Azure Government 安全性

發行項
04/12/2024

Azure Government 提供了各種功能和服務，供您建置雲端解決方案以符合受管制/受控制資料的需求。符合規範的客戶解決方案可以是現成 Azure Government 功能的有效實作，再結合穩固的資料安全性作法。

當您在 Azure Government 中裝載解決方案時，Microsoft 會在雲端基礎結構層級處理其中的許多需求。

下圖顯示 Azure 的深度防禦模型。例如，Microsoft 會提供基本的雲端基礎結構分散式阻斷服務 (DDoS) 防護以及客戶功能，例如適用於客戶專屬應用程式 DDoS 需求的 Azure DDoS 保護或安全性應用裝置。

Azure defense-in-depth model

本文概述保護服務和應用程式的基本原則，提供如何套用這些原則的指引和最佳做法。例如，您應該如何充分運用 Azure Government 來符合解決方案的需求，該解決方案會處理受國際武器貿易條例 (ITAR) 規範的資訊。如需額外的安全性建議和實作詳細資料，以協助您改善 Azure 資源的安全性狀態，請參閱 Azure 安全性基準。

保護客戶資料的首要原則是︰

使用加密保護資料
管理密碼
隔離以限制資料存取

這些原則同時適用於 Azure 和 Azure Government。如了解隔離中所述，Azure Government 會提供額外的實體網路隔離，並符合美國政府的合規性需求。

資料加密

降低風險並符合法規義務的需求促使資料加密的關注度和重要性日益增加。請使用有效的加密實作來加強目前的網路和應用程式安全性措施，並降低雲端環境的整體風險。 Azure 提供廣泛的支援，可使用資料加密來保護客戶資料，包括各種加密模型：

在 Azure 中使用服務管理金鑰、客戶自控金鑰 (CMK)，或在客戶控管硬體中使用 CMK 的伺服器端加密。
用戶端加密可讓您在內部部署或另一個安全位置中管理和儲存金鑰。用戶端加密內建於 Java 和 .NET 儲存體用戶端程式庫，其可以使用 Azure Key Vault API，讓此方法的實作變得很簡單。您可以使用 Microsoft Entra ID 來提供特定人員對 Azure Key Vault 祕密的存取權。

資料加密提供直接繫結至加密金鑰存取權的隔離保證。由於 Azure 會將強式加密用於資料加密，因此只有具有加密金鑰存取權的實體可以存取資料。刪除或撤銷加密金鑰會造成對應的資料無法存取。

待用加密

Azure 提供廣泛的選項用以加密待用資料，透過 Microsoft 管理的加密密鑰和客戶管理的加密金鑰，協助您保護資料並符合合規性需求。此流程仰賴多個加密金鑰和服務，例如 Azure Key Vault 和 Microsoft Entra ID，以確保安全金鑰存取和集中式金鑰管理。如需 Azure 儲存體服務加密和 Azure 磁碟加密的詳細資訊，請參閱待用資料加密。

傳輸中加密

Azure 提供了許多為傳輸中的資料加密的選項。傳輸中的資料加密會隔離網路流量與其他流量，並協助保護資料免於遭受攔截。如需詳細資訊，請參閱傳輸中資料加密。

適用於 Azure Government 連線的基本加密支援傳輸層安全性 (TLS) 1.2 通訊協定和 X.509 憑證。美國聯邦資訊處理標準 (FIPS) 140 驗證的密碼編譯演算法也可用於 Azure Government 資料中心之間的基礎結構網路連線。 Windows、Windows Server 和 Azure 檔案共用可以在虛擬機器 (VM) 與檔案共用之間使用 SMB 3.0 進行加密。使用用戶端加密，以在將資料傳輸至用戶端應用程式中的儲存體之前加密資料，以及在從儲存體傳出後解密資料。

加密的最佳做法

IaaS VM︰使用 Azure 磁碟加密。開啟儲存體服務加密，來加密在 Azure 儲存體中用來備份這些磁碟的 VHD 檔案。此方法只會加密新寫入的資料。如果您建立 VM，然後在保留 VHD 檔案的儲存體帳戶上啟用儲存體服務加密，則只會加密變更，而不會加密原始的 VHD 檔案。
用戶端加密：代表加密資料的最安全方法，因為它會在傳輸前加密資料，並加密待用資料。不過，它需要您使用儲存體將程式碼加入應用程式，而您可能不想這樣做。在這些情況下，您可以針對傳輸中的資料使用 HTTPS，以及儲存體服務加密來加密待用資料。用戶端加密也會在用戶端上產生更多負載，您必須在延展性計畫中考慮到這一點，特別是如果您要加密並傳輸許多資料。

管理密碼

適當的加密和加密金鑰的管理對於資料安全至關重要。您應努力簡化金鑰管理，並持續掌控雲端應用程式和服務用來加密資料的金鑰。 Azure Key Vault 是可安全儲存及管理秘密的雲端服務。 Key Vault 可讓您將加密金鑰存放在經過 FIPS 140 驗證的硬體安全性模組 (HSM) 中。如需詳細資訊，請參閱資料加密金鑰管理。

管理秘密的最佳做法

使用金鑰保存庫將可能透過硬式編碼組態檔、指令碼或原始程式碼公開密碼的風險降到最低。若要加強保證，您可以在 Azure Key Vault HSM 中匯入或產生金鑰。
應用程式的程式碼和範本只應包含秘密的 URI 參考，也就是說，實際的秘密不在程式碼、組態或原始程式碼存放庫中。此方法可防止內部或外部存放庫的金鑰網路釣魚攻擊，例如 GitHub 中的 harvest-bots。
在 Key Vault 內運用強式的 Azure 角色型存取控制 (RBAC)。如果受信任的操作員離職或轉調到公司內的新群組，則應該防止讓他們能夠存取機密資料。

了解隔離

Azure Government 中的隔離是透過實作信任界限、分割和容器來達成，以僅將資料存取限制為已授權的使用者、服務和應用程式。 Azure Government 支援環境和租用戶隔離控制與功能。

環境隔離

Azure Government 多租用戶雲端平台環境是一種以網際網路標準為基礎的自發系統 (AS)，會實際隔離並分開管理 Azure 公用雲端的其餘部分。如 IETF RFC 4271 所定義，AS 是由單一技術管理下的一組交換器和路由器所組成，使用內部網路閘道通訊協定和通用計量，來路由 AS 內的封包。外部網路閘道通訊協定可用來透過單一且明確定義的路由原則，將封包路由至其他 AS。

Azure Government 環境的隔離可透過一系列的實體和邏輯控制來達成，包括：

實體隔離硬體
使用生物識別裝置與攝影機來建立硬體的實體屏障
條件式存取 (Azure RBAC、工作流程)
邏輯存取的特定認證和多重要素驗證
Azure Government 的基礎結構都位於美國境內

在 Azure Government 網路中，內部網路系統元件會透過在管理介面上實作個別子網路和存取控制原則，與其他系統元件隔離開來。 Azure Government 不會直接與公用網際網路或 Microsoft 公司網路對等互連。 Azure Government 會直接對等互連到商業 Microsoft Azure 網路，其具有網際網路和 Microsoft 公司網路的路由和傳輸功能。 Azure Government 會套用商業 Azure 網路的額外保護和通訊功能，藉此限制其公開的介面區。此外，Azure Government ExpressRoute (ER) 會透過非網際網路專用的線路，與客戶的網路進行對等互連，以使用特定的邊界閘道協定 (BGP)/AS 對等互連，作為應用程式路由和相關原則強制執行的信任界限，路由 ER 客戶「DMZ」網路。

Azure Government 會維護下列授權：

FedRAMP 聯合授權委員會 (JAB) 所核發的 FedRAMP High 臨時作業授權 (P-ATO)
國防資訊系統局 (DISA) 所核發的 DoD SRG IL4 和 IL5 臨時授權 (PA)

