Metodtips för datasäkerhet och kryptering i AzureAzure data security and encryption best practices

Den här artikeln beskriver metod tips för data säkerhet och kryptering.This article describes best practices for data security and encryption.

Bästa praxis bygger på en uppfattning om yttrandet och de fungerar med aktuella funktioner i Azure-plattformen och-funktions uppsättningar.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Åsikter och tekniker förändras med tiden och den här artikeln uppdateras regelbundet för att avspegla ändringarna.Opinions and technologies change over time and this article is updated on a regular basis to reflect those changes.

Skydda dataProtect data

För att skydda data i molnet måste du ta hänsyn till de tillstånd som dina data kan utföra och vilka kontroller som är tillgängliga för det tillståndet.To help protect data in the cloud, you need to account for the possible states in which your data can occur, and what controls are available for that state. Metod tips för Azure Data Security och kryptering är relaterade till följande data tillstånd:Best practices for Azure data security and encryption relate to the following data states:

  • I vila: Detta omfattar alla informations lagrings objekt, behållare och typer som finns statiskt på fysiska media, oavsett om det gäller magnet eller optisk disk.At rest: This includes all information storage objects, containers, and types that exist statically on physical media, whether magnetic or optical disk.
  • Under överföring: när data överförs mellan komponenter, platser eller program, är den under överföring.In transit: When data is being transferred between components, locations, or programs, it’s in transit. Exempel överförs över nätverket, via en Service Bus (från lokalt till molnet och vice versa, inklusive hybrid anslutningar som ExpressRoute) eller under en indata/utdata-process.Examples are transfer over the network, across a service bus (from on-premises to cloud and vice-versa, including hybrid connections such as ExpressRoute), or during an input/output process.

Välj en nyckel hanterings lösningChoose a key management solution

Det är viktigt att skydda dina nycklar för att skydda dina data i molnet.Protecting your keys is essential to protecting your data in the cloud.

Azure Key Vault hjälper till att skydda kryptografiska nycklar och hemligheter som används av molnprogram och molntjänster.Azure Key Vault helps safeguard cryptographic keys and secrets that cloud applications and services use. Key Vault förenklar nyckelhanteringen och låter dig behålla kontrollen över nycklar som kommer åt och krypterar data.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Utvecklare kan skapa nycklar för utveckling och testning på några minuter och sedan migrera dem till produktionsnycklar.Developers can create keys for development and testing in minutes, and then migrate them to production keys. Säkerhetsadministratörer kan bevilja (och återkalla) behörighet till nycklar efter behov.Security administrators can grant (and revoke) permission to keys, as needed.

Du kan använda Key Vault för att skapa flera säkra behållare, som kallas valv.You can use Key Vault to create multiple secure containers, called vaults. Dessa valv backas upp av HSM: er.These vaults are backed by HSMs. Med valv så minskar risken för att säkerhetsinformation förloras av misstag eftersom lagringen av hemligheter centraliseras.Vaults help reduce the chances of accidental loss of security information by centralizing the storage of application secrets. Nyckelvalv kontrollerar och loggar dessutom åtkomsten till allt som lagras i dem.Key vaults also control and log the access to anything stored in them. Azure Key Vault kan hantera certifikat för att begära och förnya Transport Layer Security (TLS).Azure Key Vault can handle requesting and renewing Transport Layer Security (TLS) certificates. Den innehåller funktioner för en robust lösning för hantering av certifikat livs cykeln.It provides features for a robust solution for certificate lifecycle management.

Azure Key Vault har utformats för att stödja program nycklar och hemligheter.Azure Key Vault is designed to support application keys and secrets. Key Vault är inte avsedd att vara en lagrings plats för användar lösen ord.Key Vault is not intended to be a store for user passwords.

Nedan följer rekommenderade säkerhets metoder för att använda Key Vault.Following are security best practices for using Key Vault.

Bästa praxis: bevilja åtkomst till användare, grupper och program i en bestämd omfattning.Best practice: Grant access to users, groups, and applications at a specific scope.
Information: Använd rbacs fördefinierade roller.Detail: Use RBAC’s predefined roles. Om du t. ex. vill bevilja åtkomst till en användare för att hantera nyckel valv, tilldelar du den fördefinierade rollen Key Vault deltagare till den här användaren vid en speciell omfattning.For example, to grant access to a user to manage key vaults, you would assign the predefined role Key Vault Contributor to this user at a specific scope. Omfånget i det här fallet är en prenumeration, en resurs grupp eller bara ett särskilt nyckel valv.The scope in this case would be a subscription, a resource group, or just a specific key vault. Om de fördefinierade rollerna inte passar dina behov kan du definiera dina egna roller.If the predefined roles don’t fit your needs, you can define your own roles.

Bästa praxis: kontrol lera vilka användare som har åtkomst till.Best practice: Control what users have access to.
Information: åtkomst till ett nyckel valv styrs via två separata gränssnitt: hanterings plan och data plan.Detail: Access to a key vault is controlled through two separate interfaces: management plane and data plane. Hanteringsplanets och dataplanets åtkomstkontroller fungerar oberoende av varandra.The management plane and data plane access controls work independently.

Använd RBAC för att kontrollera vad användare har åtkomst till.Use RBAC to control what users have access to. Om du till exempel vill ge en program åtkomst till att använda nycklar i ett nyckel valv, behöver du bara bevilja åtkomst behörighet för data planet med hjälp av åtkomst principer för nyckel valv och ingen åtkomst till hanterings planet krävs för det här programmet.For example, if you want to grant an application access to use keys in a key vault, you only need to grant data plane access permissions by using key vault access policies, and no management plane access is needed for this application. Motsvarande gäller att om du vill att en användare ska kunna läsa valvegenskaper och taggar, men inte ha åtkomst till nycklar, hemligheter eller certifikat, så kan du bevilja den här användaren läsbehörighet med hjälp av RBAC. Det behövs ingen åtkomst till dataplanet.Conversely, if you want a user to be able to read vault properties and tags but not have any access to keys, secrets, or certificates, you can grant this user read access by using RBAC, and no access to the data plane is required.

Bästa praxis: lagra certifikat i ditt nyckel valv.Best practice: Store certificates in your key vault. Dina certifikat är av högt värde.Your certificates are of high value. I fel händer kan ditt programs säkerhet eller säkerheten för dina data komprometteras.In the wrong hands, your application's security or the security of your data can be compromised.
Information: Azure Resource Manager kan på ett säkert sätt distribuera certifikat som lagras i Azure Key Vault till virtuella Azure-datorer när de virtuella datorerna distribueras.Detail: Azure Resource Manager can securely deploy certificates stored in Azure Key Vault to Azure VMs when the VMs are deployed. Genom att ange lämpliga åtkomstprinciper för nyckelvalvet kan du även kontrollera vem som får åtkomst till ditt certifikat.By setting appropriate access policies for the key vault, you also control who gets access to your certificate. En annan fördel är att du hanterar alla dina certifikat på en och samma plats i Azure Key Vault.Another benefit is that you manage all your certificates in one place in Azure Key Vault. Mer information finns i distribuera certifikat till virtuella datorer från kund hanterade Key Vault .See Deploy Certificates to VMs from customer-managed Key Vault for more information.

Bästa praxis: se till att du kan återställa ett borttagnings nyckel valv eller Key Vault-objekt.Best practice: Ensure that you can recover a deletion of key vaults or key vault objects.
Information: det kan vara oavsiktligt eller skadligt att ta bort nyckel valv eller Key Vault-objekt.Detail: Deletion of key vaults or key vault objects can be inadvertent or malicious. Aktivera skyddsfunktionerna för mjuk borttagning och rensning i Key Vault, särskilt för nycklar som används för att kryptera vilande data.Enable the soft delete and purge protection features of Key Vault, particularly for keys that are used to encrypt data at rest. Borttagning av dessa nycklar motsvarar dataförlust, så du kan återställa borttagna valv och valvobjekt om det behövs.Deletion of these keys is equivalent to data loss, so you can recover deleted vaults and vault objects if needed. Öva Key Vault återställnings åtgärder regelbundet.Practice Key Vault recovery operations on a regular basis.

Anteckning

Om en användare har deltagarbehörigheter (RBAC) till hanteringsplanet för ett nyckelvalv kan denne ge sig själv åtkomst till dataplanet genom att ange en åtkomstprincip för nyckelvalv.If a user has contributor permissions (RBAC) to a key vault management plane, they can grant themselves access to the data plane by setting a key vault access policy. Vi rekommenderar att du noggrant kontrollerar vem som har åtkomst till dina nyckel valv för att säkerställa att endast behöriga personer kan komma åt och hantera nyckel valv, nycklar, hemligheter och certifikat.We recommend that you tightly control who has contributor access to your key vaults, to ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.

Hantera med säkra arbets stationerManage with secure workstations

Anteckning

Prenumerations administratören eller ägaren bör använda en säker arbets Station eller en privilegie rad åtkomst arbets Station.The subscription administrator or owner should use a secure access workstation or a privileged access workstation.

Eftersom de stora majoriteten av attacker som riktar sig till slutanvändaren blir slut punkten en av de primära angrepps punkterna.Because the vast majority of attacks target the end user, the endpoint becomes one of the primary points of attack. En angripare som komprometterar slut punkten kan använda användarens autentiseringsuppgifter för att få åtkomst till organisationens data.An attacker who compromises the endpoint can use the user’s credentials to gain access to the organization’s data. De flesta slut punkts attacker drar nytta av det faktum att användarna är administratörer på sina lokala arbets stationer.Most endpoint attacks take advantage of the fact that users are administrators in their local workstations.

Bästa praxis: Använd en säker hanterings arbets station för att skydda känsliga konton, uppgifter och data.Best practice: Use a secure management workstation to protect sensitive accounts, tasks, and data.
Information: Använd en privilegie rad åtkomst arbets Station för att minska risken för attacker i arbets stationer.Detail: Use a privileged access workstation to reduce the attack surface in workstations. Dessa säkra hanterings arbets stationer kan hjälpa dig att undvika vissa av dessa attacker och se till att dina data är säkrare.These secure management workstations can help you mitigate some of these attacks and ensure that your data is safer.

Bästa praxis: se till att Endpoint Protection fungerar.Best practice: Ensure endpoint protection.
Information: tillämpa säkerhets principer på alla enheter som används för att använda data, oavsett data plats (moln eller lokalt).Detail: Enforce security policies across all devices that are used to consume data, regardless of the data location (cloud or on-premises).

Skydda data i vilaProtect data at rest

Data kryptering i vila är ett obligatoriskt steg mot data sekretess, efterlevnad och data suveränitet.Data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty.

Bästa praxis: använda disk kryptering för att skydda dina data.Best practice: Apply disk encryption to help safeguard your data.
Information: Använd Azure Disk Encryption.Detail: Use Azure Disk Encryption. Det gör det möjligt för IT-administratörer att kryptera Windows-och Linux-IaaS VM-diskar.It enables IT administrators to encrypt Windows and Linux IaaS VM disks. Disk kryptering kombinerar den Windows BitLocker-funktion som är bransch standard och Linux dm-crypt-funktionen för att tillhandahålla volym kryptering för operativ systemet och data diskarna.Disk Encryption combines the industry-standard Windows BitLocker feature and the Linux dm-crypt feature to provide volume encryption for the OS and the data disks.

Azure Storage och Azure SQL Database kryptera data i vila som standard och många tjänster erbjuder kryptering som ett alternativ.Azure Storage and Azure SQL Database encrypt data at rest by default, and many services offer encryption as an option. Du kan använda Azure Key Vault till att behålla kontrollen över de nycklar som används för åtkomst till och kryptering av dina data.You can use Azure Key Vault to maintain control of keys that access and encrypt your data. Läs mer i Azure Resource providers stöd för krypterings modell.See Azure resource providers encryption model support to learn more.

Bästa praxis: Använd kryptering för att minimera risker som rör obehörig data åtkomst.Best practices: Use encryption to help mitigate risks related to unauthorized data access.
Information: kryptera dina enheter innan du skriver känsliga data till dem.Detail: Encrypt your drives before you write sensitive data to them.

Organisationer som inte tillämpar data kryptering är mer utsatta för problem med data sekretess.Organizations that don’t enforce data encryption are more exposed to data-confidentiality issues. Obehöriga eller falska användare kan till exempel stjäla data i komprometterade konton eller få obehörig åtkomst till data som kodats i klartext.For example, unauthorized or rogue users might steal data in compromised accounts or gain unauthorized access to data coded in Clear Format. Företag måste också bevisa att de är noggranna och använda rätt säkerhets kontroller för att förbättra sin data säkerhet för att följa bransch bestämmelser.Companies also must prove that they are diligent and using correct security controls to enhance their data security in order to comply with industry regulations.

Skydda data under överföringProtect data in transit

Att skydda data under överföring är en viktig del av din dataskyddsstrategi.Protecting data in transit should be an essential part of your data protection strategy. Eftersom data flyttas fram och tillbaka från många olika platser rekommenderar vi normalt att du alltid använder SSL/TLS-protokoll när du utbyter data mellan olika platser.Because data is moving back and forth from many locations, we generally recommend that you always use SSL/TLS protocols to exchange data across different locations. I en del fall kan det vara bra att isolera hela kommunikationskanalen mellan den lokala och den molnbaserade infrastrukturen med en VPN-anslutning.In some circumstances, you might want to isolate the entire communication channel between your on-premises and cloud infrastructures by using a VPN.

Du bör använda lämpliga skydd som HTTPS eller VPN för data som flyttas mellan den lokala infrastrukturen och Azure.For data moving between your on-premises infrastructure and Azure, consider appropriate safeguards such as HTTPS or VPN. Använd Azure VPN gatewaynär du skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet.When sending encrypted traffic between an Azure virtual network and an on-premises location over the public internet, use Azure VPN Gateway.

Följande är metod tips som är speciella för att använda Azure VPN Gateway, SSL/TLS och HTTPS.Following are best practices specific to using Azure VPN Gateway, SSL/TLS, and HTTPS.

Bästa praxis: säker åtkomst från flera arbets stationer som finns lokalt till ett virtuellt Azure-nätverk.Best practice: Secure access from multiple workstations located on-premises to an Azure virtual network.
Information: Använd plats-till-plats-VPN.Detail: Use site-to-site VPN.

Bästa praxis: säker åtkomst från en enskild arbets station som finns lokalt i ett virtuellt Azure-nätverk.Best practice: Secure access from an individual workstation located on-premises to an Azure virtual network.
Information: Använd punkt-till-plats-VPN.Detail: Use point-to-site VPN.

Bästa praxis: flytta större data uppsättningar över en dedikerad WAN-länk med hög hastighet.Best practice: Move larger data sets over a dedicated high-speed WAN link.
Information: Använd ExpressRoute.Detail: Use ExpressRoute. Om du väljer att använda ExpressRoute kan du även bättra på skyddet genom att kryptera data på programnivå med hjälp av SSL/TLS eller andra protokoll.If you choose to use ExpressRoute, you can also encrypt the data at the application level by using SSL/TLS or other protocols for added protection.

Bästa praxis: interagera med Azure Storage via Azure Portal.Best practice: Interact with Azure Storage through the Azure portal.
Information: alla transaktioner sker via https.Detail: All transactions occur via HTTPS. Du kan också använda lagrings REST API över HTTPS för att interagera med Azure Storage.You can also use Storage REST API over HTTPS to interact with Azure Storage.

Organisationer som inte kan skydda data under överföringen är mer mottagliga för att man ska kunna skydda data i mellanliggande attacker, avlyssningoch kapning av sessioner.Organizations that fail to protect data in transit are more susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Sådana attacker kan vara ett första steg i att få åtkomst till konfidentiella data.These attacks can be the first step in gaining access to confidential data.

Skydda e-post, dokument och känsliga dataSecure email, documents, and sensitive data

Du vill kontrol lera och skydda e-post, dokument och känsliga data som du delar utanför företaget.You want to control and secure email, documents, and sensitive data that you share outside your company. Azure Information Protection är en molnbaserad lösning som hjälper företag att klassificera, märka och skydda sina dokument och e-postmeddelanden.Azure Information Protection is a cloud-based solution that helps an organization to classify, label, and protect its documents and emails. Detta kan göras automatiskt av administratörer som definierar regler och villkor, manuellt av användare eller en kombination där användarna får rekommendationer.This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users get recommendations.

Klassificeringen kan identifieras hela tiden, oavsett var data lagras eller vem den delas.Classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared. Dessa etiketter kan vara visuella markeringar som sidhuvuden, sidfoter eller vattenstämplar.The labels include visual markings such as a header, footer, or watermark. Metadata har lagts till för filer och e-postmeddelandens rubriker i klartext.Metadata is added to files and email headers in clear text. Klartext garanterar att andra tjänster, till exempel lösningar för att förhindra data förlust, kan identifiera klassificeringen och vidta lämpliga åtgärder.The clear text ensures that other services, such as solutions to prevent data loss, can identify the classification and take appropriate action.

Skydds tekniken använder Azure Rights Management (Azure RMS).The protection technology uses Azure Rights Management (Azure RMS). Den här tekniken är integrerad med andra moln tjänster och program från Microsoft, till exempel Microsoft 365 och Azure Active Directory.This technology is integrated with other Microsoft cloud services and applications, such as Microsoft 365 and Azure Active Directory. Den här skyddstekniken använder kryptering, identitet och auktoriseringsprinciper.This protection technology uses encryption, identity, and authorization policies. Skydd som tillämpas via Azure RMS hålls kvar med dokumenten och e-postmeddelandena, oberoende av platsen, i eller utanför din organisation, nätverk, fil servrar och program.Protection that is applied through Azure RMS stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.

Den här informations skydds lösningen ser till att du styr dina data, även när de delas med andra personer.This information protection solution keeps you in control of your data, even when it’s shared with other people. Du kan också använda Azure RMS med dina egna affärs program och informations skydds lösningar från program varu leverantörer, oavsett om programmen och lösningarna är lokala eller i molnet.You can also use Azure RMS with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises or in the cloud.

Vi rekommenderar att du gör följande:We recommend that you:

  • Distribuera Azure information Protection för din organisation.Deploy Azure Information Protection for your organization.
  • Använd etiketter som återspeglar dina affärs behov.Apply labels that reflect your business requirements. Exempel: Använd en etikett med namnet "hög konfidentiell" för alla dokument och e-postmeddelanden som innehåller topp hemliga data för att klassificera och skydda dessa data.For example: Apply a label named “highly confidential” to all documents and emails that contain top-secret data, to classify and protect this data. Sedan kan endast behöriga användare komma åt dessa data, med de begränsningar som du anger.Then, only authorized users can access this data, with any restrictions that you specify.
  • Konfigurera användnings loggning för Azure RMS så att du kan övervaka hur din organisation använder skydds tjänsten.Configure usage logging for Azure RMS so that you can monitor how your organization is using the protection service.

Organisationer som är svaga på data klassificering och Filskydd kan vara mer känsliga för data läckage eller missbruk av data.Organizations that are weak on data classification and file protection might be more susceptible to data leakage or data misuse. Med rätt Filskydd kan du analysera data flöden för att få insikt i verksamheten, identifiera riskfyllda beteenden och vidta lämpliga åtgärder, spåra åtkomst till dokument och så vidare.With proper file protection, you can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, and so on.

Nästa stegNext steps

Se metod tips och mönster för Azure-säkerhet för att få bättre säkerhets metoder att använda när du utformar, distribuerar och hanterar dina moln lösningar med hjälp av Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Följande resurser är tillgängliga för att ge mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:The following resources are available to provide more general information about Azure security and related Microsoft services: