Lagring, data och kryptering
Det krävs skydd av vilodata för att upprätthålla sekretess, integritet och tillgänglighetsgaranti för alla arbetsbelastningar. Storage i en molntjänst som Azure är skapad och implementeras på ett helt annat sätt än i lokala lösningar för att möjliggöra massiv skalning, modern åtkomst via REST-API:er och isolering mellan klienter.
Att bevilja åtkomst till Azure Storage är möjligt via Azure Active Directory (Azure AD) samt nyckelbaserade autentiseringsmekanismer (symmetrisk delad nyckelautentisering eller signatur för delad åtkomst (SAS))
Storage i Azure innehåller ett antal attribut för inbyggd säkerhetsdesign
Alla data krypteras av tjänsten
Data i lagringssystemet kan inte läsas av en klientorganisation om de inte har skrivits av den klientorganisationen (för att minska risken för dataläckage mellan klientorganisationen)
Data finns bara kvar i den region som du väljer
Systemet har tre synkrona kopior av data i den region du väljer.
Detaljerad aktivitetsloggning är tillgänglig för val.
Ytterligare säkerhetsfunktioner kan konfigureras, till exempel en lagringsbrandvägg, för att ge ytterligare ett lager av åtkomstkontroll samt skydd mot lagringshot för att identifiera avvikande åtkomst och aktiviteter.
Kryptering är ett kraftfullt verktyg för säkerhet, men det är viktigt att förstå dess begränsningar när det gäller att skydda data. Ungefär som ett säkert begränsar kryptering åtkomsten till endast de som har tillgång till ett litet objekt (en matematisk nyckel). Även om det är enklare att skydda innehavet av nycklar än större datamängder är det mycket viktigt att du ger rätt skydd för nycklarna. Att skydda kryptografiska nycklar är inte en naturlig intuitiv mänsklig process (särskilt eftersom elektroniska data som nycklar kan kopieras perfekt utan en kriminalteknisk beviskedja), så den förbises ofta eller implementeras dåligt.
Kryptering är tillgängligt i många lager i Azure (och ofta på som standard), men vi har identifierat de skikt som är viktigast att implementera (hög risk för att data flyttas till ett annat lagringsmedium) och är enklast att implementera (nästan noll omkostnader).
Använda identitetsbaserade lagringsåtkomstkontroller
Molntjänstleverantörer gör flera metoder för åtkomstkontroll över lagringsresurser tillgängliga. Exempel är delade nycklar, delade signaturer, anonym åtkomst och identitetsproviderbaserade metoder.
Identitetsproviderns metoder för autentisering och auktorisering är de som är minst ansvariga för att kompromettera och möjliggöra mer begränsade rollbaserade åtkomstkontroller över lagringsresurser.
Vi rekommenderar att du använder ett identitetsbaserat alternativ för åtkomstkontroll för lagring.
Ett exempel på detta är Azure Active Directory autentisering till Blob- och kötjänster i Azure.
Kryptera virtuella diskfiler
Virtuella datorer använder virtuella diskfiler som virtuella lagringsvolymer och finns i en molntjänstleverantörs bloblagringssystem. De här filerna kan flyttas från lokala system till molnsystem, från molnsystem till lokala system eller mellan molnsystem. På grund av mobiliteten för dessa filer måste du se till att filerna och deras innehåll inte är tillgängliga för obehöriga användare.
Autentiseringsbaserade åtkomstkontroller bör finnas på plats för att förhindra potentiella angripare från att ladda ned filerna till sina egna system. I händelse av ett fel i autentiserings- och auktoriseringssystemet eller dess konfiguration vill du ha en mekanism för säkerhetskopiering för att skydda de virtuella diskfilerna.
Du kan kryptera de virtuella diskfilerna för att förhindra att angripare får åtkomst till innehållet i diskfilerna om en angripare kan ladda ned filerna. När angripare försöker montera en krypterad diskfil kommer de inte att kunna det på grund av krypteringen.
Vi rekommenderar att du aktiverar kryptering av virtuella diskar. Information om hur du krypterar virtuella Windows-diskar finns i Snabbstart: Skapaoch kryptera en virtuell Windows dator med Azure CLI.
Ett exempel på kryptering av virtuella diskar Azure Disk Encryption.
Aktivera plattformskrypteringstjänster
Alla leverantörer av offentliga molntjänster aktiverar kryptering som görs automatiskt med leverantörs hanterade nycklar på deras plattform. I många fall görs detta för kunden och ingen användarinteraktion krävs. I andra fall gör leverantören detta till ett alternativ som kunden kan välja att använda eller inte använda.
Det finns nästan inga kostnader för att aktivera den här typen av kryptering eftersom den hanteras av molntjänstleverantören.
Vi rekommenderar att du aktiverar det alternativet för varje tjänst som har stöd för kryptering av tjänstleverantörer.
Ett exempel på tjänstspecifik kryptering för tjänstleverantör är Azure Storage Service Encryption.
Kryptera data under överföring
Skydda data när de överförs mellan komponenter, platser eller program, till exempel via nätverket, via en Service Bus (från lokalt till molnet och tvärtom) eller under en indata-/utdataprocess. Använd alltid SSL/TLS vid utbyte av data mellan olika platser. Mer information finns i Skydda data under överföring.
Ibland behöver du isolera hela kommunikationskanalen mellan din lokala infrastruktur och molninfrastruktur med hjälp av antingen ett virtuellt privat nätverk (VPN) eller ExpressRoute. Mer information finns i de här artiklarna: