存储、数据和加密

若要跨所有工作负载维持机密性、完整性和可用性保证,则需要保护静态数据。 Azure 等云服务中的存储的构建和实现方式与本地解决方案大不相同,可实现大规模扩展、通过 REST API 的新式访问以及租户之间的隔离。

可以通过 Azure Active Directory (Azure AD) 以及基于密钥的身份验证机制(对称共享密钥身份验证或共享访问签名 (SAS))来授予对 Azure 存储的访问权限

Azure 中的存储包括多个本机安全设计属性

  • 所有数据均由服务进行加密

  • 如果存储系统中的数据不是由某个租户写入的,则该租户无法读取相应的数据(这样做是为了降低跨租户数据泄露风险)

  • 数据将仅保留在所选区域

  • 系统会在所选区域维护数据的三个同步副本。

  • 系统会根据用户的选择提供详细的活动日志记录。

可以配置其他安全功能,例如配置存储防火墙以提供一层额外的访问控制,还可以配置存储威胁防护以检测异常访问和活动。

加密是一种功能强大的安全工具,但了解其在数据保护方面的限制是至关重要的。 与保险箱非常相似,加密会限制只有拥有一个小物件(一个非常精密的密钥)才能访问。 虽然保护密钥的占有比保护较大的数据集更容易,但为密钥提供适当的保护至关重要。 保护加密密钥并不是一个自然直观的人工流程(特别是因为可以在不留下取证证据痕迹的情况下完美地复制诸如密钥之类的电子数据),因此它经常被忽视或其实现方式不太恰当。

虽然 Azure 中的许多层都提供加密(通常默认启用),但我们已确定了最有必要实现加密的层(数据移到其他存储介质的可能性较高),以及最容易实现加密的层(开销接近于零)。

使用基于标识的存储访问控制

云服务提供商提供了多种针对存储资源的访问控制方法。 示例包括共享密钥、共享签名、匿名访问和基于标识提供者的方法。

身份验证和授权的标识提供者方法是最不易于遭受破解的方法,并能实现对存储资源更细化的基于角色的访问控制。

建议使用基于标识的选项进行存储访问控制。

例如,使用 Azure Active Directory 对 Azure Blob 和队列服务进行身份验证

对虚拟磁盘文件进行加密

虚拟机使用虚拟磁盘文件作为虚拟存储卷,并存在于云服务提供商的 Blob 存储系统中。 这些文件可以从本地移到云系统,从云系统移到本地,甚至可以在云系统之间移动。 由于这些文件的移动性,你需要确保未经授权的用户无法访问这些文件及其内容。

应实施基于身份验证的访问控制,以阻止潜在攻击者将文件下载到自己的系统。 如果身份验证和授权系统或其配置存在缺陷,则需要使用备份机制来保护虚拟磁盘文件。

可以对虚拟磁盘文件进行加密,以帮助防止攻击者在能够下载文件的情况下,获取对磁盘文件内容的访问权限。 尝试装载加密磁盘文件时,攻击者将无法装载,因为磁盘文件已加密。

建议启用虚拟磁盘加密。

Azure 磁盘加密是虚拟磁盘加密的一个示例。

启用平台加密服务

所有公有云服务提供商都启用加密,该加密使用提供商在其平台上管理的密钥自动完成。 在许多情况下,系统会为客户完成该加密,无需用户交互。 在其他情况下,提供商会让客户选择是否使用加密。

启用这种类型的加密几乎不会产生任何开销,因为它由云服务提供商管理。

建议为每个支持服务提供商加密的服务启用该选项。

Azure 存储服务加密是特定于服务的服务提供商加密的示例。

后续步骤

有关 Microsoft 的其他安全指导,请参阅 Microsoft 安全文档