Magazyn, dane i szyfrowanieStorage, data, and encryption

Ochrona danych przechowywanych w czasie spoczynku jest wymagana w celu zachowania poufności, integralności i zapewnienia dostępności we wszystkich obciążeniach.Protecting data at rest is required to maintain confidentiality, integrity, and availability assurances across all workloads. Magazyn w usłudze w chmurze, takiej jak platforma Azure, jest wdrażany i implementowany w inny sposób niż w przypadku rozwiązań lokalnych w celu zapewnienia ogromnego skalowania, nowoczesnego dostępu za pomocą interfejsów API REST i izolacji między dzierżawcami.Storage in a cloud service like Azure is architected and implemented quite differently than on premises solutions to enable massive scaling, modern access through REST APIs, and isolation between tenants.

Udzielanie dostępu do usługi Azure Storage jest możliwe za pośrednictwem Azure Active Directory (Azure AD), a także mechanizmów uwierzytelniania opartych na kluczach (symetryczne uwierzytelnianie klucza wspólnego lub sygnatura dostępu współdzielonego).Granting access to Azure storage is possible through Azure Active Directory (Azure AD) as well as key based authentication mechanisms (Symmetric Shared Key Authentication, or Shared Access Signature (SAS))

Magazyn na platformie Azure obejmuje wiele natywnych atrybutów projektu zabezpieczeńStorage in Azure includes a number of native security design attributes

  • Wszystkie dane są szyfrowane przez usługęAll data is encrypted by the service

  • Dane w systemie magazynu nie mogą zostać odczytane przez dzierżawcę, jeśli nie został on zapisany przez dzierżawę (w celu ograniczenia ryzyka wycieku danych między dzierżawcami)Data in the storage system cannot be read by a tenant if it has not been written by that tenant (to mitigate the risk of cross tenant data leakage)

  • Dane pozostaną tylko w wybranym regionieData will remain only in the region you choose

  • System przechowuje trzy synchroniczne kopie danych w wybranym regionie.The system maintains three synchronous copies of data in the region you choose.

  • Szczegółowe rejestrowanie działań jest dostępne na zasadzie zgody.Detailed activity logging is available on an opt-in basis.

Można skonfigurować dodatkowe funkcje zabezpieczeń, takie jak Zapora magazynu, aby zapewnić dodatkową warstwę kontroli dostępu, a także ochronę przed zagrożeniami magazynu w celu wykrycia nietypowego dostępu i działań.Additional security features can be configured such as a storage firewall to provide an additional layer of access control as well as storage threat protection to detect anomalous access and activities.

Szyfrowanie to zaawansowane narzędzie zapewniające bezpieczeństwo, ale ma kluczowe znaczenie dla ochrony danych.Encryption is a powerful tool for security, but it's critical to understand its limits in protecting data. Podobnie jak bezpieczne szyfrowanie ogranicza dostęp tylko do tych, które mają niewielki element (klucz matematyczny).Much like a safe, encryption restricts access to only those with possession of a small item (a mathematical key). Chociaż łatwiej jest chronić posiadanie kluczy niż większe zestawy danych, należy zapewnić odpowiednie zabezpieczenia dla kluczy.While it's easier to protect possession of keys than larger datasets, it is imperative that you provide the appropriate protections for the keys. Ochrona kluczy kryptograficznych nie jest naturalnym intuicyjnym procesem ludzkim (szczególnie dlatego, że dane elektroniczne, takie jak klucze, można skopiować idealnie bez dziennika śledczej dowód), więc często są one niewłaściwie widoczne lub nieprawidłowo zaimplementowane.Protecting cryptographic keys is not a natural intuitive human process (especially because electronic data like keys can be copied perfectly without a forensic evidence trail), so it is often overlooked or implemented poorly.

Chociaż szyfrowanie jest dostępne w wielu warstwach na platformie Azure (i często domyślnie włączone), zidentyfikowano warstwy, które są najważniejsze, aby zaimplementować (wysokie ryzyko dla danych do przeniesienia na inny nośnik) i najłatwiej wdrożyć (w bliskich obciążeniach).While encryption is available in many layers in Azure (and often on by default), we have identified the layers that are most important to implement (high potential for data to move to another storage medium) and are easiest to implement (near zero overhead).

Korzystanie z kontroli dostępu do magazynu opartego na tożsamościachUse Identity based storage access controls

Dostawcy usług w chmurze tworzą wiele metod kontroli dostępu za pośrednictwem zasobów magazynu.Cloud service providers make multiple methods of access control over storage resources available. Przykłady obejmują klucze współużytkowane, sygnatury udostępnione, dostęp anonimowy i metody oparte na dostawcach tożsamości.Examples include shared keys, shared signatures, anonymous access, and identity provider-based methods.

Określenie metod uwierzytelniania i autoryzacji jest najmniej narażone na złamanie i włączenie bardziej szczegółowych kontroli dostępu opartej na rolach na potrzeby zasobów magazynu.Identify provider methods of authentication and authorization are the least liable to compromise and enable more fine-grained role-based access controls over storage resources.

Zalecamy użycie opcji opartej na tożsamości na potrzeby kontroli dostępu do magazynu.We recommend that you use an identity-based option for storage access control.

Przykładem tego jest Azure Active Directory uwierzytelnianie w usłudze Azure BLOB i kolejkowanie usług.An example of this is Azure Active Directory Authentication to Azure blob and queue services.

Szyfruj pliki dysku wirtualnegoEncrypt virtual disk files

Maszyny wirtualne używają plików dysków wirtualnych jako woluminów magazynu wirtualnego i istnieją w systemie magazynu obiektów BLOB dostawcy usług w chmurze.Virtual machines use virtual disk files as virtual storage volumes and exist in a cloud service provider’s blob storage system. Te pliki można przenosić z lokalizacji lokalnych do systemów w chmurze, z systemów w chmurze do lokalnego lub między systemami w chmurze.These files can be moved from on-premises to cloud systems, from cloud systems to on-premises, or between cloud systems. Ze względu na mobilność tych plików musisz upewnić się, że pliki i ich zawartość nie są dostępne dla nieautoryzowanych użytkowników.Due to the mobility of these files, you need to make sure the files and their contents are not accessible to unauthorized users.

Metody kontroli dostępu oparte na uwierzytelnianiu powinny być stosowane, aby uniemożliwić atakującemu pobranie plików do własnych systemów.Authentication-based access controls should be in place to prevent potential attackers from downloading the files to their own systems. W przypadku wady systemu uwierzytelniania i autoryzacji lub jego konfiguracji, chcesz mieć mechanizm tworzenia kopii zapasowej, aby zabezpieczyć pliki dysku wirtualnego.In the event of a flaw in the authentication and authorization system or its configuration, you want to have a backup mechanism to secure the virtual disk files.

Pliki dysku wirtualnego można zaszyfrować, aby uniemożliwić atakującym uzyskanie dostępu do zawartości plików dysku w przypadku, gdy osoba atakująca będzie mogła pobrać pliki.You can encrypt the virtual disk files to help prevent attackers from gaining access to the contents of the disk files in the event that an attacker is able to download the files. Gdy osoby atakujące próbują zainstalować zaszyfrowany plik dysku, nie będą w stanie z powodu szyfrowania.When attackers attempt to mount an encrypted disk file, they will not be able to because of the encryption.

Zalecamy włączenie szyfrowania dysków wirtualnych.We recommend that you enable virtual disk encryption.

Przykładem szyfrowania dysku wirtualnego jest Azure Disk Encryption.An example of virtual disk encryption is Azure Disk Encryption.

Włącz usługi szyfrowania platformyEnable platform encryption services

Wszyscy dostawcy usług w chmurze publicznej umożliwiają szyfrowanie, które jest wykonywane automatycznie przy użyciu kluczy zarządzanych przez dostawcę na ich platformie.All public cloud service providers enable encryption that is done automatically using provider-managed keys on their platform. W wielu przypadkach jest to wykonywane dla klienta i nie jest wymagane interakcja ze strony użytkownika.In many cases, this is done for the customer and no user interaction is required. W innych przypadkach dostawca wykonuje tę opcję, aby klient mógł wybrać użycie lub zrezygnować z użycia.In other cases, the provider makes this an option that the customer can choose to use or not to use.

Nie ma już miejsca na włączenie tego typu szyfrowania, który jest zarządzany przez dostawcę usług w chmurze.There is almost no overhead in enabling this type of encryption as it’s managed by the cloud service provider.

Firma Microsoft zaleca, aby dla każdej usługi obsługującej szyfrowanie dostawcy usług włączyć tę opcję.We recommend that for each service that supports service provider encryption that you enable that option.

Przykładem szyfrowania dostawcy usług w ramach usług jest szyfrowanie usługi Azure Storage.An example of service-specific service provider encryption is Azure Storage Service encryption.

Następne krokiNext steps

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.For additional security guidance from Microsoft, see Microsoft security documentation.