Tárolás, adatok és titkosítás

Az inaktív adatok védelmére a bizalmasság, az integritás és a rendelkezésre állás biztosítása érdekében van szükség az összes számítási feladat esetében. Az Azure-hoz hasonló felhőszolgáltatásban a tárolás kialakítása és megvalósítása teljesen más, mint a helyszíni megoldások esetében, így lehetővé válik a tömeges skálázás, a REST API-kon keresztüli modern hozzáférés és a bérlők közötti elkülönítés.

Az Azure Storage-hoz való hozzáférés az Azure Active Directoryn (Azure AD) és a kulcsalapú hitelesítési mechanizmusokon (szimmetrikus megosztott kulcsos hitelesítésen vagy közös hozzáférésű jogosultságkódon (SAS)) keresztül lehetséges.

Az Azure Storage számos natív biztonsági tervezési attribútumot tartalmaz

  • A szolgáltatás minden adatot titkosít

  • A tárolórendszerben lévő adatokat a bérlő nem tudja beolvasni, ha azokat nem az adott bérlő írta (a bérlők közötti adatszivárgás kockázatának csökkentése érdekében)

  • Az adatok csak a kiválasztott régióban maradnak

  • A rendszer három szinkron adatpéldányt tart fenn a választott régióban.

  • A részletes tevékenységnaplózás jóváhagyás alapján érhető el.

További biztonsági funkciók is konfigurálhatók, például tárolótűzfal, amely további hozzáférés-vezérlési réteget biztosít, valamint tárolófenyegetések elleni védelmet biztosít a rendellenes hozzáférések és tevékenységek észleléséhez.

A titkosítás hatékony biztonsági eszköz, de kritikus fontosságú az adatok védelmének korlátainak megértése. A biztonságos titkosításhoz hasonlóan a titkosítás csak a kis elem (matematikai kulcs) birtokában lévőkre korlátozza a hozzáférést. Bár a kulcsok birtoklásának védelme egyszerűbb, mint a nagyobb adathalmazok, elengedhetetlen, hogy megfelelő védelmet biztosítson a kulcsokhoz. A titkosítási kulcsok védelme nem természetes, intuitív emberi folyamat (különösen azért, mert az elektronikus adatok, például a kulcsok tökéletesen másolhatók törvényszéki bizonyítékok nélkül), ezért gyakran figyelmen kívül hagyják vagy rosszul valósítják meg.

Bár a titkosítás számos rétegben elérhető az Azure-ban (és gyakran alapértelmezés szerint be van kapcsolva), azonosítottuk azokat a rétegeket, amelyek a legfontosabbak (nagy az adatáthelyezési potenciál egy másik tárolóeszközre), és a legegyszerűbben implementálhatóak (közel nulla többletterhelés).

Identitásalapú tárhozzáférési vezérlők használata

A felhőszolgáltatók a tárerőforrások hozzáférés-vezérlésének több módszerét is elérhetővé teszik. Ilyenek például a megosztott kulcsok, a közös aláírások, a névtelen hozzáférés és az identitásszolgáltató-alapú módszerek.

A hitelesítés és engedélyezés szolgáltatói módszereinek azonosítása a legkevésbé veszélyeztetheti a biztonságot, és részletesebb szerepköralapú hozzáférés-vezérlést tesz lehetővé a tárolási erőforrások felett.

Javasoljuk, hogy a tárterület-hozzáférés-vezérléshez használjon identitásalapú beállítást.

Erre példa az Azure Active Directory-hitelesítés az Azure blob- és üzenetsor-szolgáltatásokban.

Virtuális lemezfájlok titkosítása

A virtuális gépek virtuális lemezfájlokat használnak virtuális tárolókötetként, és egy felhőszolgáltató blobtároló rendszerében léteznek. Ezek a fájlok áthelyezhetők a helyszíni rendszerekből a felhőrendszerekbe, a felhőrendszerekből a helyszíni rendszerekbe vagy a felhőrendszerekbe. A fájlok mobilitása miatt meg kell győződnie arról, hogy a fájlok és tartalmaik nem érhetők el a jogosulatlan felhasználók számára.

Hitelesítésalapú hozzáférés-vezérlést kell biztosítani, hogy a potenciális támadók ne töltsék le a fájlokat a saját rendszereikbe. Ha a hitelesítési és engedélyezési rendszer vagy annak konfigurációja hibás, biztonsági mentési mechanizmussal szeretné biztonságossá tenni a virtuális lemezfájlokat.

A virtuális lemezfájlok titkosításával megakadályozhatja, hogy a támadók hozzáférjenek a lemezfájlok tartalmához abban az esetben, ha a támadó letölti a fájlokat. Amikor a támadók megpróbálnak csatlakoztatni egy titkosított lemezfájlt, a titkosítás miatt nem fognak tudni csatlakozni.

Javasoljuk, hogy engedélyezze a virtuális lemez titkosítását.

A virtuális lemeztitkosításra példa az Azure Disk Encryption.

Platformtitkosítási szolgáltatások engedélyezése

Minden nyilvános felhőszolgáltató engedélyezi a titkosítást, amely automatikusan történik a szolgáltató által felügyelt kulcsok használatával a platformon. Ez sok esetben az ügyfél számára történik, és nincs szükség felhasználói beavatkozásra. Más esetekben a szolgáltató ezt a lehetőséget választja, amelyet az ügyfél használhat vagy nem használhat.

Az ilyen típusú titkosítás engedélyezése szinte semmilyen többletterheléssel nem jár, mivel azt a felhőszolgáltató felügyeli.

Javasoljuk, hogy minden olyan szolgáltatás esetében, amely támogatja a szolgáltatói titkosítást, engedélyezze ezt a beállítást.

A szolgáltatásspecifikus szolgáltatói titkosításra példa az Azure Storage Service titkosítása.

Következő lépések

A Microsoft további biztonsági útmutatóiért tekintse meg a Microsoft biztonsági dokumentációját.