Lagring, data och kryptering

Skydd av vilande data krävs för att upprätthålla konfidentialitet, integritet och tillgänglighetsgarantier för alla arbetsbelastningar. Lagring i en molntjänst som Azure är konstruerad och implementerad på ett helt annat sätt än lokala lösningar för att möjliggöra massiv skalning, modern åtkomst via REST-API:er och isolering mellan klienter.

Det går att bevilja åtkomst till Azure Storage via Azure Active Directory (Azure AD) samt nyckelbaserade autentiseringsmekanismer (symmetrisk autentisering med delad nyckel eller signatur för delad åtkomst (SAS))

Lagring i Azure innehåller ett antal interna säkerhetsdesignattribut

  • Alla data krypteras av tjänsten

  • Data i lagringssystemet kan inte läsas av en klientorganisation om de inte har skrivits av den klientorganisationen (för att minska risken för dataläckage mellan klientorganisationer)

  • Data kommer endast att finnas kvar i den region som du väljer

  • Systemet har tre synkrona kopior av data i den region som du väljer.

  • Detaljerad aktivitetsloggning är tillgänglig på opt-in-basis.

Ytterligare säkerhetsfunktioner kan konfigureras, till exempel en lagringsbrandvägg för att ge ytterligare ett lager av åtkomstkontroll samt skydd mot lagringshot för att identifiera avvikande åtkomst och aktiviteter.

Kryptering är ett kraftfullt verktyg för säkerhet, men det är viktigt att förstå dess gränser för att skydda data. Precis som med ett säkert värde begränsar kryptering åtkomsten till endast de som har ett litet objekt (en matematisk nyckel). Även om det är enklare att skydda innehav av nycklar än större datamängder, är det viktigt att du ger rätt skydd för nycklarna. Att skydda kryptografiska nycklar är inte en naturlig intuitiv mänsklig process (särskilt eftersom elektroniska data som nycklar kan kopieras perfekt utan ett kriminaltekniskt bevisspår), så det förbises ofta eller implementeras dåligt.

Kryptering är tillgängligt i många lager i Azure (och ofta på som standard), men vi har identifierat de lager som är viktigast att implementera (hög potential för data att flytta till ett annat lagringsmedium) och är enklast att implementera (nära noll omkostnader).

Använda identitetsbaserade åtkomstkontroller för lagring

Molntjänstleverantörer gör flera metoder för åtkomstkontroll över lagringsresurser tillgängliga. Exempel är delade nycklar, delade signaturer, anonym åtkomst och identitetsproviderbaserade metoder.

Identifiera providermetoder för autentisering och auktorisering är de som är minst benägna att kompromettera och aktivera mer detaljerade rollbaserade åtkomstkontroller över lagringsresurser.

Vi rekommenderar att du använder ett identitetsbaserat alternativ för lagringsåtkomstkontroll.

Ett exempel på detta är Azure Active Directory-autentisering till Azure-blob- och kötjänster.

Kryptera virtuella diskfiler

Virtuella datorer använder virtuella diskfiler som virtuella lagringsvolymer och finns i en molntjänstleverantörs bloblagringssystem. Dessa filer kan flyttas från lokala till molnsystem, från molnsystem till lokala eller mellan molnsystem. På grund av dessa filers rörlighet måste du se till att filerna och deras innehåll inte är tillgängliga för obehöriga användare.

Autentiseringsbaserade åtkomstkontroller bör finnas på plats för att förhindra att potentiella angripare laddar ned filerna till sina egna system. Om det uppstår fel i autentiserings- och auktoriseringssystemet eller dess konfiguration vill du ha en säkerhetskopieringsmekanism för att skydda de virtuella diskfilerna.

Du kan kryptera de virtuella diskfilerna för att förhindra att angripare får åtkomst till innehållet i diskfilerna om en angripare kan ladda ned filerna. När angripare försöker montera en krypterad diskfil kan de inte göra det på grund av krypteringen.

Vi rekommenderar att du aktiverar kryptering av virtuella diskar.

Ett exempel på kryptering av virtuella diskar är Azure Disk Encryption.

Aktivera plattformskrypteringstjänster

Alla leverantörer av offentliga molntjänster aktiverar kryptering som görs automatiskt med hjälp av providerhanterade nycklar på deras plattform. I många fall görs detta för kunden och ingen användarinteraktion krävs. I andra fall gör providern detta till ett alternativ som kunden kan välja att använda eller inte använda.

Det finns nästan inga kostnader för att aktivera den här typen av kryptering eftersom den hanteras av molntjänstleverantören.

Vi rekommenderar att du aktiverar det alternativet för varje tjänst som stöder kryptering av tjänstleverantörer.

Ett exempel på tjänstspecifik tjänstproviderkryptering är Azure Storage Service-kryptering.

Nästa steg

Ytterligare säkerhetsvägledning från Microsoft finns i Microsofts säkerhetsdokumentation.