Metodtips för datasäkerhet i Azure och krypteringAzure data security and encryption best practices

Den här artikeln beskriver Metodtips för datasäkerhet och kryptering.This article describes best practices for data security and encryption.

De bästa metoderna är baserade på en enhälligt av åsikter och de fungerar med den aktuella Azure-plattformsfunktioner och egenskapsuppsättningar.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Andras åsikter och tekniker som ändras med tiden och den här artikeln uppdateras regelbundet att återspegla dessa ändringar.Opinions and technologies change over time and this article is updated on a regular basis to reflect those changes.

Skydda dataProtect data

För att skydda data i molnet, som du behöver för möjliga tillstånd som kan uppstå i dina data och vilka kontroller som finns för det aktuella tillståndet.To help protect data in the cloud, you need to account for the possible states in which your data can occur, and what controls are available for that state. Metodtips för datasäkerhet i Azure och kryptering som är relaterade till dessa data tillstånd:Best practices for Azure data security and encryption relate to the following data states:

  • Vilande: Detta inkluderar alla information lagringsobjekt, behållare, och typer som statiskt finns på fysiska mediet, om magnetiska eller optisk disk.At rest: This includes all information storage objects, containers, and types that exist statically on physical media, whether magnetic or optical disk.
  • Under överföring: När data överförs mellan komponenter, platser eller program, är det under överföringen.In transit: When data is being transferred between components, locations, or programs, it’s in transit. Exempel är överföring över nätverket, i ett service bus (från lokalt till molnet och tvärtom, inklusive hybridanslutningar, till exempel ExpressRoute), eller under en in-/ utdata-process.Examples are transfer over the network, across a service bus (from on-premises to cloud and vice-versa, including hybrid connections such as ExpressRoute), or during an input/output process.

Välj en lösning för hantering av nycklarChoose a key management solution

Skydda dina nycklar är nödvändig för att skydda dina data i molnet.Protecting your keys is essential to protecting your data in the cloud.

Azure Key Vault hjälper dig att skydda kryptografiska nycklar och hemligheter som program och tjänster i molnet använder.Azure Key Vault helps safeguard cryptographic keys and secrets that cloud applications and services use. Key Vault förenklar nyckelhanteringen och låter dig behålla kontrollen över nycklar som kommer åt och krypterar data.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Utvecklare kan skapa nycklar för utveckling och testning på några minuter och migrera dem till produktionsnycklar.Developers can create keys for development and testing in minutes, and then migrate them to production keys. Säkerhetsadministratörer kan bevilja (och återkalla) behörighet till nycklar efter behov.Security administrators can grant (and revoke) permission to keys, as needed.

Du kan använda Key Vault för att skapa flera säkra behållare, som kallas valv.You can use Key Vault to create multiple secure containers, called vaults. De här valven stöds av HSM: er.These vaults are backed by HSMs. Med valv så minskar risken för att säkerhetsinformation förloras av misstag eftersom lagringen av hemligheter centraliseras.Vaults help reduce the chances of accidental loss of security information by centralizing the storage of application secrets. Nyckelvalv kan du också styra och logga åtkomst till något som lagras i dem.Key vaults also control and log the access to anything stored in them. Azure Key Vault kan hantera förfrågningar om och förnyande Transport Layer Security (TLS)-certifikat.Azure Key Vault can handle requesting and renewing Transport Layer Security (TLS) certificates. Den innehåller funktioner för en robust lösning för livscykelhantering för certifikat.It provides features for a robust solution for certificate lifecycle management.

Azure Key Vault har utformats som stöd för programnycklar och hemligheter.Azure Key Vault is designed to support application keys and secrets. Key Vault är inte avsedd att vara en lagring för lösenord.Key Vault is not intended to be a store for user passwords.

Följande är rekommenderade säkerhetsmetoder för att använda Key Vault.Following are security best practices for using Key Vault.

Bästa praxis: Bevilja åtkomst till användare, grupper och program i ett visst omfång.Best practice: Grant access to users, groups, and applications at a specific scope.
Information om: Använd RBACS fördefinierade roller.Detail: Use RBAC’s predefined roles. Om du vill bevilja åtkomst till en användare att hantera nyckelvalven, skulle du till exempel tilldela rollen fördefinierade Key Vault deltagare till den här användaren i ett visst omfång.For example, to grant access to a user to manage key vaults, you would assign the predefined role Key Vault Contributor to this user at a specific scope. Omfånget är i det här fallet en prenumeration, en resursgrupp eller bara ett visst nyckelvalv.The scope in this case would be a subscription, a resource group, or just a specific key vault. Om de fördefinierade rollerna inte passar dina behov, kan du definiera egna roller.If the predefined roles don’t fit your needs, you can define your own roles.

Bästa praxis: Styr vilka användare som har åtkomst till.Best practice: Control what users have access to.
Information om: Åtkomst till ett nyckelvalv styrs via två separata gränssnitt: hanteringplanet och dataplanet.Detail: Access to a key vault is controlled through two separate interfaces: management plane and data plane. Hanteringsplanets och dataplanets åtkomstkontroller fungerar oberoende av varandra.The management plane and data plane access controls work independently.

Använd RBAC för att styra vilka användare har åtkomst till.Use RBAC to control what users have access to. Till exempel om du vill ge ett programåtkomst för att använda nycklar i key vault behöver du bara ge dataplansåtkomstbehörigheter med nyckelvalvets åtkomstprinciper och ingen hanteringsplansåtkomst behövs för det här programmet.For example, if you want to grant an application access to use keys in a key vault, you only need to grant data plane access permissions by using key vault access policies, and no management plane access is needed for this application. Däremot, om du vill att användaren ska kunna läsa valvegenskaper och taggar, men inte har åtkomst till nycklar, hemligheter eller certifikat, kan du bevilja den här användaren läsbehörighet med RBAC och ingen åtkomst till dataplanet krävs.Conversely, if you want a user to be able to read vault properties and tags but not have any access to keys, secrets, or certificates, you can grant this user read access by using RBAC, and no access to the data plane is required.

Bästa praxis: Store certifikat i ditt nyckelvalv.Best practice: Store certificates in your key vault. Certifikaten är för högt värde.Your certificates are of high value. Säkerhet för dina program eller säkerheten för dina data kan komprometteras i fel händer.In the wrong hands, your application's security or the security of your data can be compromised.
Information om: Azure Resource Manager kan på ett säkert sätt att distribuera certifikat som lagras i Azure Key Vault till virtuella Azure-datorer när de virtuella datorerna distribueras.Detail: Azure Resource Manager can securely deploy certificates stored in Azure Key Vault to Azure VMs when the VMs are deployed. Genom att ange rätt åtkomstprinciper för nyckelvalvet kan styra du också vilka som får åtkomst till ditt certifikat.By setting appropriate access policies for the key vault, you also control who gets access to your certificate. En annan fördel är att du hanterar alla certifikat på en plats i Azure Key Vault.Another benefit is that you manage all your certificates in one place in Azure Key Vault. Se distribuera certifikat till virtuella datorer från kundhanterad Key Vault för mer information.See Deploy Certificates to VMs from customer-managed Key Vault for more information.

Bästa praxis: Se till att du kan återställa en borttagning av nyckelvalv eller nyckelvalvobjekt.Best practice: Ensure that you can recover a deletion of key vaults or key vault objects.
Information om: Borttagning av nyckeln valv eller nyckelvalvobjekt kan vara oavsiktlig eller skadlig.Detail: Deletion of key vaults or key vault objects can be inadvertent or malicious. Aktivera mjuk borttagning och rensa Dataskyddsfunktioner för Key Vault, särskilt för nycklar som används för att kryptera vilande data.Enable the soft delete and purge protection features of Key Vault, particularly for keys that are used to encrypt data at rest. Borttagning av de här nycklarna motsvarar förlust av data, så att du kan återställa borttagna valv och valv objekt vid behov.Deletion of these keys is equivalent to data loss, so you can recover deleted vaults and vault objects if needed. Öva återställningsåtgärder för Key Vault med jämna mellanrum.Practice Key Vault recovery operations on a regular basis.

