Úložiště, data a šifrování
Ochrana ostatních osobních údajů je nutná k zachování důvěrnosti, integrity a záruk dostupnosti napříč všemi úlohami. Storage v cloudové službě, jako je Azure, je na architektuře a implementovaná poměrně odlišně než místní řešení, aby bylo možné masivní škálování, moderní přístup prostřednictvím rozhraní REST API a izolaci mezi tenanty.
Přístup k úložišti Azure je možné udělit prostřednictvím služby Azure Active Directory (Azure AD) a také prostřednictvím mechanismů ověřování na základě klíčů (ověřování pomocí symetrického sdíleného klíče nebo sdíleného přístupového podpisu (SAS)).
Storage v Azure obsahuje řadu nativních atributů návrhu zabezpečení.
Služba šifruje všechna data.
Data v systému úložiště nemůže číst tenant, pokud ho tento tenant nezapsal (aby se zmírní riziko úniku dat mezi tenanty).
Data zůstanou jenom v oblasti, kterou zvolíte.
V oblasti, kterou zvolíte, udržuje systém tři synchronní kopie dat.
Podrobné protokolování aktivit je k dispozici na základě výslovného souhlasu.
Je možné nakonfigurovat další funkce zabezpečení, jako je brána firewall úložiště, která poskytuje další vrstvu řízení přístupu a také ochranu úložiště před hrozbami pro detekci neobvyklého přístupu a aktivit.
Šifrování je výkonný nástroj pro zabezpečení, ale je důležité pochopit jeho omezení při ochraně dat. Podobně jako bezpečné šifrování omezuje přístup jenom na ty, kteří mají u sebe malou položku (matematický klíč). I když je snazší chránit vlastnictví klíčů než větší datové sady, je nezbytné zajistit odpovídající ochranu klíčů. Ochrana kryptografických klíčů není přirozený intuitivní lidský proces (zejména proto, že elektronická data, jako jsou klíče, je možné bez stopy forenzních důkazů dokonale zkopírovat), takže se často přehlíží nebo špatně implementují.
I když je šifrování k dispozici v mnoha vrstvách v Azure (a ve výchozím nastavení je často povoleno), identifikovali jsme vrstvy, které je nejdůležitější implementovat (vysoký potenciál přesunu dat na jiné úložné médium) a je nejjednodušší implementovat (000 režijních nákladů).
Použití řízení přístupu k úložišti na základě identity
Poskytovatelé cloudových služeb zk dispozici několik metod řízení přístupu k prostředkům úložiště. Mezi příklady patří sdílené klíče, sdílené podpisy, anonymní přístup a metody založené na zprostředkovateli identity.
Metody ověřování a autorizace zprostředkovatele identity jsou nejméně odpovědné za ohrožení zabezpečení a umožňují přesnější řízení přístupu k prostředkům úložiště na základě rolí.
Pro řízení přístupu k úložišti doporučujeme použít možnost založenou na identitě.
Příkladem je ověřování Azure Active Directory službě azure blob a fronty.
Šifrování souborů virtuálních disků
Virtuální počítače používají soubory virtuálních disků jako svazky virtuálního úložiště a existují v systému úložiště objektů blob poskytovatele cloudových služeb. Tyto soubory je možné přesunout z místních do cloudových systémů, z cloudových systémů do místních nebo mezi cloudovými systémy. Kvůli mobilitě těchto souborů musíte zajistit, aby soubory a jejich obsah nebyly přístupné neoprávněným uživatelům.
Mělo by být k dispozici řízení přístupu na základě ověřování, které potenciálním útočníkům zabrání ve stahování souborů do jejich vlastních systémů. V případě nedostatku v ověřovacím a autorizačním systému nebo jeho konfiguraci chcete mít záložní mechanismus pro zabezpečení souborů virtuálních disků.
Soubory virtuálních disků můžete zašifrovat, abyste zabránili útočníkům v získání přístupu k obsahu diskových souborů v případě, že by útočník mohl soubory stáhnout. Když se útočníci pokusí připojit šifrovaný diskový soubor, nebude to možné kvůli šifrování.
Doporučujeme povolit šifrování virtuálních disků. Informace o šifrování disků virtuálních Windows najdete v tématu Rychlý start: Vytvoření a šifrování virtuálního Windows počítačepomocí Azure CLI.
Příkladem šifrování virtuálních disků je Azure Disk Encryption.
Povolení služeb šifrování platformy
Všichni poskytovatelé veřejných cloudových služeb umožňují šifrování, které se provádí automaticky pomocí klíčů spravovaných poskytovatelem na jejich platformě. V mnoha případech se to dělá pro zákazníka a nevyžaduje se žádná interakce s uživatelem. V ostatních případech to poskytovatel umožňuje, aby se zákazník mohl rozhodnout, že ho použije nebo nebude používat.
Povolení tohoto typu šifrování nemá téměř žádnou režii, protože ho spravuje poskytovatel cloudových služeb.
Doporučujeme pro každou službu, která podporuje šifrování poskytovatele služeb, povolit tuto možnost.
Příkladem šifrování poskytovatele služeb specifického pro službu je Azure Storage service encryption.
Šifrování dat během přenosu
Chraňte data během přenosu mezi komponentami, umístěními nebo programy, například přes síť, přes sběrnici Service Bus (z místního prostředí do cloudu a naopak) nebo během vstupního/výstupního procesu. Při výměně dat mezi různými umístěními vždy používejte protokol SSL/TLS. Další informace najdete v tématu Ochrana dat během přenosu.
Někdy potřebujete izolovat celý komunikační kanál mezi místní a cloudovou infrastrukturou pomocí virtuální privátní sítě (VPN) nebo ExpressRoute. Další informace najdete v těchto článcích: