Magazyn, dane i szyfrowanie

Ochrona danych magazynowanych jest wymagana do zachowania poufności, integralności i zapewniania dostępności we wszystkich obciążeniach. Magazyn w usłudze w chmurze, taki jak Platforma Azure, jest zaprojektowany i zaimplementowany zupełnie inaczej niż w przypadku rozwiązań lokalnych, aby umożliwić skalowanie masowe, nowoczesny dostęp za pośrednictwem interfejsów API REST i izolację między dzierżawami.

Udzielanie dostępu do usługi Azure Storage jest możliwe za pośrednictwem usługi Azure Active Directory (Azure AD) oraz mechanizmów uwierzytelniania opartych na kluczach (symetryczne uwierzytelnianie klucza współdzielonego lub sygnatury dostępu współdzielonego ))

Usługa Storage na platformie Azure zawiera szereg natywnych atrybutów projektowania zabezpieczeń

  • Wszystkie dane są szyfrowane przez usługę

  • Dane w systemie magazynowania nie mogą być odczytywane przez dzierżawę, jeśli nie zostały zapisane przez dzierżawę (aby ograniczyć ryzyko wycieku danych między dzierżawami)

  • Dane pozostaną tylko w wybranym regionie

  • System obsługuje trzy synchroniczne kopie danych w wybranym regionie.

  • Szczegółowe rejestrowanie aktywności jest dostępne w oparciu o zgodę.

Dodatkowe funkcje zabezpieczeń można skonfigurować, takie jak zapora magazynu, aby zapewnić dodatkową warstwę kontroli dostępu, a także ochronę przed zagrożeniami magazynu w celu wykrywania nietypowego dostępu i działań.

Szyfrowanie to zaawansowane narzędzie do zabezpieczeń, ale ważne jest, aby zrozumieć swoje limity w ochronie danych. Podobnie jak bezpieczne szyfrowanie ogranicza dostęp tylko do osób posiadających mały element (klucz matematyczny). Chociaż łatwiej jest chronić posiadanie kluczy niż większe zestawy danych, konieczne jest zapewnienie odpowiednich ochrony kluczy. Ochrona kluczy kryptograficznych nie jest naturalnym intuicyjnym procesem ludzkim (zwłaszcza dlatego, że dane elektroniczne, takie jak klucze, mogą być kopiowane idealnie bez śladu dowodu kryminalistycznego), więc często jest pomijany lub implementowany słabo.

Chociaż szyfrowanie jest dostępne w wielu warstwach platformy Azure (i często domyślnie), zidentyfikowaliśmy warstwy, które są najważniejsze do zaimplementowania (wysoki potencjał przenoszenia danych do innego nośnika magazynu) i są najłatwiejsze do zaimplementowania (prawie zerowe obciążenie).

Korzystanie z mechanizmów kontroli dostępu do magazynu opartego na tożsamościach

Dostawcy usług w chmurze udostępniają wiele metod kontroli dostępu nad zasobami magazynu. Przykłady obejmują klucze udostępnione, sygnatury współdzielonego, dostęp anonimowy i metody oparte na dostawcy tożsamości.

Zidentyfikuj metody uwierzytelniania i autoryzacji dostawcy są najmniej odpowiedzialne za naruszenie zabezpieczeń i umożliwiają bardziej szczegółowe mechanizmy kontroli dostępu opartej na rolach nad zasobami magazynu.

Zalecamy użycie opcji opartej na tożsamościach na potrzeby kontroli dostępu do magazynu.

Przykładem jest uwierzytelnianie usługi Azure Active Directory w usługach obiektów blob i kolejek platformy Azure.

Szyfrowanie plików dysków wirtualnych

Maszyny wirtualne używają plików dysków wirtualnych jako woluminów magazynu wirtualnego i istnieją w systemie magazynu obiektów blob dostawcy usług w chmurze. Te pliki można przenosić z systemów lokalnych do systemów w chmurze, z systemów w chmurze do środowiska lokalnego lub między systemami w chmurze. Ze względu na mobilność tych plików należy upewnić się, że pliki i ich zawartość nie są dostępne dla nieautoryzowanych użytkowników.

Należy stosować mechanizmy kontroli dostępu opartej na uwierzytelnianiu, aby uniemożliwić potencjalnym osobom atakującym pobieranie plików do własnych systemów. W przypadku błędu w systemie uwierzytelniania i autoryzacji lub jego konfiguracji chcesz mieć mechanizm tworzenia kopii zapasowych w celu zabezpieczenia plików dysku wirtualnego.

Możesz zaszyfrować pliki dysków wirtualnych, aby uniemożliwić atakującym uzyskanie dostępu do zawartości plików dysków w przypadku, gdy osoba atakująca może pobrać pliki. Gdy osoby atakujące próbują zainstalować zaszyfrowany plik dysku, nie będą mogli z powodu szyfrowania.

Zalecamy włączenie szyfrowania dysków wirtualnych.

Przykładem szyfrowania dysków wirtualnych jest usługa Azure Disk Encryption.

Włączanie usług szyfrowania platformy

Wszyscy dostawcy usług w chmurze publicznej umożliwiają automatyczne szyfrowanie przy użyciu kluczy zarządzanych przez dostawcę na swojej platformie. W wielu przypadkach jest to wykonywane dla klienta i nie jest wymagana żadna interakcja użytkownika. W innych przypadkach dostawca sprawia, że jest to opcja, którą klient może użyć lub nie używać.

Nie ma prawie żadnych obciążeń związanych z włączaniem tego typu szyfrowania, ponieważ jest on zarządzany przez dostawcę usług w chmurze.

Zalecamy włączenie tej opcji dla każdej usługi obsługującej szyfrowanie dostawcy usług.

Przykładem szyfrowania dostawcy usług specyficznych dla usługi jest szyfrowanie usługi Azure Storage.

Następne kroki

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.