Anteckning

Om en användare har bidragsgivarbehörighet (RBAC) till ett nyckelvalv Hanteringsplanet, kan de ge sig själva åtkomst till dataplanet genom att ange en åtkomstprincip för nyckelvalvet.If a user has contributor permissions (RBAC) to a key vault management plane, they can grant themselves access to the data plane by setting a key vault access policy. Vi rekommenderar att du noggrant kontrollera vem som har deltagaråtkomst till dina nyckelvalv så att endast auktoriserade personer kan komma åt och hantera dina nyckelvalv, nycklar, hemligheter och certifikat.We recommend that you tightly control who has contributor access to your key vaults, to ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.

Hantera med säkra arbetsstationerManage with secure workstations

Anteckning

Administratör för prenumerationen eller ägare bör använda en säker åtkomst arbetsstation eller en arbetsstation för privilegierad åtkomst.The subscription administrator or owner should use a secure access workstation or a privileged access workstation.

Eftersom det stora flertalet attacker mål slutanvändaren, blir en av de primära aspekterna av angrepp av slutpunkten.Because the vast majority of attacks target the end user, the endpoint becomes one of the primary points of attack. En angripare som komprometterar slutpunkten använda användarens autentiseringsuppgifter för att få åtkomst till organisationens data.An attacker who compromises the endpoint can use the user’s credentials to gain access to the organization’s data. De flesta endpoint attacker dra nytta av det faktum att användare är administratörer i sina lokala arbetsstationer.Most endpoint attacks take advantage of the fact that users are administrators in their local workstations.

Bästa praxis: Använd en säker hantering arbetsstation för att skydda känsliga konton, aktiviteter och data.Best practice: Use a secure management workstation to protect sensitive accounts, tasks, and data.
Information om: Använd en arbetsstation för privilegierad åtkomst att minska risken för angrepp i arbetsstationer.Detail: Use a privileged access workstation to reduce the attack surface in workstations. Dessa arbetsstationer för säker hantering kan hjälpa dig att lösa några av dessa attacker och se till att dina data är säkrare.These secure management workstations can help you mitigate some of these attacks and ensure that your data is safer.

Bästa praxis: Se till att endpoint protection.Best practice: Ensure endpoint protection.
Information om: Tillämpa säkerhetsprinciper på alla enheter som används för att nyttja data oavsett var data (i molnet eller lokalt).Detail: Enforce security policies across all devices that are used to consume data, regardless of the data location (cloud or on-premises).

Skydda data i vilaProtect data at rest

Datakryptering i viloläge är ett obligatoriskt steg mot att sekretess, efterlevnad och datasuveränitet.Data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty.

Bästa praxis: Tillämpa diskkryptering för att skydda dina data.Best practice: Apply disk encryption to help safeguard your data.
Information om: Använd Azure Disk Encryption.Detail: Use Azure Disk Encryption. Det gör det möjligt för IT-administratörer att kryptera Windows och Linux IaaS VM-diskar.It enables IT administrators to encrypt Windows and Linux IaaS VM disks. Diskkryptering kombinerar funktionen branschstandard BitLocker för Windows och Linux dm-crypt funktionen till att kryptera volymer för Operativsystemet och datadiskarna.Disk Encryption combines the industry-standard Windows BitLocker feature and the Linux dm-crypt feature to provide volume encryption for the OS and the data disks.

Azure Storage och Azure SQL Database kryptera vilande data som standard och många tjänster erbjudandet kryptering som ett alternativ.Azure Storage and Azure SQL Database encrypt data at rest by default, and many services offer encryption as an option. Du kan använda Azure Key Vault för att behålla kontrollen över nycklar som kommer åt och krypterar dina data.You can use Azure Key Vault to maintain control of keys that access and encrypt your data. Se Azure resource providers modellen stöd för kryptering mer.See Azure resource providers encryption model support to learn more.

Bästa praxis: Använd kryptering för att minska riskerna för obehörig åtkomst.Best practices: Use encryption to help mitigate risks related to unauthorized data access.
Information om: Kryptera dina enheter innan du skriver känsliga data till dem.Detail: Encrypt your drives before you write sensitive data to them.

Organisationer som inte framtvingar datakryptering exponeras mer för datasekretess problem.Organizations that don’t enforce data encryption are more exposed to data-confidentiality issues. Till exempel obehöriga eller icke-registrerade användare stjäla data i kapade konton eller få obehörig åtkomst till data som är kodade i Rensa Format.For example, unauthorized or rogue users might steal data in compromised accounts or gain unauthorized access to data coded in Clear Format. Företag måste också bevisa att de är flitig och använda rätt säkerhetsåtgärder för att förbättra deras datasäkerhet för att följa industrins föreskrifter.Companies also must prove that they are diligent and using correct security controls to enhance their data security in order to comply with industry regulations.

Skydda data under överföringProtect data in transit

Bör vara en väsentlig del av din strategi för att skydda data genom att skydda data under överföring.Protecting data in transit should be an essential part of your data protection strategy. Eftersom data flyttas fram och tillbaka från flera platser, allmänhet rekommenderar vi att du alltid använder SSL/TLS-protokollen för att utbyta data mellan olika platser.Because data is moving back and forth from many locations, we generally recommend that you always use SSL/TLS protocols to exchange data across different locations. I vissa fall kanske du vill isolera hela kommunikationskanalen mellan din lokala och molnbaserade infrastrukturer med hjälp av en VPN-anslutning.In some circumstances, you might want to isolate the entire communication channel between your on-premises and cloud infrastructures by using a VPN.

Överväg att lämpliga säkerhetsåtgärder, till exempel HTTPS- eller VPN för data som flyttas mellan den lokala infrastrukturen och Azure.For data moving between your on-premises infrastructure and Azure, consider appropriate safeguards such as HTTPS or VPN. Använd när du skickar krypterad trafik mellan Azure-nätverk och en lokal plats via det offentliga internet, Azure VPN Gateway.When sending encrypted traffic between an Azure virtual network and an on-premises location over the public internet, use Azure VPN Gateway.

Följande är rekommenderade metoder som är specifika för med Azure VPN Gateway-, SSL/TLS- och HTTPS.Following are best practices specific to using Azure VPN Gateway, SSL/TLS, and HTTPS.

Bästa praxis: Skydda åtkomst från flera arbetsstationer som finns på plats till ett Azure-nätverk.Best practice: Secure access from multiple workstations located on-premises to an Azure virtual network.
Information om: Använd plats-till-plats VPN.Detail: Use site-to-site VPN.

Bästa praxis: Säker åtkomst från en enskild arbetsstation dem på plats till en Azure-nätverk.Best practice: Secure access from an individual workstation located on-premises to an Azure virtual network.
Information om: Använd punkt-till-plats VPN.Detail: Use point-to-site VPN.

Bästa praxis: Flytta större datauppsättningar via en dedikerad höghastighetsnätverk WAN-länk.Best practice: Move larger data sets over a dedicated high-speed WAN link.
Information om: Använd ExpressRoute.Detail: Use ExpressRoute. Om du väljer att använda ExpressRoute, du kan också kryptera data på programnivå med hjälp av SSL/TLS eller andra protokoll för extra skydd.If you choose to use ExpressRoute, you can also encrypt the data at the application level by using SSL/TLS or other protocols for added protection.

Bästa praxis: Interagera med Azure Storage via Azure portal.Best practice: Interact with Azure Storage through the Azure portal.
Information om: Alla transaktioner sker via HTTPS.Detail: All transactions occur via HTTPS. Du kan också använda Storage REST API via HTTPS kan interagera med Azure Storage.You can also use Storage REST API over HTTPS to interact with Azure Storage.

Organisationer som inte vill skydda data under överföring är svårare att man-in-the-middle-attacker, avlyssning, och sessionskapning.Organizations that fail to protect data in transit are more susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Dessa attacker kan vara det första steget i att komma åt känsliga data.These attacks can be the first step in gaining access to confidential data.

Skydda e-post, dokument och känsliga dataSecure email, documents, and sensitive data

Du vill kontrollera och skydda e-post, dokument och känsliga data som du delar utanför företaget.You want to control and secure email, documents, and sensitive data that you share outside your company. Azure Information Protection är en molnbaserad lösning som hjälper företag att klassificera, etikettera och skydda sina dokument och e-postmeddelanden.Azure Information Protection is a cloud-based solution that helps an organization to classify, label, and protect its documents and emails. Detta kan göras automatiskt av administratörer som definierar regler och villkor, manuellt av användare eller en kombination där användare får rekommendationer.This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users get recommendations.

Klassificering kan identifieras på hela tiden, oavsett var data lagras eller vem de delas.Classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared. Dessa etiketter kan vara visuella markeringar som ett sidhuvud, sidfot eller vattenstämpel.The labels include visual markings such as a header, footer, or watermark. Metadata har lagts till filer och e-posthuvuden i klartext.Metadata is added to files and email headers in clear text. Klartext ser till att andra tjänster, till exempel lösningar för att förhindra förlust av data, kan identifiera klassificeringen och vidta lämpliga åtgärder.The clear text ensures that other services, such as solutions to prevent data loss, can identify the classification and take appropriate action.

Skyddstekniken använder Azure Rights Management (Azure RMS).The protection technology uses Azure Rights Management (Azure RMS). Den här tekniken är integrerad med andra Microsoft-molntjänster och program, till exempel Office 365 och Azure Active Directory.This technology is integrated with other Microsoft cloud services and applications, such as Office 365 and Azure Active Directory. Den här skyddstekniken använder kryptering, identitet och auktoriseringsprinciper.This protection technology uses encryption, identity, and authorization policies. Skyddet som tillämpas via Azure RMS kvar i dokumenten och e-postmeddelanden, oavsett var finns – i eller utanför din organisation, nätverk, filservrar och program.Protection that is applied through Azure RMS stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.

Den här informationsskyddslösningen behåller du kontrollen över dina data, även när de delas med andra.This information protection solution keeps you in control of your data, even when it’s shared with other people. Du kan också använda Azure RMS med dina egna line-of-business-program och informationsskyddslösningar från programvaruleverantörer, oavsett om dessa program och lösningar finns lokalt eller i molnet.You can also use Azure RMS with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises or in the cloud.

Vi rekommenderar att du:We recommend that you:

  • Distribuera Azure Information Protection för din organisation.Deploy Azure Information Protection for your organization.
  • Använda etiketter som motsvarar dina affärsbehov.Apply labels that reflect your business requirements. Exempel: Tillämpa en etikett med namnet ”konfidentiell” för alla dokument och e-postmeddelanden som innehåller superhemlig data, för att klassificera och skydda dessa data.For example: Apply a label named “highly confidential” to all documents and emails that contain top-secret data, to classify and protect this data. Endast behöriga användare kan sedan komma åt dessa data med några begränsningar som du anger.Then, only authorized users can access this data, with any restrictions that you specify.
  • Konfigurera användningsloggning för Azure RMS så att du kan övervaka hur din organisation använder skyddstjänsten.Configure usage logging for Azure RMS so that you can monitor how your organization is using the protection service.

Organisationer som har svag på dataklassificering och Filskydd kan vara svårare att data läcker ut eller missbruk av data.Organizations that are weak on data classification and file protection might be more susceptible to data leakage or data misuse. Du kan analysera dataflöden för att få insikt i verksamheten, identifiera riskfyllda beteenden och vidta lämpliga åtgärder, spåra åtkomst till dokument och så vidare med rätt Filskydd.With proper file protection, you can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, and so on.

Nästa stegNext steps

Se säkerhet i Azure-metodtips och mönster för flera beprövade metoder för att använda när du utforma, distribuera och hantera dina molnlösningar med hjälp av Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Följande resurser är tillgängliga för att tillhandahålla mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:The following resources are available to provide more general information about Azure security and related Microsoft services: