Skydda datalösningarSecuring data solutions

För många, gör data tillgängliga i molnet, särskilt när över gången från att fungera exklusivt i lokala data lager, kan orsaka viss oro runt ökad åtkomst till dessa data och nya sätt att skydda den.For many, making data accessible in the cloud, particularly when transitioning from working exclusively in on-premises data stores, can cause some concern around increased accessibility to that data and new ways in which to secure it.

UtmaningarChallenges

  • Centralisera övervakning och analys av säkerhets händelser som lagras i flera loggar.Centralizing the monitoring and analysis of security events stored in numerous logs.
  • Implementera hantering av kryptering och auktorisering i dina program och tjänster.Implementing encryption and authorization management across your applications and services.
  • Se till att centraliserad identitets hantering fungerar över alla lösnings komponenter, oavsett om de finns lokalt eller i molnet.Ensuring that centralized identity management works across all of your solution components, whether on-premises or in the cloud.

DataskyddData Protection

Det första steget för att skydda information är att identifiera vad som ska skyddas.The first step to protecting information is identifying what to protect. Utveckla tydliga, enkla och välinformerade rikt linjer för att identifiera, skydda och övervaka de viktigaste data till gångarna var de än befinner sig.Develop clear, simple, and well-communicated guidelines to identify, protect, and monitor the most important data assets anywhere they reside. Etablera det starkaste skyddet för till gångar som har en oproportionerlig inverkan på organisationens uppdrag eller lönsamhet.Establish the strongest protection for assets that have a disproportionate impact on the organization's mission or profitability. Dessa kallas för till gångar med höga värde, eller HVAs.These are known as high value assets, or HVAs. Utför stränga analyser av HVA livs cykel och säkerhets beroenden och upprätta lämpliga säkerhets kontroller och villkor.Perform stringent analysis of HVA lifecycle and security dependencies, and establish appropriate security controls and conditions. På samma sätt kan du identifiera och klassificera känsliga till gångar och definiera teknik och processer för att automatiskt tillämpa säkerhets kontroller.Similarly, identify and classify sensitive assets, and define the technologies and processes to automatically apply security controls.

När du har identifierat de data som du vill skydda kan du fundera över hur du ska skydda dina data i vila och data under överföring.Once the data you need to protect has been identified, consider how you will protect the data at rest and data in transit.

  • Vilande data: data som finns statiskt på fysiska media, oavsett om de är magnetiska eller optiska diskar, lokalt eller i molnet.Data at rest: Data that exists statically on physical media, whether magnetic or optical disk, on premises or in the cloud.
  • Data under överföring: data som överförs mellan komponenter, platser eller program, t. ex. över nätverket, via en Service Bus (från lokalt till molnet och vice versa) eller under en indata/utdata-process.Data in transit: Data while it is being transferred between components, locations or programs, such as over the network, across a service bus (from on-premises to cloud and vice-versa), or during an input/output process.

Mer information om hur du skyddar dina data i vila eller i överföring finns i metod tips för Azure Data Security och kryptering.To learn more about protecting your data at rest or in transit, see Azure Data Security and Encryption Best Practices.

ÅtkomstkontrollAccess Control

Central för att skydda dina data i molnet är en kombination av identitets hantering och åtkomst kontroll.Central to protecting your data in the cloud is a combination of identity management and access control. Med tanke på sorten och typen av moln tjänster, samt den ökande populariteten av hybrid moln, finns det flera viktiga metoder som du bör följa när de kommer till identitets-och åtkomst kontroll:Given the variety and type of cloud services, as well as the rising popularity of hybrid cloud, there are several key practices you should follow when it comes to identity and access control:

  • Centralisera din identitets hantering.Centralize your identity management.
  • Aktivera enkel Sign-On (SSO).Enable Single Sign-On (SSO).
  • Distribuera lösen ords hantering.Deploy password management.
  • Tvinga Multi-Factor Authentication för användare.Enforce multi-factor authentication for users.
  • Använd rollbaserad åtkomst kontroll i Azure (Azure RBAC).Use Azure role-based access control (Azure RBAC).
  • Principer för villkorlig åtkomst ska konfigureras, vilket förbättrar det klassiska konceptet med användar identitet med ytterligare egenskaper som rör användar plats, enhets typ, korrigerings nivå och så vidare.Conditional Access Policies should be configured, which enhances the classic concept of user identity with additional properties related to user location, device type, patch level, and so on.
  • Kontrol lera platser där resurser skapas med Resource Manager.Control locations where resources are created using resource manager.
  • Övervaka aktivt för misstänkta aktiviteterActively monitor for suspicious activities

Mer information finns i metod tips för Azure Identity Management och åtkomst kontroll.For more information, see Azure Identity Management and access control security best practices.

GranskningAuditing

Utöver den identitets-och åtkomst övervakning som tidigare nämnts bör de tjänster och program som du använder i molnet skapa säkerhetsrelaterade händelser som du kan övervaka.Beyond the identity and access monitoring previously mentioned, the services and applications that you use in the cloud should be generating security-related events that you can monitor. Den primära utmaningen att övervaka dessa händelser hanterar antalet loggar, för att undvika potentiella problem eller felsöka tidigare.The primary challenge to monitoring these events is handling the quantities of logs , in order to avoid potential problems or troubleshoot past ones. Molnbaserade program brukar innehålla många rörliga delar, varav de flesta genererar en viss nivå av loggning och telemetri.Cloud-based applications tend to contain many moving parts, most of which generate some level of logging and telemetry. Använd centraliserad övervakning och analys för att hjälpa dig att hantera och få en uppfattning om den stora mängden information.Use centralized monitoring and analysis to help you manage and make sense of the large amount of information.

Mer information finns i Azure-loggning och granskning.For more information, see Azure Logging and Auditing.

Skydda data lösningar i AzureSecuring data solutions in Azure

KrypteringEncryption

Virtuella datorer.Virtual machines. Använd Azure Disk Encryption för att kryptera de anslutna diskarna på virtuella Windows-eller Linux-datorer.Use Azure Disk Encryption to encrypt the attached disks on Windows or Linux VMs. Den här lösningen integreras med Azure Key Vault för att kontrol lera och hantera disk krypterings nycklar och hemligheter.This solution integrates with Azure Key Vault to control and manage the disk-encryption keys and secrets.

Azure Storage.Azure Storage. Använd Azure Storage tjänst kryptering för att automatiskt kryptera data i vila i Azure Storage.Use Azure Storage Service Encryption to automatically encrypt data at rest in Azure Storage. Kryptering, dekryptering och nyckel hantering är helt transparent för användare.Encryption, decryption, and key management are totally transparent to users. Data kan också skyddas vid överföring med hjälp av kryptering på klient sidan med Azure Key Vault.Data can also be secured in transit by using client-side encryption with Azure Key Vault. Mer information finns i kryptering på klient sidan och Azure Key Vault för Microsoft Azure Storage.For more information, see Client-Side Encryption and Azure Key Vault for Microsoft Azure Storage.

SQL Database -och Azure Synapse-analys.SQL Database and Azure Synapse Analytics. Använd Transparent datakryptering (TDE) för att utföra kryptering och dekryptering i real tid av dina databaser, tillhör ande säkerhets kopior och transaktionsloggfiler utan att behöva göra några ändringar i dina program.Use Transparent Data Encryption (TDE) to perform real-time encryption and decryption of your databases, associated backups, and transaction log files without requiring any changes to your applications. SQL Database kan också använda Always Encrypted för att skydda känsliga data i vila på servern under förflyttning mellan klienten och servern och medan data används.SQL Database can also use Always Encrypted to help protect sensitive data at rest on the server, during movement between client and server, and while the data is in use. Du kan använda Azure Key Vault för att lagra dina Always Encrypted krypterings nycklar.You can use Azure Key Vault to store your Always Encrypted encryption keys.

Rights ManagementRights management

Azure Rights Management är en molnbaserad tjänst som använder krypterings-, identitets-och Auktoriseringsprinciper för att skydda filer och e-post.Azure Rights Management is a cloud-based service that uses encryption, identity, and authorization policies to secure files and email. Det fungerar på flera enheter — telefoner, surfplattor och datorer.It works across multiple devices — phones, tablets, and PCs. Information kan skyddas både inom din organisation och utanför organisationen, eftersom skyddet stannar med data, även om den lämnar din organisations gränser.Information can be protected both within your organization and outside your organization because that protection remains with the data, even when it leaves your organization's boundaries.

ÅtkomstkontrollAccess control

Använd rollbaserad åtkomst kontroll i Azure (Azure RBAC) för att begränsa åtkomsten till Azure-resurser baserat på användar roller.Use Azure role-based access control (Azure RBAC) to restrict access to Azure resources based on user roles. Om du använder Active Directory lokalt kan du Synkronisera med Azure AD för att ge användarna en moln identitet baserat på sin lokala identitet.If you are using Active Directory on-premises, you can synchronize with Azure AD to provide users with a cloud identity based on their on-premises identity.

Använd villkorlig åtkomst i Azure Active Directory för att genomdriva kontroller av åtkomsten till program i din miljö baserat på vissa villkor.Use Conditional access in Azure Active Directory to enforce controls on the access to applications in your environment based on specific conditions. Din princip översikt kan till exempel ha formen av: när leverantörer försöker komma åt våra molnappar från nätverk som inte är betrodda, så blockera åtkomst.For example, your policy statement could take the form of: When contractors are trying to access our cloud apps from networks that are not trusted, then block access.

Azure AD Privileged Identity Management kan hjälpa dig att hantera, kontrol lera och övervaka dina användare och vilka typer av uppgifter de utför med sina administratörs privilegier.Azure AD Privileged Identity Management can help you manage, control, and monitor your users and what sorts of tasks they are performing with their admin privileges. Detta är ett viktigt steg för att begränsa vem i din organisation som kan utföra privilegierade åtgärder i Azure AD, Azure, Microsoft 365 eller SaaS appar, samt övervaka deras aktiviteter.This is an important step to limiting who in your organization can carry out privileged operations in Azure AD, Azure, Microsoft 365, or SaaS apps, as well as monitor their activities.

NätverkNetwork

Använd alltid SSL/TLS när du utbyter data mellan olika platser för att skydda data under överföringen.To protect data in transit, always use SSL/TLS when exchanging data across different locations. Ibland behöver du isolera hela kommunikations kanalen mellan din lokala och moln infrastruktur genom att använda antingen ett virtuellt privat nätverk (VPN) eller ExpressRoute.Sometimes you need to isolate your entire communication channel between your on-premises and cloud infrastructure by using either a virtual private network (VPN) or ExpressRoute. Mer information finns i utöka lokala data lösningar till molnet.For more information, see Extending on-premises data solutions to the cloud.

Använd nätverks säkerhets grupper för att minska antalet potentiella angrepps vektorer.Use network security groups to reduce the number of potential attack vectors. En nätverkssäkerhetsgrupp innehåller en lista över säkerhetsregler som tillåter eller nekar inkommande eller utgående nätverkstrafik baserat på käll- eller mål-IP-adress, port och protokoll.A network security group contains a list of security rules that allow or deny inbound or outbound network traffic based on source or destination IP address, port, and protocol.

Använd Virtual Network tjänstens slut punkter för att skydda Azure SQL-eller Azure Storage-resurser så att endast trafik från ditt virtuella nätverk kan komma åt resurserna.Use Virtual Network service endpoints to secure Azure SQL or Azure Storage resources, so that only traffic from your virtual network can access these resources.

Virtuella datorer i ett Azure-Virtual Network (VNet) kan kommunicera på ett säkert sätt med andra virtuella nätverk med hjälp av peering för virtuella nätverk.VMs within an Azure Virtual Network (VNet) can securely communicate with other VNets using virtual network peering. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat.Network traffic between peered virtual networks is private. Trafiken mellan de virtuella nätverken finns i Microsoft-stamnätverket.Traffic between the virtual networks is kept on the Microsoft backbone network.

Mer information finns i Azure Network SecurityFor more information, see Azure network security

ÖvervakningMonitoring

Azure Security Center samlar automatiskt in, analyserar och integrerar loggdata från dina Azure-resurser, nätverket och anslutna partner lösningar, t. ex. brand Väggs lösningar, för att identifiera verkliga hot och minska antalet falska positiva identifieringar.Azure Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and connected partner solutions, such as firewall solutions, to detect real threats and reduce false positives.

Log Analytics ger centraliserad åtkomst till dina loggar och hjälper dig att analysera dessa data och skapa anpassade aviseringar.Log Analytics provides centralized access to your logs and helps you analyze that data and create custom alerts.

Azure SQL Database hot identifiering identifierar avvikande aktiviteter som visar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.Azure SQL Database Threat Detection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases. Säkerhets ansvariga eller andra angivna administratörer kan få omedelbara meddelanden om misstänkta databas aktiviteter när de inträffar.Security officers or other designated administrators can receive an immediate notification about suspicious database activities as they occur. Varje meddelande ger information om den misstänkta aktiviteten och rekommenderar att du undersöker och minimerar risken ytterligare.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.