identity.
• Používejte standardní a doporučené šifrovací algoritmy.
• Používejte pouze zabezpečené algoritmy hash (SHA-2 Family).
• Klasifikujte neaktivní data a používejte šifrování.
• Zašifrujte virtuální disky.
• K ochraně šifrovacího klíče dat (klíč DEK) použijte další klíč šifrovacího klíče (KEK).
• Chraňte data při přenosu prostřednictvím šifrovaných síťových kanálů (TLS/HTTPS) pro veškerou komunikaci mezi klientem a serverem. V Azure použijte protokol TLS 1,2.

Funkce šifrování Azure

Azure poskytuje integrované funkce pro šifrování dat v mnoha vrstvách, které se podílejí na zpracování dat. Pro každou službu doporučujeme povolit možnost šifrování. Šifrování se zpracovává automaticky pomocí klíčů spravovaných Azure. To skoro nevyžaduje žádnou interakci s uživatelem.

Doporučujeme, abyste implementovali řízení přístupu k úložišti na základě identity. Ověřování pomocí sdíleného klíče (například sdíleného přístupového podpisu) neumožňuje stejnou flexibilitu a řízení jako řízení přístupu na základě identity. Nevracení sdíleného klíče může umožňovat neomezený přístup k prostředku, zatímco řízení přístupu založené na rolích je možné identifikovat a ověřit přesněji.

Storage v cloudové službě, jako je Azure, je navržená a implementovaná poměrně jinak než v místních řešeních, která umožňují rozsáhlé škálování, moderní přístup prostřednictvím rozhraní REST api a izolaci mezi klienty. Poskytovatelé cloudových služeb využívají k dispozici více metod řízení přístupu k prostředkům úložiště. Mezi příklady patří sdílené klíče, sdílené podpisy, anonymní přístup a metody založené na zprostředkovateli identity.

Vezměte v úvahu některé integrované funkce Azure Storage:

• Přístup založený na identitě. podporuje přístup prostřednictvím Azure Active Directory (Azure AD) a ověřovacích mechanismů založených na klíčích, jako je například ověřování symetrického sdíleného klíče nebo sdílený přístupový podpis (SAS).
• Integrované šifrování. Všechna uložená data jsou zašifrovaná službou Azure Storage. Data nemůže klient přečíst, pokud ho tento tenant nezapsal. Tato funkce poskytuje kontrolu nad únikem dat mezi klienty.
• Ovládací prvky založené na oblasti. Data zůstávají pouze ve vybrané oblasti a v rámci této oblasti jsou udržovány tři synchronní kopie dat. Služba Azure Storage poskytuje podrobné protokolování aktivit, které je k dispozici na základě výslovného souhlasu.
• Funkce brány firewall. Brána firewall poskytuje další úroveň řízení přístupu a ochrany před internetovými útoky pro detekci přístupu a aktivit neobvyklé.

úplnou sadu funkcí najdete v tématu šifrování služby Azure Storage.

Navrhovaná akce

Identifikujte metody poskytovatele ověřování a autorizace, které jsou nejméně pravděpodobně ohrožené, a povolte pro prostředky úložiště pokročilejší řízení přístupu na základě rolí.

Další informace

Další informace najdete v referenčních informacích k autorizaci přístupu k objektům blob pomocí Azure Active Directory.

Standardní šifrovací algoritmy

Používá organizace standardní algoritmy šifrování místo vytváření vlastních?

Organizace by neměly vyvíjet a udržovat vlastní šifrovací algoritmy. Nepoužívejte vlastní šifrovací algoritmy ani přímé kryptografie ve svých úlohách. Tyto metody zřídka uvolňují do reálných světových útoků.

Zabezpečené standardy již na trhu existují a měly by být preferované. Pokud je potřeba vlastní implementace, vývojáři by měli používat dobře zavedené kryptografické algoritmy a zabezpečené standardy. Použijte standard AES (Advanced Encryption Standard) (AES) jako symetrický blok Block, AES-128, AES-192 a AES-256 jsou přijatelné.

Vývojáři by měli používat kryptografická rozhraní API integrovaná v operačních systémech místo knihoven kryptografie nevyužívající platformu. V případě .NET postupujte podle modelu kryptografie .NET.

Doporučujeme používat standardní a doporučené šifrovací algoritmy.

Další informace najdete v tématu Volba algoritmu.

Používají se moderní funkce hashování?

Aplikace by měly používat rodinu algoritmu hash SHA-2 (SHA-256, SHA-384, SHA-512).

Neaktivní uložená data

Všechna důležitá data by měla být klasifikována a šifrována pomocí šifrovacího standardu. Klasifikace a ochrana všech objektů úložiště informací. Pomocí šifrování zajistěte, aby k obsahu souborů nezískal přístup neoprávnění uživatelé.

Neaktivní neaktivní data v Azure, ale jsou vaše kritická data klasifikovaná a označená, nebo označená tak, aby je bylo možné auditovat?

Vaše nejvíc citlivá data můžou zahrnovat obchodní, finanční, zdravotní péče nebo osobní údaje. Zjišťování a klasifikace těchto dat může v rámci přístupu ke službě Information Protection ve vaší organizaci hrát kontingenční roli. Může sloužit jako infrastruktura na:

• Pomoc při plnění standardů ochrany osobních údajů a požadavků na dodržování předpisů v souladu s předpisy.
• Různé scénáře zabezpečení, jako je monitorování (auditování) a upozorňování na neobvyklé přístup k citlivým datům.
• Řízení přístupu a posílení zabezpečení databází, které obsahují vysoce citlivá data.

Navrhovaná akce

Klasifikujte svá data. Zvažte použití klasifikace & Discovery Data v Azure SQL Database.

Klasifikace dat

Zásadní počáteční cvičení pro ochranu dat je jejich uspořádání do kategorií na základě určitých kritérií. Kritéria klasifikace můžou být vaše obchodní potřeby, požadavky na dodržování předpisů a typ dat.

V závislosti na kategorii ji můžete chránit přes:

• Standardní šifrovací mechanismy.
• Vynutili zásady správného řízení zabezpečení prostřednictvím zásad.
• Proveďte audity, abyste se ujistili, že bezpečnostní opatření splňují předpisy.

Jedním ze způsobů klasifikace dat je použití značek.

Šifruje organizace soubory virtuálních disků pro virtuální počítače, které jsou přidružené k tomuto zatížení?

Existuje spousta možností ukládání souborů v cloudu. Nativní aplikace pro Cloud obvykle používají Azure Storage. Aplikace, které běží na virtuálních počítačích, je používají k ukládání souborů. Virtuální počítače používají soubory virtuálních disků jako virtuální svazky úložiště a existují v úložišti objektů BLOB.

Vezměte v úvahu hybridní řešení. Soubory můžete přesouvat z místního prostředí do cloudu, z cloudu do místního prostředí nebo mezi službami hostovanými v cloudu. Jednou z strategií je ujistit se, že soubory a jejich obsah nejsou přístupné pro neoprávněné uživatele. Řízení přístupu na základě ověřování můžete použít k tomu, abyste zabránili neoprávněnému stahování souborů. To však není dostatečné. Máte mechanismus zálohování, který zabezpečuje soubory virtuálních disků v případě ověřování a autorizace nebo ohrožení zabezpečení konfigurace. Existuje několik přístupů. Soubory virtuálních disků můžete šifrovat. Pokud se provede pokus o připojení souborů na disku, k obsahu souborů nelze z důvodu šifrování připojovat.

Doporučujeme povolit šifrování virtuálního disku. informace o tom, jak šifrovat Windows disky virtuálních počítačů, najdete v tématu rychlý start: vytvoření a šifrování Windows virtuálního počítače pomocí Azure CLI.

Virtuální disky založené na Azure se ukládají jako soubory v Storage účtu. Pokud na virtuální disk není použité žádné šifrování a útočník se mu podaří stáhnout soubor image virtuálního disku, může se připojit a zkontrolovat v útočníkovi, jako by měl fyzický přístup ke zdrojovému počítači. Šifrování souborů virtuálních disků pomáhá zabránit útočníkům v získání přístupu k obsahu těchto diskových souborů v případě, že by je mohli stáhnout. V závislosti na citlivosti informací uložených na disku může nešifrovaný přístup představovat kritické riziko důvěrných obchodních dat (například databáze SQL) nebo identity (například řadiče domény ad).

Příkladem šifrování virtuálních disků je Azure Disk Encryption.

Azure Disk Encryption přispívá k zabezpečení a ochraně vašich dat, aby byly splněny závazky organizace související se zabezpečením a dodržováním předpisů. K zajištění šifrování svazků pro disky s operačním systémem a datové disky virtuálních počítačů Azure používá Windows (nebo DM-Crypt v Linuxu). Je integrovaná s Azure Key Vault, která vám pomůže řídit a spravovat klíče a tajné kódy pro šifrování disků.

Virtuální počítače používají soubory virtuálních disků jako svazky úložiště a existují v systému úložiště objektů blob poskytovatele cloudových služeb. Tyto soubory je možné přesunout z místních do cloudových systémů, z cloudových systémů do místních nebo mezi cloudovými systémy. Kvůli mobilitě těchto souborů se doporučuje, aby soubory a obsah nebyly přístupné neoprávněným uživatelům.

Používá organizace pro tuto úlohu řízení přístupu k úložišti na základě identit?

Existuje mnoho způsobů, jak řídit přístup k datům: sdílené klíče, sdílené podpisy, anonymní přístup, identita založená na poskytovateli. K Azure Active Directory přístupu použijte službu Azure AD (Azure AD) a řízení přístupu na základě role (RBAC). Další informace najdete v tématu Aspekty správy identit a přístupu.

Chrání organizace klíče v této úlohu pomocí dalšího šifrovacího klíče (KEK)?

V implementaci šifrování v klidové době použijte více než jeden šifrovací klíč. Uložení šifrovacího klíče do Azure Key Vault zajišťuje zabezpečený přístup ke klíčům a centrální správu klíčů.

K ochraně šifrovacího klíče dat (DEK) použijte další šifrovací klíč klíče (KEK).

Navrhované akce

Identifikujte nešifrované virtuální počítače pomocí Azure Security Center nebo skriptu a zašifrujte je prostřednictvím Azure Disk Encryption. Ujistěte se, že jsou všechny nové virtuální počítače ve výchozím nastavení zašifrované a pravidelně monitorují nechráněné disky.

Další informace

Azure Disk Encryption pro virtuální počítače a škálovací sady virtuálních počítačů

Přenášená data

Data během přenosu by se měla šifrovat ve všech bodech, aby se zajistila integrita dat.

Ochrana dat během přenosu by měla tvořit jednu ze základních součástí vaší strategie ochrany dat. Protože data se neustále přesouvají mezi lokalitami, obecně doporučujeme při výměně dat mezi různými lokalitami vždy používat protokoly SSL/TLS.

U dat, která se přesouvají mezi vaší místní infrastrukturou a prostředím Azure, zvažte zapojení odpovídajících ochranných opatření, jako je protokol HTTPS nebo síť VPN. K posílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet využijte Azure VPN Gateway.

Komunikuje úloha pouze přes šifrovaný síťový provoz?

Jakákoli síťová komunikace mezi klientem a serverem, kde může dojít k útokům prostředníka, musí být šifrovaná. Veškerá komunikace na webu by měla používat protokol HTTPS bez ohledu na vnímanou citlivost přenášených dat. K útokům prostředníka může dojít kdekoli na webu, nejen v přihlašovacích formulářích.

Tento mechanismus lze použít pro případy použití, jako jsou:

• Webové aplikace a rozhraní API pro veškeré komunikace s klienty.
• Data přesouvaná přes service bus z místního prostředí do cloudu a naopak, nebo během procesu vstupu/výstupu.

V určitých stylech architektury, jako jsou mikroslužby, musí být data při komunikaci mezi těmito službami zašifrovaná.

Jaká verze protokolu TLS se používá napříč úlohami?

Upřednostňovali jste použití nejnovější verze protokolu TLS. Všechny služby Azure podporují protokol TLS 1.2 na veřejných koncových bodech HTTPS. Migrujte řešení pro podporu protokolu TLS 1.2 a ve výchozím nastavení použijte tuto verzi.

Pokud je provoz z klientů používajících starší verze protokolu TLS minimální nebo je přijatelné požadavky na selhání provedené se starší verzí protokolu TLS, zvažte vynucení minimální verze protokolu TLS. Informace o podpoře protokolu TLS v Azure Storage tématu Náprava rizik zabezpečení s minimální verzí protokolu TLS.

Někdy potřebujete izolovat celý komunikační kanál mezi místní a cloudovou infrastrukturou pomocí virtuální privátní sítě (VPN) nebo ExpressRoute. Další informace najdete v těchto článcích:

• Rozšíření místních řešení pro data do cloudu
• Konfigurace připojení VPN typu Point-to-Site k virtuální síti pomocí nativního ověřování certifikátů Azure: Azure Portal

Další informace najdete v tématu Ochrana dat během přenosu.

Existuje nějaká část aplikace, která nezabezpečuje data během přenosu?

Všechna data by měla být při přenosu šifrovaná pomocí společného šifrovacího standardu. Určete, jestli všechny komponenty v řešení používají konzistentní standard. V době, kdy šifrování není možné kvůli technickým omezením, se ujistěte, že je důvod jasný a platný.

Navrhované akce

Identifikujte úlohy pomocí nešifrovaných relací a nakonfigurujte službu tak, aby vyžadovala šifrování.

Další informace

• Šifrování dat během přenosu
• Přehled šifrování v Azure

Další kroky

I když je důležité chránit data prostřednictvím šifrování, stejně důležité je chránit i klíče, které k datům poskytují přístup.

Související odkazy

Služby správy identit a přístupu ověřují a udělují oprávnění uživatelům, partnerům, zákazníkům, aplikacím, službám a dalším entitám. Důležité informace o zabezpečení najdete v tématu Důležité informace o správě identit a přístupu Azure.

Zpět k hlavnímu článku: Ochrana dat