影響等級 5 工作負載的隔離指引

  • 發行項

Azure Government 支援在所有可用區域使用影響等級 5 (IL5) 資料的應用程式。 IL5 需求定義於美國國防部 (DoD) 雲端運算安全性需求指南 (SRG) (英文)。 IL5 工作負載對 DoD 的影響程度較高,且必須受到更高標準的保護。 當您在 Azure Government 上部署這些工作負載時,可以透過各種方式滿足其隔離需求。 本文件中的指引說明符合 IL5 隔離需求所需的組態與設定。 當我們啟用新的隔離選項,且美國國防資訊系統局 (DISA) 授權 IL5 資料的新服務時,我們將更新本文章。

背景

在 2017 年 1 月,DISA 將 IL5 Provisional 臨時授權 (PA) 授與 Azure Government,使其成為第一個授與超大規模雲端提供者的 IL5 PA。 PA 涵蓋兩個專屬於 DoD 的 Azure Government 區域 US DoD 中部與 US DoD 東部 (美國 DoD 區域)。 根據 DoD 任務擁有者意見反應與不斷演進的安全性功能,Microsoft 已與 DISA 合作,於 2018 年 12 月擴充 IL5 PA 界限,以涵蓋剩餘的 Azure Government 區域 US Gov 亞利桑那州、US Gov 德克薩斯州與 US Gov 維吉尼亞州 (US Gov 區域)。 如需 Azure Government 中的服務可用性,請參閱依區域提供的產品

Azure Government 專用於美國聯邦、州、當地和部落政府及其合作夥伴。 對 Azure Government 的 IL5 擴充會遵守 DoD 所授權的隔離需求。 Azure Government 會持續為 DoD IL5 工作負載提供比任何其他雲端服務環境更適合的 PaaS 服務。

準則和方法

您必須為 IL5 範圍中的 Azure 服務處理兩個關鍵區域:計算隔離與儲存隔離。 在本文章中,我們將著重在 Azure 服務如何協助您為 IL5 資料隔離計算與儲存服務。 SRG 允許共用管理和網路基礎結構。 本文章著重在適用於 US Gov 亞利桑那州、US Gov 德克薩斯州和 US Gov 維吉尼亞州 (US Gov 區域) 的 Azure Government 計算與儲存隔離方法。 如果 Azure Government DoD 區域 US DoD 中部與 US DoD 東部 (US DoD 區域) 中提供 Azure 服務,並在 IL5 獲得授權,則其預設適用於不需要額外隔離設定的 IL5 工作負載。 Azure Government DoD 區域會保留給 DoD 機構與其合作夥伴,藉由設計讓實體與非 DoD 租用戶分離。 如需詳細資訊,請參閱 Azure Government 中的 DoD (英文)。

重要

您必須負責設計並部署應用程式,以符合 DoD IL5 合規性需求。 這樣做時,您不應在 Azure 資源名稱中包含敏感性或受限制的資訊,如命名 Azure 資源的考量 (英文) 中所述。

計算隔離

雲端運算 SRG (英文) 第 5.2.2.3 節 (第 51 頁) 說明 IL5 分離需求。 SRG 著重在 IL5 資料「處理」期間的計算分離。 此分離可確保可能可以入侵實體主機的虛擬機器無法影響 DoD 工作負載。 若要移除執行階段攻擊的風險,並確保長時間執行的工作負載不會被相同主機上其他工作負載的入侵,所有 IL5 虛擬機器和虛擬機器擴展集都應該由 DoD 任務擁有者透過 Azure 專用主機隔離的虛擬機器 (部分機器翻譯) 來隔離。 這樣做也提供專用實體伺服器來裝載您的 Windows 與 Linux Azure 虛擬機器 (VM)。

針對計算流程由擁有者進行存取混淆以及資料處理為無狀態的服務,您應該專注在所處理的資料以及其儲存和保留方式來完成隔離。 此方法可確保資料儲存在受保護的媒體中。 此外,其也可確保資料不會存在於這些服務上太久,除非視需要加密。

儲存隔離

雲端運算 SRG (英文) 第 5.11 節(第 122 頁)提供加密待用資料的 DoD 需求。 DoD 強調加密儲存在虛擬機器虛擬硬碟、區塊或檔案層級的大規模儲存設施,以及任務擁有者無法完全控制資料庫服務的資料庫記錄中的所有待用資料。 針對無法使用 DoD 金鑰控制加密待用資料的雲端應用程式,在將資料傳輸到雲端服務供應項目,任務擁有者必須先與相關資料擁有者一起執行風險分析。

在 Azure Government 的最新 PA 中,DISA 已透過密碼編譯方式核准 IL5 與其他資料的邏輯分離。 在 Azure 中,此方法牽涉到透過在 Azure Key Vault 中維護並儲存在 FIPS 140 已驗證硬體安全模組 (HSM) 中的金鑰進行資料加密。 金鑰是由 IL5 系統擁有者所擁有並管理,也稱為客戶自控金鑰 (CMK)。

以下是此方法套用至服務的方式:

  • 如果服務只裝載 IL5 資料,服務可以控制終端使用者的金鑰。 但它必須使用專用金鑰來保護 IL5 資料,使其不受雲端中所有其他資料影響。
  • 如果服務將裝載 IL5 和非 DoD 資料,服務必須公開選項,讓終端使用者使用在 Azure Key Vault 中維護的自有加密金鑰。 此實作可讓服務的取用者視需要實作密碼編譯分離。

此方法可確保使用硬體型金鑰管理解決方案,將用於解密資料的所有金鑰材料,與資料本身分開儲存。

套用此指引

IL5 指引需要以高度的安全性、隔離和控制來部署工作負載。 除了符合 IL5 需求所需的任何其他設定或控制措施之外,還需要下列設定。 本文章不一定能解決網路隔離、存取控制和其他必要安全性措施。

注意

本文章會追蹤已接收 DoD IL5 PA 的 Azure 服務,以及需要額外設定選項以符合 IL5 隔離需求的 Azure 服務。 本文章未提及不需要任何額外設定選項的 IL5 PA 服務。 如需 US Gov 區域中 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。

請務必檢閱您使用的每個服務項目,並確定已實作所有隔離需求。

AI + 機器學習

如需 Azure Government 中的 AI 與機器學習服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure Machine Learning

Azure AI 服務:內容仲裁 (部分機器翻譯)

Azure AI 服務:自訂視覺 (部分機器翻譯)

Azure AI 服務:臉部 (部分機器翻譯)

Azure AI Language Understanding (LUIS) (部分機器翻譯)

Azure AI Language Understanding (LUIS) 是 Azure AI 語言 (部分機器翻譯) 的一部分。

Azure AI 服務:個人化服務工具 (部分機器翻譯)

Azure AI 服務:QnA Maker (部分機器翻譯)

Azure AI QnA Maker 是 Azure AI 語言 (部分機器翻譯) 的一部分。

Azure AI 語音

Azure AI 服務:翻譯工具

分析

如需 Azure Government 中的 Analytics 服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure Databricks

Azure 資料總管

  • 根據預設,Azure 中 Azure 資料總管叢集中的資料會使用 Microsoft 管理的金鑰來保護及加密。 如需對加密金鑰的額外控制,您可以提供客戶自控金鑰,以用於資料加密,並使用您自己的金鑰來管理您的資料加密 (部分機器翻譯)。

Azure HDInsight

  • Azure HDInsight 可以部署到已啟用適當儲存體服務加密的現有儲存體帳戶,如 Azure 儲存體指引中所述。
  • Azure HDInsight 會針對特定設定啟用資料庫選項。 在您選擇的選項上,確定已針對透明資料加密 (TDE) 啟用適當的資料庫設定。 此流程會在 Azure SQL Database 的指引中討論。

Azure 串流分析

Azure Synapse Analytics

  • 透過 Azure Key Vault 使用客戶自控金鑰新增透明資料加密。 如需詳細資訊,請參閱 Azure SQL 透明資料加密 (部分機器翻譯)。 針對 Azure Synapse Analytics 啟用此設定的指示,與針對 Azure SQL Database 的指示相同。

Data Factory

  • 透過將加密的認證儲存在 Data Factory 受控存放區中來保護資料存放區認證。 Data Factory 可透過使用受 Microsoft 管理的憑證來加密資料存放區認證,為這些認證提供保護。 如需有關「Azure 儲存體」安全性的詳細資訊,請參閱 Azure 儲存體安全性概觀。 您也可以在 Azure Key Vault 中儲存資料存放區的認證。 Data Factory 會在活動執行期間擷取認證。 如需詳細資訊,請參閱將認證儲存在 Azure Key Vault 中 (部分機器翻譯)。

事件中樞

Power BI

計算

如需 Azure Government 中的計算服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Batch

  • 啟用使用者訂用帳戶模式,這需要 Key Vault 執行個體才能進行適當的加密和金鑰儲存。 如需詳細資訊,請參閱批次帳戶設定 (部分機器翻譯) 文件。

虛擬機器虛擬機器擴展集

您可以使用具有多個部署媒體的 Azure 虛擬機器。 您可以針對單一虛擬機和透過 Azure 虛擬機器擴展集功能部署的虛擬機器執行此動作。

所有虛擬機器都應該使用適用於虛擬機器的磁碟加密或適用於虛擬機器擴展集的磁碟加密,或將虛擬機器磁碟放在可保存影響等級 5 資料的儲存體帳戶中,如 Azure 儲存體一節所述。

重要

當您在 Azure Government 區域 US Gov 亞利桑那州、US Gov 德克薩斯州和 US Gov 維吉尼亞州中部署 VM 時,必須使用 Azure 專用主機,如下一節所述。

Azure 專用主機

Azure 專用主機可提供能裝載一或多個虛擬機器且專用於一個 Azure 訂用帳戶的實體伺服器。 專用主機是資料中心內所使用的相同實體伺服器,以資源的形式提供。 您可以在區域、可用性區域和容錯網域中佈建專用主機。 您能以可滿足您需要的設定,將 VM 直接放入已佈建的主機中。

這些 VM 提供在專用 DoD 區域外部部署時,支援 IL5 工作負載所需的隔離等級。 當您使用專用主機時,您的 Azure VM 會放在隔離的專用實體伺服器上,該伺服器只執行組織的工作負載,以符合合規性指引與標準。

提供所需的計算隔離 (包括專用主機定價頁面上所列的 VM 系列中的 SKU) 的目前專用主機 SKU (VM 系列和主機類型)。

隔離的虛擬機器 (部分機器翻譯)

Azure 專用主機目前不支援虛擬機器擴展集。 但部署時,特定 VM 類型會取用 VM 的整個實體主機。 隔離的 VM 類型可透過虛擬機器擴展集部署,以提供適當的計算隔離,並就地提供虛擬機器擴展集的所有優點。 當您設定擴展集時,請選取適當的 SKU。 若要加密待用資料,請參閱下一節以取得支援的加密選項。

重要

當新的硬體世代可供使用時,某些 VM 類型可能需要重新設定 (擴大或移轉至新的 VM SKU),以確保它們維持在適當的專用硬體上。 如需詳細資訊,請參閱 Azure 中的虛擬機器隔離 (部分機器翻譯)。

虛擬機器的磁碟加密

您可以使用兩種方式之一來加密支援這些虛擬機器的儲存體,以支援必要的加密標準。

適用於虛擬機器擴展集的磁碟加密

您可以使用 Azure 磁碟加密來加密支援虛擬機器擴展集的磁碟:

容器

如需 Azure Government 中的容器服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure Kubernetes Service

容器執行個體

  • Azure 容器執行個體會在容器保存在雲端時,自動加密與您的容器相關的資料。 容器執行個體中的資料會以 256 位元 AES 加密進行加密和解密,並針對所有容器執行個體部署啟用。 您可以依賴 Microsoft 管理的金鑰來加密您的容器資料,也可以使用您自己的金鑰來管理加密。 如需詳細資訊,請參閱加密部署資料 (部分機器翻譯)。

Container Registry

資料庫

如需 Azure Government 中的資料庫服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure Cosmos DB

  • 儲存在 Azure Cosmos DB 帳戶中的資料,會使用由 Microsoft 管理的金鑰 (受服務管理的金鑰) 自動進行縝密的加密。 (選擇性) 您可以選擇使用您所管理的金鑰 (客戶自控金鑰) 來新增第二層加密。 如需詳細資訊,請參閱使用 Azure Key Vault,為 Azure Cosmos DB 帳戶設定客戶自控金鑰 (部分機器翻譯)。

適用於 MySQL 的 Azure 資料庫

  • 適用於 MySQL 的 Azure 資料庫使用客戶管理金鑰的資料加密,可讓您攜帶自己的金鑰 (BYOK) 來保護待用資料。 此加密是在伺服器等級設定。 針對指定的伺服器,系統會使用客戶管理的金鑰 (稱為「金鑰加密金鑰」(KEK)) 來加密服務所使用的資料加密金鑰 (DEK)。 如需詳細資訊,請參閱使用客戶自控金鑰進行適用於 MySQL 的 Azure 資料庫資料加密 (部分機器翻譯)。

適用於 PostgreSQL 的 Azure 資料庫

Azure Healthcare APIs (先前稱為 Azure API for FHIR) (部分機器翻譯)

使用下列設定時,Azure Healthcare APIs 支援 Azure Government 中的影響等級 5 工作負載:

Azure SQL Database

SQL Server Stretch Database

混合式

Azure Stack Edge

  • 您可以透過儲存體帳戶來保護待用資料,因為您的裝置與在 Azure 中作為資料目的地使用的儲存體帳戶相關聯。 您可以將儲存體帳戶設定為搭配儲存在 Azure Key Vault 中的客戶自控金鑰使用資料加密。 如需詳細資訊,請參閱保護儲存體帳戶中的資料

整合

如需 Azure Government 中的整合服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

服務匯流排

物聯網

如需 Azure Government 中的物聯網服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure IoT 中樞

  • Azure IoT 中樞提供待用和傳輸中的資料加密。 Azure IoT 中樞會使用 Microsoft 管理的金鑰來加密資料。

管理和治理

如需 Azure Government 中的管理和治理服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。

自動化

  • 根據預設,您的 Azure 自動化帳戶會使用 Microsoft 管理的金鑰。 您可使用自己的金鑰來管理自動化帳戶的安全資產加密。 當您在自動化帳戶層級指定客戶自控金鑰時,該金鑰用於保護及控制自動化帳戶的帳戶加密金鑰存取權。 如需詳細資訊,請參閱 Azure 自動化中的安全資產加密 (部分機器翻譯)。

Azure 受控應用程式

Azure 監視器

Log Analytics

Log Analytics (Azure 監視器的其中一個功能) 旨在用來監視服務和基礎結構的健康情況和狀態。 監視資料和記錄主要會儲存服務產生的記錄和計量 (部分機器翻譯)。 在此主要容量中使用時,Log Analytics 支援 Azure Government 中的影響等級 5 工作負載,不需要額外的設定。

Log Analytics 也可以用來擷取額外的客戶提供記錄。 這些記錄可能包含在操作適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 時擷取的資料。 如果針對這些記錄撰寫的擷取記錄或查詢分類為 IL5 資料,則您應該為 Log Analytics 工作區和 Application Insights 元件設定客戶自控金鑰 (CMK)。 設定後,任何傳送至工作區或元件的資料都會以 Azure Key Vault 金鑰加密。 如需詳細資訊,請參閱 Azure 監視器客戶自控金鑰 (部分機器翻譯)。

Azure Site Recovery

Microsoft Intune

  • Intune 支援 Azure Government 中的影響等級 5 工作負載,不需要額外的設定。 在上傳至 Intune 儲存體之前,應先針對 IL5 限制評估企業營運應用程式。 雖然 Intune 會加密上傳至服務以待散發的應用程式,但不支援客戶自控金鑰。

媒體

如需 Azure Government 中的媒體服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

媒體服務

遷移

如需 Azure Government 中的移轉服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure 資料箱

Azure Migrate

安全性

如需 Azure Government 中的安全性服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure 資訊保護

Microsoft Sentinel (先前稱為 Azure Sentinel) (部分機器翻譯)

適用於雲端應用程式的 Microsoft Defender (先前稱為Microsoft Cloud App Security)

儲存體

如需 Azure Government 中的儲存體服務可用性,請參閱依區域提供的產品。 如需 DoD IL5 PA 範圍中的服務清單,請參閱依稽核範圍的 Azure Government 服務 (英文)。 下面的指引針對需要額外設定以支援 IL5 工作負載的 IL5 PA 服務提供。

Azure 封存儲存體 (部分機器翻譯)

  • Azure 封存儲存體是一層 Azure 儲存體。 其會自動使用 256 位元 AES 加密來保護待用資料。 就像經常性存取層和非經常性存取層一樣,封存儲存體可以在 Blob 等級設定。 若要啟用對內容的存取權,您必須將封存的 Blob 解除凍結,或將其複製到線上層,屆時您可以針對線上儲存層強制執行客戶自控金鑰。 當您在封存儲存體中為 IL5 資料建立目標儲存體帳戶時,請透過客戶自控金鑰新增儲存體加密。 如需詳細資訊,請參閱使用 Key Vault 受控金鑰進行儲存體加密
  • 封存儲存體的目標儲存體帳戶可以位於任何 Azure Government 區域中。

Azure 檔案同步

Azure HPC Cache

Azure 匯入/匯出

  • 根據預設,匯入/匯出服務會加密寫入硬碟以進行傳輸的資料。 當您針對匯入及匯出 IL5 資料目的建立目標儲存體帳戶時,請透過客戶自控金鑰新增儲存體加密。 如需詳細資訊,請參閱本文章中的使用 Key Vault 受控金鑰進行儲存體加密
  • 用於匯入的目標儲存體帳戶與用於匯出的來源儲存體帳戶可以位於任何 Azure Government 區域中。

Azure NetApp Files

Azure 儲存體

Azure 儲存體由多個資料功能組成:Blob 儲存體、檔案儲存體、表格儲存體和佇列儲存體。 Blob 儲存體同時支援標準和進階儲存體。 進階儲存體只使用 SSD,以提供最快的效能。 儲存體也包含修改這些儲存體類型的設定,例如經常性存取層和非經常性存取層,以針對資料情節提供適當的可用性速度。

Blob 儲存體和檔案儲存體一律會使用帳戶加密金鑰來將加密資料。 建立儲存體帳戶時,可以選擇性地設定佇列儲存體和表格儲存體,以使用帳戶加密金鑰來加密資料。 您可以選擇使用客戶自控金鑰來加密所有 Azure 儲存體功能 (包括 Blob、檔案、表格和佇列儲存體) 中的待用資料。 當您使用 Azure 儲存體帳戶時,必須遵循下列步驟,以確保資料受到客戶自控金鑰保護。

使用 Key Vault 受控金鑰進行儲存體加密

若要在專用 DoD 區域以外的 Azure Government 中執行之 Azure 儲存體帳戶上實作符合影響等級 5 規範的控制措施,您必須在已啟用客戶自控金鑰選項的情況下使用待用資料加密。 客戶自控金鑰選項也稱為攜帶您自己的金鑰。

如需如何啟用此 Azure 儲存體加密功能的詳細資訊,請參閱使用儲存在 Azure Key Vault 中的客戶自控金鑰來設定加密

注意

當您使用此加密方法時,必須先加以啟用,才能將內容新增至儲存體帳戶。 在設定客戶自控金鑰之前新增的任何內容,都將受到 Microsoft 管理的金鑰保護。

StorSimple

  • 為了協助確保移至雲端之資料的安全性和完整性,StorSimple 可讓您定義雲端儲存體加密金鑰 (部分機器翻譯)。 建立磁碟區容器時,您可以指定雲端儲存體加密金鑰。

下一步

深入了解 Azure Government:

開始使用 Azure Government: