Osvědčené postupy zabezpečení a šifrování dat v Azure

  • Článek

Tento článek popisuje osvědčené postupy zabezpečení a šifrování dat.

Osvědčené postupy vycházejí ze názorů a pracují s aktuálními možnostmi platformy Azure a sadami funkcí. Názory a technologie se v průběhu času mění a tento článek se pravidelně aktualizuje, aby tyto změny odrážely.

Ochrana dat

Pokud chcete lépe chránit data v cloudu, musíte zohlednit možné stavy, ve kterých se můžou vaše data vyskytovat, a jaké ovládací prvky jsou pro tento stav k dispozici. Osvědčené postupy pro zabezpečení a šifrování dat Azure se vztahují k následujícím stavům dat:

  • Neaktivní: To zahrnuje všechny objekty úložiště informací, kontejnery a typy, které existují staticky na fyzickém médiu, ať už magnetického nebo optického disku.
  • Při přenosu: Při přenosu mezi komponentami, umístěními nebo programy se data přenášejí. Příkladem je přenos přes síť přes službu Service Bus (z místního prostředí do cloudu a naopak, včetně hybridních připojení, jako je ExpressRoute), nebo během vstupního a výstupního procesu.
  • Použití: Při zpracování dat udržují specializované výpočetní virtuální počítače založené na čipové sadě AMD a Intel důvěrné výpočetní virtuální počítače zašifrovaná v paměti pomocí hardwarových spravovaných klíčů.

Volba řešení pro správu klíčů

Ochrana klíčů je nezbytná k ochraně dat v cloudu.

Azure Key Vault pomáhá chránit kryptografické klíče a tajné kódy používané cloudovými aplikacemi a službami. Key Vault zjednodušuje proces správy klíčů a zajišťuje vám kontrolu nad klíči, které se používají k přístupu a šifrování dat. Vývojáři můžou během pár minut vytvořit klíče pro vývoj a testování a potom je migrovat na produkční klíče. Správci zabezpečení můžou klíčům podle potřeby udělovat (a odvolávat) oprávnění.

Key Vault můžete použít k vytvoření několika zabezpečených kontejnerů označovaných jako trezory. Tyto trezory jsou podporovány moduly HARDWAROVÉHO ZABEZPEČENÍ. Trezory pomáhají snížit riziko nechtěné ztráty informací o zabezpečení tím, že centralizují ukládání tajných kódů aplikací. Trezory klíčů také řídí a protokolují přístup ke všem položkám, které jsou v nich uložené. Azure Key Vault může zpracovávat žádosti a obnovování certifikátů TLS (Transport Layer Security). Poskytuje funkce pro robustní řešení pro správu životního cyklu certifikátů.

Služba Azure Key Vault je navržená tak, aby podporovala klíče aplikací a tajné kódy. Služba Key Vault není určená jako úložiště uživatelských hesel.

Následují osvědčené postupy zabezpečení pro používání služby Key Vault.

Osvědčený postup: Udělte přístup uživatelům, skupinám a aplikacím v určitém oboru. Podrobnosti: Použijte předdefinované role Azure RBAC. Pokud například chcete uživateli udělit přístup ke správě trezorů klíčů, přiřadili byste tomuto uživateli předdefinovanou roli Přispěvatel služby Key Vault v určitém oboru. Oborem v tomto případě je předplatné, skupina prostředků nebo jenom konkrétní trezor klíčů. Pokud předdefinované role nevyhovují vašim potřebám, můžete definovat vlastní role.

Osvědčený postup: Řízení, ke kterým mají uživatelé přístup. Podrobnosti: Přístup k trezoru klíčů se řídí dvěma samostatnými rozhraními: rovinou správy a rovinou dat. Řízení přístupu roviny správy a roviny dat fungují nezávisle.

Pomocí Azure RBAC můžete řídit, ke kterým uživatelům má přístup. Pokud například chcete aplikaci udělit přístup k používání klíčů v trezoru klíčů, stačí udělit přístupová oprávnění roviny dat jenom pomocí zásad přístupu trezoru klíčů a pro tuto aplikaci není potřeba přístup k rovině správy. Pokud chcete, aby uživatel mohl číst vlastnosti a značky trezoru, ale nemá přístup ke klíčům, tajným klíčům nebo certifikátům, můžete tomuto uživateli udělit přístup pro čtení pomocí Azure RBAC a nevyžaduje se žádný přístup k rovině dat.

Osvědčený postup: Ukládání certifikátů do trezoru klíčů Vaše certifikáty mají vysokou hodnotu. V nesprávných rukou může dojít k ohrožení zabezpečení aplikace nebo zabezpečení vašich dat. Podrobnosti: Azure Resource Manager může bezpečně nasadit certifikáty uložené ve službě Azure Key Vault do virtuálních počítačů Azure při nasazení virtuálních počítačů. Když pro trezor klíčů nastavíte správné zásady přístupu, umožní vám to řídit také to, kdo získá přístup k vašemu certifikátu. Další výhodou je, že v Azure Key Vault můžete spravovat všechny certifikáty na jednom místě. Další informace najdete v tématu Nasazení certifikátů do virtuálních počítačů ze služby Key Vault spravované zákazníkem.

Osvědčený postup: Ujistěte se, že můžete obnovit odstranění trezorů klíčů nebo objektů trezoru klíčů. Podrobnosti: Odstranění trezorů klíčů nebo objektů trezoru klíčů může být neúmyslné nebo škodlivé. V Key Vaultu povolte funkce obnovitelného odstranění a ochrany před vymazáním, zejména pro klíče používané k šifrování neaktivních uložených dat. Odstranění těchto klíčů odpovídá ztrátě dat, takže v případě potřeby můžete odstraněné trezory a objekty trezoru obnovit. Pravidelně si procvičujte operace obnovení ve službě Key Vault.

Poznámka:

Pokud má uživatel oprávnění přispěvatele (Azure RBAC) k rovině správy trezoru klíčů, může sám udělit přístup k rovině dat nastavením zásad přístupu trezoru klíčů. Doporučujeme pečlivě řídit, kdo má přístup přispěvatele k vašim trezorům klíčů, abyste měli jistotu, že k vašim trezorům klíčů, klíčům, tajným klíčům a certifikátům mají přístup pouze autorizované osoby.

Správa pomocí zabezpečených pracovních stanic

Poznámka:

Správce nebo vlastník předplatného by měl používat zabezpečenou pracovní stanici s přístupem nebo pracovní stanici s privilegovaným přístupem.

Vzhledem k tomu, že velká většina útoků cílí na koncového uživatele, koncový bod se stane jedním z primárních bodů útoku. Útočník, který narušil koncový bod, může pomocí přihlašovacích údajů uživatele získat přístup k datům organizace. Většina útoků koncových bodů využívá skutečnost, že uživatelé jsou správci na místních pracovních stanicích.

Osvědčený postup: K ochraně citlivých účtů, úloh a dat použijte zabezpečenou pracovní stanici pro správu. Podrobnosti: Pomocí pracovní stanice s privilegovaným přístupem můžete omezit prostor pro útoky na pracovní stanice. Tyto pracovní stanice pro zabezpečenou správu vám můžou pomoct zmírnit některé z těchto útoků a zajistit, aby vaše data byla bezpečnější.

Osvědčený postup: Zajištění ochrany koncových bodů Podrobnosti: Vynucujte zásady zabezpečení na všech zařízeních, která se používají k využívání dat bez ohledu na umístění dat (v cloudu nebo v místním prostředí).

Ochrana neaktivních uložených dat

Šifrování neaktivních uložených dat je povinný krok směrem k ochraně osobních údajů, dodržování předpisů a suverenitě dat.

Osvědčený postup: Použijte šifrování disku, které pomáhá chránit vaše data. Podrobnosti: Použití služby Azure Disk Encryption pro virtuální počítače s Linuxem nebo Azure Disk Encryption pro virtuální počítače s Windows Disk Encryption kombinuje standardní funkci dm-crypt pro Linux nebo Windows BitLocker k zajištění šifrování svazků pro operační systém a datové disky.

Azure Storage a Azure SQL Database ve výchozím nastavení šifrují neaktivní uložená data a řada služeb nabízí šifrování jako možnost. Ke kontrole nad klíči, které zajišťují přístup k vašim datům a jejich šifrování, můžete použít Azure Key Vault. Další informace najdete v tématu o podpoře modelů šifrování u poskytovatelů prostředků Azure.

Osvědčené postupy: Šifrování vám pomůže zmírnit rizika související s neoprávněným přístupem k datům. Podrobnosti: Zašifrujte jednotky před tím, než na ně zapíšete citlivá data.

Organizace, které nevynucují šifrování dat, jsou vystaveny problémům s důvěrností dat. Například neoprávnění nebo podvodní uživatelé můžou ukrást data v ohrožených účtech nebo získat neoprávněný přístup k datům kódovaným ve formátu Clear Format. Společnosti také musí prokázat, že jsou pilné a používají správné bezpečnostní mechanismy, aby zlepšily zabezpečení dat, aby byly v souladu s předpisy v odvětví.

Ochrana dat během přenosů

Ochrana dat během přenosu by měla tvořit jednu ze základních součástí vaší strategie ochrany dat. Protože data se neustále přesouvají mezi lokalitami, obecně doporučujeme při výměně dat mezi různými lokalitami vždy používat protokoly SSL/TLS. Za určitých okolností může být vhodné izolovat celý komunikační kanál mezi místní a cloudovou infrastrukturou pomocí sítě VPN.

U dat, která se přesouvají mezi vaší místní infrastrukturou a prostředím Azure, zvažte zapojení odpovídajících ochranných opatření, jako je protokol HTTPS nebo síť VPN. Při odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet použijte Azure VPN Gateway.

Následují osvědčené postupy specifické pro použití služby Azure VPN Gateway, SSL/TLS a HTTPS.

Osvědčený postup: Zabezpečte přístup z několika pracovních stanic umístěných místně do virtuální sítě Azure. Podrobnosti: Použijte vpn typu site-to-site.

Osvědčený postup: Zabezpečený přístup z jednotlivých pracovních stanic umístěných místně do virtuální sítě Azure. Podrobnosti: Použijte vpn typu point-to-site.

Osvědčený postup: Přesunutí větších datových sad přes vyhrazené vysokorychlostní připojení WAN Podrobnosti: Použijte ExpressRoute. Pokud se rozhodnete použít ExpressRoute, můžete posílit ochranu šifrováním dat na úrovni aplikace pomocí SSL/TLS nebo jiných protokolů.

Osvědčený postup: Interakce se službou Azure Storage prostřednictvím webu Azure Portal Podrobnosti: Všechny transakce probíhají prostřednictvím protokolu HTTPS. K interakci se službou Azure Storage můžete také použít rozhraní REST API služby Storage přes HTTPS.

Organizace, které selžou ochranu přenášených dat, jsou náchylnější k útokům typu man-in-the-middle, odposlouchávání a napadení relací. Tyto útoky mohou představovat první krok k získání přístupu k důvěrným datům.

Ochrana používaných dat

Menší potřeba důvěryhodnosti spuštěných úloh v cloudu vyžaduje vztah důvěryhodnosti. Tento vztah důvěryhodnosti dáváte různým poskytovatelům, kteří umožňují různé součásti vaší aplikace.

  • Dodavatelé softwaru aplikací: Důvěřovat softwaru nasazením místního prostředí, používáním opensourcového softwaru nebo vytvořením interního aplikačního softwaru.
  • Dodavatelé hardwaru: Důvěřujte hardwaru pomocí místního hardwaru nebo interního hardwaru.
  • Poskytovatelé infrastruktury: Důvěřujte poskytovatelům cloudu nebo spravujte vlastní místní datová centra.

Omezení prostoru útoku Trusted Computing Base (TCB) odkazuje na veškerý hardware, firmware a softwarové komponenty systému, které poskytují zabezpečené prostředí. Komponenty uvnitř TCB jsou považovány za "kritické". Pokud dojde k ohrožení zabezpečení jedné komponenty uvnitř TCB, může být ohroženo zabezpečení celého systému. Nižší TCB znamená vyšší zabezpečení. Existuje menší riziko ohrožení zabezpečení, malwaru, útoků a škodlivých lidí.

Důvěrné výpočetní prostředí Azure vám může pomoct:

  • Zabránit neoprávněnému přístupu: Spusťte citlivá data v cloudu. Důvěřujte tomu, že Azure poskytuje nejlepší možnou ochranu dat, a to beze změny od toho, co se dnes dělá.
  • Splnění dodržování právních předpisů: Migrujte do cloudu a udržujte úplnou kontrolu nad daty, abyste vyhověli předpisům státní správy pro ochranu osobních údajů a zabezpečení IP adres organizace.
  • Zajistěte zabezpečenou a nedůvěryhodnou spolupráci: Řešení problémů v celé oblasti práce tím, že data v organizacích, a to i konkurenty, umožňuje odemknout širokou analýzu dat a hlubší přehledy.
  • Izolované zpracování: Nabízí novou vlnu produktů, které odstraňují odpovědnost za soukromá data se slepým zpracováním. Poskytovatel služeb ani nemůže načíst uživatelská data.

Přečtěte si další informace o důvěrném výpočetním prostředí.

Zabezpečení e-mailů, dokumentů a citlivých dat

Chcete řídit a zabezpečit e-maily, dokumenty a citlivá data, která sdílíte mimo vaši společnost. Azure Information Protection je cloudové řešení, které organizaci pomáhá klasifikovat, označovat a chránit dokumenty a e-maily. To můžou provádět automaticky správci, kteří definují pravidla a podmínky, ručně uživateli nebo kombinaci, ve které uživatelé získají doporučení.

Klasifikace je vždy identifikovatelná bez ohledu na to, kde jsou data uložená nebo s kým jsou sdílena. Popisky obsahují vizuální označení, jako je záhlaví, zápatí nebo vodoznak. Metadata se přidají do souborů a e-mailových hlaviček ve formátu prostého textu. Prostý text zajišťuje, aby ostatní služby, jako jsou řešení, aby zabránily ztrátě dat, mohly identifikovat klasifikaci a provést odpovídající akci.

Technologie ochrany používá Azure Rights Management (Azure RMS). Tato technologie je integrovaná s dalšími cloudovými službami a aplikacemi Microsoftu, jako je Microsoft 365 a Microsoft Entra ID. Tato technologie ochrany používá zásady šifrování, identity a autorizace. Ochrana použitá prostřednictvím Azure RMS zůstává s dokumenty a e-maily nezávisle na umístění uvnitř nebo mimo vaši organizaci, sítě, souborové servery a aplikace.

Toto řešení ochrany informací vám zajistí kontrolu nad vašimi daty, i když je sdílíte s jinými lidmi. Azure RMS můžete také používat s vlastními obchodními aplikacemi a řešeními ochrany informací od dodavatelů softwaru, ať už jsou tyto aplikace a řešení místní nebo v cloudu.

Doporučený postup:

  • Nasazení služby Azure Information Protection pro vaši organizaci
  • Použijte popisky, které odpovídají vašim obchodním požadavkům. Příklad: Použití popisku s názvem "vysoce důvěrné" pro všechny dokumenty a e-maily, které obsahují data s nejvyšším tajným kódem, klasifikovat a chránit tato data. K datům pak budou mít přístup jenom oprávnění uživatelé s libovolnými omezeními, která zadáte.
  • Nakonfigurujte protokolování využití pro Azure RMS , abyste mohli monitorovat, jak vaše organizace používá službu ochrany.

Organizace, které jsou slabé při klasifikaci dat a ochraně souborů, můžou být náchylnější k úniku dat nebo zneužití dat. Díky správné ochraně souborů můžete analyzovat toky dat, abyste získali přehled o vaší firmě, zjistili rizikové chování a podnikli nápravná opatření, sledovali přístup k dokumentům atd.

Další kroky

Podívejte se na osvědčené postupy a vzory zabezpečení Azure, kde najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.

K dispozici jsou následující zdroje informací, které poskytují obecnější informace o zabezpečení Azure a souvisejících služby Microsoft:

  • Blog týmu zabezpečení Azure – Aktuální informace o nejnovější verzi zabezpečení Azure
  • Microsoft Security Response Center – kde můžou být nahlášená ohrožení zabezpečení Microsoftu, včetně problémů s Azure, nebo prostřednictvím e-mailu secure@microsoft.com