Хранилища, данные и шифрованиеStorage, data, and encryption

Защита неактивных данных необходима для обеспечения конфиденциальности, целостности и гарантии доступности во всех рабочих нагрузках.Protecting data at rest is required to maintain confidentiality, integrity, and availability assurances across all workloads. Хранилище в облачной службе, например Azure, спроектировано и реализовано совершенно иначе, чем в локальных решениях, чтобы обеспечить широкие возможности масштабирования, современный доступ через API-интерфейсы и изоляцию между клиентами.Storage in a cloud service like Azure is architected and implemented quite differently than on premises solutions to enable massive scaling, modern access through REST APIs, and isolation between tenants.

Предоставить доступ к службе хранилища Azure можно с помощью Azure Active Directory (Azure AD), а также механизмов проверки подлинности на основе ключей (симметричная проверка подлинности с помощью общего ключа или подписанный URL-адрес (SAS)).Granting access to Azure storage is possible through Azure Active Directory (Azure AD) as well as key based authentication mechanisms (Symmetric Shared Key Authentication, or Shared Access Signature (SAS))

Хранилище в Azure включает в себя ряд собственных атрибутов разработки безопасности.Storage in Azure includes a number of native security design attributes

  • Все данные шифруются службойAll data is encrypted by the service

  • Клиент не может прочитать данные в системе хранения, если они не были записаны этим клиентом (для снижения риска утечки данных между клиентами).Data in the storage system cannot be read by a tenant if it has not been written by that tenant (to mitigate the risk of cross tenant data leakage)

  • Данные останутся только в выбранном регионеData will remain only in the region you choose

  • Система поддерживает три синхронные копии данных в выбранном регионе.The system maintains three synchronous copies of data in the region you choose.

  • Подробное ведение журнала действий доступно на основе согласия.Detailed activity logging is available on an opt-in basis.

Можно настроить дополнительные функции безопасности, такие как брандмауэр хранилища, чтобы обеспечить дополнительный уровень контроля доступа, а также защиту от угроз хранилища для обнаружения аномальных операций доступа и действий.Additional security features can be configured such as a storage firewall to provide an additional layer of access control as well as storage threat protection to detect anomalous access and activities.

Шифрование — это мощный инструмент для обеспечения безопасности, но очень важно понимать его ограничения в защите данных.Encryption is a powerful tool for security, but it's critical to understand its limits in protecting data. Как и в случае с сейфом, шифрование ограничено доступом только к тем, у которых есть небольшой элемент (математический ключ).Much like a safe, encryption restricts access to only those with possession of a small item (a mathematical key). Несмотря на то что гораздо проще защитить ключи, чем большие наборы данных, обязательно предоставьте соответствующие средства защиты для ключей.While it's easier to protect possession of keys than larger datasets, it is imperative that you provide the appropriate protections for the keys. Защита криптографических ключей — это не естественный интуитивно понятный человеческий процесс (особенно потому, что электронные данные, такие как ключи, могут быть полностью скопированы без судебного доказательства), поэтому часто они плохо пробывают или реализуются.Protecting cryptographic keys is not a natural intuitive human process (especially because electronic data like keys can be copied perfectly without a forensic evidence trail), so it is often overlooked or implemented poorly.

Хотя шифрование доступно во многих уровнях в Azure (и часто по умолчанию), мы определили наиболее важные для реализации уровни (высокий потенциал для перемещения данных на другой носитель), которые проще всего реализовать (почти без дополнительной нагрузки).While encryption is available in many layers in Azure (and often on by default), we have identified the layers that are most important to implement (high potential for data to move to another storage medium) and are easiest to implement (near zero overhead).

Использование элементов управления доступом к хранилищу на основе удостоверенийUse Identity based storage access controls

Поставщики облачных служб предоставляют несколько методов контроля доступа к доступным ресурсам хранилища.Cloud service providers make multiple methods of access control over storage resources available. К примерам относятся общие ключи, общие подписи, анонимный доступ и методы на основе поставщика удостоверений.Examples include shared keys, shared signatures, anonymous access, and identity provider-based methods.

Идентификация методов поставщика для проверки подлинности и авторизации является наименее несанкционированным и обеспечивает более детализированное управление доступом на основе ролей для ресурсов хранения.Identify provider methods of authentication and authorization are the least liable to compromise and enable more fine-grained role-based access controls over storage resources.

Рекомендуется использовать параметр на основе удостоверений для контроля доступа к хранилищу.We recommend that you use an identity-based option for storage access control.

Примером такого Azure Active Directory является проверка подлинности в службах BLOB-объектов и очередей Azure.An example of this is Azure Active Directory Authentication to Azure blob and queue services.

Шифровать файлы виртуальных дисковEncrypt virtual disk files

Виртуальные машины используют файлы виртуальных дисков в качестве томов виртуального хранилища и существуют в системе хранения BLOB-объектов поставщика облачных служб.Virtual machines use virtual disk files as virtual storage volumes and exist in a cloud service provider’s blob storage system. Эти файлы можно перемещать из локальных в облачные системы, из облачных систем в локальные или между облачными системами.These files can be moved from on-premises to cloud systems, from cloud systems to on-premises, or between cloud systems. В связи с мобильностью этих файлов необходимо убедиться, что файлы и их содержимое недоступны для неавторизованных пользователей.Due to the mobility of these files, you need to make sure the files and their contents are not accessible to unauthorized users.

Необходимо обеспечить управление доступом на основе проверки подлинности, чтобы предотвратить загрузку файлов в собственные системы злоумышленниками.Authentication-based access controls should be in place to prevent potential attackers from downloading the files to their own systems. В случае изъяна в системе проверки подлинности и авторизации или ее конфигурации требуется механизм резервного копирования для защиты файлов виртуального диска.In the event of a flaw in the authentication and authorization system or its configuration, you want to have a backup mechanism to secure the virtual disk files.

Файлы виртуальных дисков можно зашифровать, чтобы предотвратить доступ злоумышленников к содержимому файлов на диске в случае, если злоумышленник сможет загрузить файлы.You can encrypt the virtual disk files to help prevent attackers from gaining access to the contents of the disk files in the event that an attacker is able to download the files. Когда злоумышленники пытаются подключить файл зашифрованного диска, они не смогут выполнить шифрование.When attackers attempt to mount an encrypted disk file, they will not be able to because of the encryption.

Рекомендуется включить шифрование виртуальных дисков.We recommend that you enable virtual disk encryption.

Примером шифрования виртуальных дисков является Шифрование дисков Azure.An example of virtual disk encryption is Azure Disk Encryption.

Включить службы шифрования платформыEnable platform encryption services

Все поставщики общедоступных облачных служб обеспечивают шифрование, которое выполняется автоматически с помощью управляемых поставщиком ключей на своей платформе.All public cloud service providers enable encryption that is done automatically using provider-managed keys on their platform. Во многих случаях это делается для клиента, и вмешательство пользователя не требуется.In many cases, this is done for the customer and no user interaction is required. В других случаях поставщик делает такой вариант, который клиент может использовать или не использовать.In other cases, the provider makes this an option that the customer can choose to use or not to use.

При включении этого типа шифрования почти не взимается дополнительная нагрузка, так как она управляется поставщиком облачных служб.There is almost no overhead in enabling this type of encryption as it’s managed by the cloud service provider.

Для каждой службы, поддерживающей шифрование поставщика услуг, рекомендуется использовать этот параметр.We recommend that for each service that supports service provider encryption that you enable that option.

Примером шифрования поставщика услуг, зависящего от службы, является Шифрование службы хранилища Azure.An example of service-specific service provider encryption is Azure Storage Service encryption.

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.