租用戶隔離

客戶/租用戶之間的區隔是 Azure 和 Azure Government 多租用戶雲端環境的基本安全性機制。 Azure 和 Azure Government 提供每個客戶或租用戶的基準隔離控制，包括 Hypervisor、根 OS 和客體 VM 的隔離、網狀架構控制器的隔離、封包篩選和 VLAN 隔離。如需詳細資訊，請參閱計算隔離。

您可以管理隔離狀態，透過網路存取控制來符合個別需求，並透過虛擬機器、虛擬網路、VLAN 隔離、ACL、負載平衡器和 IP 篩選條件來進行隔離。此外，您可進一步針對在訂用帳戶、資源群組、虛擬網路和子網路的資源，管理隔離等級。客戶/租用戶邏輯隔離控管有助於防止租用戶干擾任何其他客戶/租用戶的作業。

篩選

美國的所有 Azure 和 Azure Government 員工都會受到 Microsoft 背景檢查。在 Azure Government 中，能夠存取客戶資料以進行疑難排解的人員，在適當情況下，還須接受美國公民資格的驗證和額外的篩選需求。

我們現在會依照《美國國防部雲端運算安全性需求指南》(SRG) 第 5.6.2.2 節 (第 77 頁) 中所定義的規定，以第 3 級調查 (先前稱為「全國性機關法律與信用調查 (NACLC)」) 篩選所有作業人員︰

注意

可以存取「非關鍵敏感」(例如 DoD 的 ADP-2) 所界定的等級 4 和 5 資訊的 CSP 人員 (「非關鍵敏感」承包商)，所需的最基本背景調查，是第 3 級調查；而中度風險職位所需的則是中度風險背景調查 (MBI)。

適用的篩選和背景檢查	Environment	頻率	描述
新進員工檢查	Azure Azure Gov	一經雇用	- 教育背景 (最高學位) - 工作經驗 (過去 7 年) - 社會安全號碼搜尋 - 刑事記錄檢查 (過去 7 年) - 美國外國資產管制局 (OFAC) 名單 - 美國商務部工業及安全局 (BIS) 名單 - 美國國務院國防貿易管制局 (DDTC) 禁止名單
雲端篩選	Azure Azure Gov	每兩年	- 社會安全號碼搜尋 - 犯罪記錄檢查 (過去 7 年) - 美國外國資產管制局 (OFAC) 名單 - 美國商務部工業及安全局 (BIS) 名單 - 美國國務院國防貿易管制局 (DDTC) 禁止名單
美國公民身分	Azure Gov	一經雇用	- 美國公民身分的驗證
美國刑事司法資訊服務 (CJIS)	Azure Gov	與州簽署 CJIS 協定後	- 新增比對 FBI 資料庫的指紋背景檢查 - 刑事記錄檢查和信用檢查
第 3 級調查	Azure Gov	與贊助機構簽訂合約後	- 詳細背景和刑事記錄調查 (SF 86)

Azure 作業人員適用下列存取原則︰

職責明確，對變更的要求、核准及部署具有個別責任。
會透過已定義而具有特定功能的介面來進行存取。
以 Just-In-Time (JIT) 方式存取，發生事件或特定維護事件時授與存取權，而且只能在限制的期間內可供存取。
存取是基於規則，具有已定義的角色，只會指派進行疑難排解所需的存取權限。

篩選標準包括對於所有 Microsoft 支援服務和作業人員，進行其美國公民身分的驗證，通過之後才會授與 Azure Government 託管系統的存取權。需要傳輸資料的支援人員，會使用 Azure Government 中的安全功能。安全的資料傳輸，會需要一組個別的驗證認證才能存取。

內部人員存取限制

針對 Azure 和 Azure Government，限制內部人員存取客戶資料的控制項都相同。如上一節所述，Azure Government 會強制執行額外的人員背景篩選要求，包括驗證美國公民資格。

注意

內部人員威脅的特點是，有可能提供客戶系統和資料的後端連線和雲端服務提供者 (CSP) 特殊權限管理員存取權。 Microsoft 針對誰可以存取客戶資料和存取條件，給予嚴謹的客戶承諾。依照預設，Microsoft 運作與支援人員無法存取客戶資料。操作 Azure 不需要客戶資料的存取權。此外，涉及客戶疑難排解票證的大部分支援案例，都不需要客戶資料的存取權。

不提供預設的存取權，以及 Just-In-Time (JIT) 存取佈建可大幅降低與傳統內部部署管理員特殊存取權相關聯的風險，這種風險通常在雇用期間一直存在。 Microsoft 讓惡意內部人員非常難竄改您的應用程式和資料。所有的 Microsoft 工程師都必須遵守相同的存取控制限制和流程，包括全職員工和承包商/外包廠商。設有下列控制，以限制內部人員存取您的資料：

內部 Microsoft 控制，除非是透過 Just-In-Time (JIT) 特殊存取權管理系統獲得授權，否則會禁止存取生產系統，如本節所述。
強制執行客戶加密箱，讓您負責核准支援和疑難排解案例中的內部人員存取，如本節所述。在大部分的支援案例中，不需要您資料的存取權。
資料加密，包含客戶管理加密金鑰的選項 – 經過加密的資料只能由擁有金鑰的實體存取，如先前所述。
已佈建 Azure 資源的外部存取客戶監控，包括下一節所述的安全性警示。

存取控制需求

Microsoft 採取強固的措施來保護您的資料，以免受到未經授權之使用者的不當存取或使用。 Microsoft 工程師 (包括全職員工和承包商/外包廠商) 沒有雲端中資料的預設存取權。而是只有在必要時，才會在有管理監督的情況下授與他們權限。若使用限制存取工作流程，對您資料的存取權會受到嚴格控管、記錄，且存取權會在不需要時被撤銷。例如，可能需要存取您的資料，才能解決您起始的疑難排解要求。存取控制需求是由下列原則所建立：

依預設無法存取客戶資料。
客戶虛擬機器 (VM) 上沒有任何使用者或系統管理員帳戶。
授與完成工作、稽核和記錄存取要求所需的最低權限。

可以透過 Just-In-Time (JIT) 存取，使用臨時認證來授與 Microsoft 工程師存取客戶資料的權限。 Azure 事件管理系統中必須記錄事件，說明存取原因、核准記錄、存取哪些資料等等。此方法可確保對客戶資料的所有存取權設有適當的監督，並記錄所有 JIT 動作 (同意和存取) 以供稽核。從獨立第三方稽核公司提供的 Azure SOC 2 類型 2 證明報告中，會顯示證據，證明已建立相關程序，讓 Azure 人在獲得適當核准後，基於客戶支援或事件處理用途，取得客戶資料和應用程式的暫時存取權。

JIT 存取可與多重要素驗證搭配運作，以要求 Microsoft 工程師使用智慧卡來確認其身分識別。所有對生產環境系統的存取都是使用安全的管理員工作站 (SAW) 來執行，其與針對保護具特殊權限的存取所發佈的指南一致。 Microsoft 原則要求使用 SAW 來存取實際執行系統，並嚴密監視針對此原則的合規性。這些工作站會使用固定映像，且所有軟體都會完全受到管理，只允許特定活動，而且使用者無法中途規避 SAW 設計，因為他們在這些電腦上沒有管理員權限。僅允許使用智慧卡存取，而且對每個 SAW 的存取皆僅限於一組特定的使用者。

客戶加密箱

適用於 Azure 的客戶加密箱是一項服務，可讓您控制 Microsoft 工程師存取資料的方式。在支援工作流程中，Microsoft 工程師可能需要更高的資料存取權。客戶加密箱可讓您做這項決定，核准/拒絕這類更高的存取權要求。客戶加密箱是 JIT 工作流程的擴充功能，並已啟用完整的稽核記錄。未涉及存取客戶資料的支援案例並不需要客戶加密箱功能。在大部分的支援案例中，不需要客戶資料的存取權，而且工作流程不應該要求客戶加密箱。 Microsoft 工程師主要是依賴記錄來維護 Azure 服務並提供客戶支援。

客戶加密箱適用於所有具有 Azure 支援方案且最低層級是開發人員的客戶。您可以從 [客戶加密箱] 刀鋒視窗中的管理模組啟用客戶加密箱。 Microsoft 工程師會視需要起始客戶加密箱要求，以處理客戶發起的支援票證。所有 Azure 公用區域的客戶都可以使用客戶加密箱。

客體 VM 記憶體損毀傾印

在每個 Azure 節點上，都有一個 Hypervisor 會直接在硬體上執行，並將節點分成不同數量的客體虛擬機器 (VM)，如計算隔離中所述。每個節點也會有一部特殊的根 VM，其會執行主機 OS。

當客體 VM (也稱為客戶 VM) 當機時，客戶資料可能會包含在客體 VM 上的記憶體傾印檔案內。 根據預設，Microsoft 工程師無法存取客體 VM，也無法在未經客戶核准的情況下在客體 VM 上檢閱損毀傾印。 當您要求調查 VM 當機時，會使用涉及明確客戶授權的相同流程來控制客體 VM 損毀傾印的存取權。如先前所述，會使用具備 JIT 特殊權限存取管理系統和客戶加密箱來控制存取，以記錄和稽核所有動作。從客體 VM 刪除記憶體傾印的主要強制函式是 VM 重新映射的例行流程，通常每兩個月至少會發生一次。

資料刪除、保留和損毀

身為客戶，您在 Azure 中一律可控管客戶資料。您可以視需要存取、擷取及刪除儲存在 Azure 中的客戶資料。當您終止 Azure 訂用帳戶時，Microsoft 會採取必要步驟，以確保您可以繼續擁有客戶資料。在資料刪除或訂用帳戶終止之後，常見的客戶考量為是否會有其他客戶或 Azure 系統管理員可以存取其已刪除的資料。如需如何在 Azure 中實作資料刪除、保留和銷毀的詳細資訊，請參閱我們的線上文件：

Azure 資源的客戶監視

本節涵蓋基本 Azure 服務，您可以用來深入了解已佈建的 Azure 資源，並開始收到可疑活動的警示，包括針對應用程式和資料的外部攻擊所發出的警示。如需完整清單，請參閱 Azure 服務目錄小節：管理 + 治理、網路和安全性。此外，Azure 安全性基準提供安全性建議和實作詳細資料，以協助您改善 Azure 資源的安全性狀態。

適用於雲端的 Microsoft Defender (先前稱為「Azure 資訊安全中心」) 提供跨混合式雲端工作負載的整合式安全性管理與進階威脅保護。這是一項基本服務，可減少您暴露於威脅的機會、保護雲端資源、回應事件，以及改善法規合規性狀態。

您可以透過適用於雲端的 Microsoft Defender，來執行以下幾項：

跨內部部署和雲端工作負載監視安全性。
套用進階分析和威脅情報以偵測攻擊。
使用存取和應用程式控制措施來封鎖惡意活動。
在其受到惡意探索之前先找出弱點並加以修正。
在回應威脅時簡化調查。
套用原則，以確保符合安全性標準。

為了協助您使用適用於雲端的 Microsoft Defender，Microsoft 已發佈大量線上文件，以及特定安全性主題的多篇部落格文章：

Azure 監視器可藉由提供全方位的解決方案，以便收集、分析及處理來自雲端和內部部署環境的遙測資料，進而將應用程式的可用性和效能最大化。它可協助您了解應用程式的效能，並主動識別影響已部署應用程式的問題，以及仰賴的資源。 Azure 監視器整合了 log Analytics 和 Application Insights (先前為獨立服務) 的功能。

Azure 監視器會從下列各階層收集資料：

應用程式監視資料：您所撰寫程式碼的效能和功能相關資料 (不論其平台為何)。
客體 OS 監視資料：有關應用程式執行所在作業系統的資料。應用程式可以在 Azure、另一個雲端或內部部署中執行。
Azure 資源監視資料：有關 Azure 資源作業的資料。
Azure 訂閱監視資料：有關 Azure 訂閱作業和管理的資料，以及有關 Azure 本身健康情況和作業的資料。
Azure 租用戶監視資料：有關租用戶層級 Azure 服務 (例如 Microsoft Entra ID) 作業的資料。

您可以透過 Azure 監視器，使用進階分析、儀表板和視覺效果地圖，取得應用程式、基礎結構和網路的 360 度檢視。 Azure 監視器提供智慧型深入解析，並透過 AI 促成更好的決策。您可以使用功能強大的查詢語言和內建機器學習建構，分析、連結及監視各種來源的資料。此外，Azure 監視器也提供與熱門 DevOps、IT 服務管理 (ITSM) 和安全性資訊與事件管理 (SIEM) 工具的現用整合。

Azure 原則透過建立、指派及管理原則，讓您能夠有效治理 Azure 資源。這些原則會針對已佈建的 Azure 資源強制執行各種規則，使其符合您特定的公司安全性和隱私權標準。例如，允許位置的其中一個內建原則可用來限制新資源的可用位置，以強制執行您的地理合規性需求。如需額外的客戶協助，Microsoft 提供 Azure 原則法規合規性內建計劃，這些計劃對應於美國政府、全球、地區和業界許多標準中的合規領域和控制措施。如需詳細資訊，請參閱 Azure 原則範例。 Azure 原則的法規合規性提供內建計劃定義，可根據責任 (客戶、Microsoft 或兩者) 檢視控制措施和合規性領域的清單。對於 Microsoft 負責的控制措施，我們根據第三方證明和我們的控制措施實施詳細資料，提供額外的審核結果詳細資料，以達成合規性。每項控制項都與一或多個 Azure 原則定義建立關聯。這些原則可以幫助您評估控制措施的合規性；但是，Azure 原則中的合規性只是整體合規性狀態的一部分。 Azure 原則有助於強制執行組織標準及大規模評估合規性。透過其合規性儀表板，它提供了一個彙總檢視來評估環境的整體狀態，並能夠深入了解更精細的狀態。

Azure 防火牆提供受控、雲端式網路安全性服務，可以保護您的 Azure 虛擬網路資源。它是具有內建高可用性的完全狀態防火牆即服務，可與 Azure 監視器整合以進行記錄和分析。

網路監看員 可讓您監視、診斷及取得 Azure 虛擬網路效能與健康情況的深入解析。您可以透過網路安全性群組流量記錄，更深入地了解網路流量模式，並收集資料以用於網路安全性設定檔的合規、稽核和監視。封包擷取可讓您擷取往返虛擬機器的流量，以診斷網路異常狀況並收集網路統計資料，包括網路入侵的相關資訊。

Azure DDoS 保護提供廣泛的分散式阻斷服務 (DDoS) 風險降低功能，協助您保護 Azure 資源免於遭受攻擊。 Always On 流量監視提供近乎即時的 DDoS 攻擊偵測，並在偵測到攻擊時立即自動降低攻擊的風險。 DDoS 保護結合 Web 應用程式防火牆，能抵禦一組完整的網路層級攻擊，包括 SQL 插入式攻擊、跨網站指令碼攻擊及工作階段劫持。 Azure DDoS 保護會與 Azure 監視器整合，以進行分析並取得見解。

Microsoft Sentinel (先前稱為 Azure Sentinel) 是雲端原生 SIEM 平臺，使用內建 AI 來協助您快速分析企業中的大量資料。 Microsoft Sentinel 會彙總各種來源的資料 (包括使用者、應用程式、伺服器，以及在內部部署或任何雲端中執行的裝置資料)，讓您在幾秒鐘內推斷超過數百萬筆記錄。透過 Microsoft Sentinel，您可以：

以雲端規模收集內部部署和多個雲端中所有使用者、裝置、應用程式和基礎結構的資料。
使用 Microsoft 所提供的分析和無可比擬的威脅情報來偵測先前未發現的威脅並減少誤判。
使用 AI 調查威脅，並大規模搜捕可疑的活動，深入探究 Microsoft 數十年來的網路安全性工作。
使用內建的常見工作協調流程和自動化作業，快速回應事件。

Azure Advisor 可協助您遵循最佳做法，來最佳化 Azure 部署。它可分析資源組態和使用量遙測，然後提出建議的解決方案，協助您改善 Azure 資源的成本效益、效能、高可用性和安全性。