Opslag, gegevens en versleuteling
Het beveiligen van data-at-rest is vereist voor het handhaven van vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor alle workloads. Storage in een cloudservice zoals Azure wordt anders ontworpen en geïmplementeerd dan on-premises oplossingen om grootschalige schaalbaarheid, moderne toegang via REST API's en isolatie tussen tenants mogelijk te maken.
Het verlenen van toegang tot Azure Storage is mogelijk via Azure Active Directory (Azure AD) en verificatiemechanismen op basis van sleutels (symmetrische gedeelde sleutelverificatie of Shared Access Signature (SAS))
Storage in Azure bevat een aantal eigen kenmerken voor beveiligingsontwerp
Alle gegevens worden versleuteld door de service
Gegevens in het opslagsysteem kunnen niet worden gelezen door een tenant als deze niet zijn geschreven door die tenant (om het risico op gegevenslekken tussen tenants te beperken)
Gegevens blijven alleen in de regio die u kiest
Het systeem onderhoudt drie synchrone kopieën van gegevens in de regio die u kiest.
Gedetailleerde logboekregistratie van activiteiten is beschikbaar op aanmeldingsbasis.
Aanvullende beveiligingsfuncties kunnen worden geconfigureerd, zoals een firewall voor opslag, om een extra laag toegangsbeheer en beveiliging tegen bedreigingen voor opslag te bieden om afwijkende toegang en activiteiten te detecteren.
Versleuteling is een krachtig hulpprogramma voor beveiliging, maar het is essentieel om de limieten te begrijpen voor het beveiligen van gegevens. Net als bij een kluis beperkt versleuteling de toegang tot alleen personen die een klein item in bezit hebben (een wiskundige sleutel). Hoewel het eenvoudiger is om het bezit van sleutels te beveiligen dan grotere gegevenssets, is het belangrijk dat u de juiste beveiligingen voor de sleutels biedt. Het beveiligen van cryptografische sleutels is geen natuurlijk intuïtief menselijk proces (met name omdat elektronische gegevens, zoals sleutels, perfect kunnen worden gekopieerd zonder forensisch bewijs), zodat deze vaak over het hoofd worden gezien of slecht worden geïmplementeerd.
Hoewel versleuteling beschikbaar is in veel lagen in Azure (en vaak standaard ingeschakeld), hebben we vastgesteld welke lagen het belangrijkst zijn om te implementeren (hoge mogelijkheden voor gegevens om naar een ander opslagmedium te verplaatsen) en zijn ze het gemakkelijkst te implementeren (bijna geen overhead).
Toegangsbesturingselementen voor opslag op basis van identiteit gebruiken
Cloudserviceproviders maken meerdere toegangsbeheermethoden voor opslagbronnen beschikbaar. Voorbeelden hiervan zijn gedeelde sleutels, gedeelde handtekeningen, anonieme toegang en methoden op basis van identiteitsproviders.
Verificatie- en autorisatiemethoden van identiteitsproviders zijn het minst aansprakelijk voor het in gevaar brengen en inschakelen van meer fijnfeitscontroles op basis van rollen voor opslagresources.
U wordt aangeraden een op identiteit gebaseerde optie te gebruiken voor toegangsbeheer voor opslag.
Een voorbeeld hiervan is verificatie Azure Active Directory Azure Blob- en Queue Services.
Bestanden van virtuele schijven versleutelen
Virtuele machines gebruiken virtuele schijfbestanden als virtuele opslagvolumes en bestaan in het blobopslagsysteem van een cloudserviceprovider. Deze bestanden kunnen worden verplaatst van on-premises naar cloudsystemen, van cloudsystemen naar on-premises of tussen cloudsystemen. Vanwege de mobiliteit van deze bestanden moet u ervoor zorgen dat de bestanden en de inhoud ervan niet toegankelijk zijn voor onbevoegde gebruikers.
Toegangsbesturingselementen op basis van verificatie moeten worden gebruikt om te voorkomen dat mogelijke aanvallers de bestanden naar hun eigen systemen downloaden. In het geval van een fout in het verificatie- en autorisatiesysteem of de configuratie ervan, wilt u een back-upmechanisme hebben om de virtuele schijfbestanden te beveiligen.
U kunt de bestanden van de virtuele schijf versleutelen om te voorkomen dat aanvallers toegang krijgen tot de inhoud van de schijfbestanden als een aanvaller de bestanden kan downloaden. Wanneer aanvallers proberen een versleuteld schijfbestand te maken, is dit niet mogelijk vanwege de versleuteling.
U wordt aangeraden versleuteling van virtuele schijven in teschakelen. Zie Quickstart: Een virtuele Windows maken en versleutelen met de Azure CLI voor meer informatie over het versleutelen van Windows VM-schijven.
Een voorbeeld van versleuteling van virtuele schijven is Azure Disk Encryption.
Platformversleutelingsservices inschakelen
Alle providers van openbare cloudservices maken versleuteling mogelijk die automatisch wordt uitgevoerd met behulp van door providers beheerde sleutels op hun platform. In veel gevallen gebeurt dit voor de klant en is er geen gebruikersinteractie vereist. In andere gevallen maakt de provider dit een optie die de klant wel of niet kan gebruiken.
Er is bijna geen overhead bij het inschakelen van dit type versleuteling, omdat deze wordt beheerd door de cloudserviceprovider.
U wordt aangeraden voor elke service die ondersteuning biedt voor versleuteling van serviceproviders die optie in teschakelen.
Een voorbeeld van servicespecifieke versleuteling van serviceproviders is Azure Storage Service-versleuteling.
Actieve gegevens versleutelen
Bescherm gegevens terwijl deze worden overgedragen tussen onderdelen, locaties of programma's, zoals via het netwerk, via een servicebus (van on-premises naar de cloud en vice versa) of tijdens een invoer-/uitvoerproces. Gebruik altijd SSL/TLS bij het uitwisselen van gegevens tussen verschillende locaties. Zie Gegevens tijdens overdracht beveiligen voor meer informatie.
Soms moet u uw hele communicatiekanaal tussen uw on-premises infrastructuur en cloudinfrastructuur isoleren met behulp van een virtueel particulier netwerk (VPN) of ExpressRoute. Zie de volgende artikelen voor meer informatie: