Condividi tramite

Sicurezza, governance e conformità per l'analisi su scala cloud

  • Articolo

Quando si pianifica l'architettura di analisi su scala cloud, prestare particolare attenzione per garantire che l'architettura sia affidabile e sicura. Questo articolo illustra i criteri di progettazione per la sicurezza, la conformità e la governance per l'analisi su scala cloud su scala aziendale. Questo articolo illustra anche le raccomandazioni di progettazione e le procedure consigliate per la distribuzione di un'analisi su scala cloud in Azure. Esaminare la governance e conformità di sicurezza su scala aziendale per prepararsi completamente alla governance di una soluzione aziendale.

Le soluzioni cloud ospitano inizialmente applicazioni singole e relativamente isolate. Man mano che i vantaggi delle soluzioni cloud sono diventati chiari, i carichi di lavoro su larga scala sono stati ospitati nel cloud, ad esempio SAP in Azure. Di conseguenza, è diventato fondamentale affrontare la sicurezza, l'affidabilità, le prestazioni e i costi delle distribuzioni a livello di area durante tutto il ciclo di vita dei servizi cloud.

La visione per la sicurezza, la conformità e la governance delle aree di destinazione dell'analisi su scala cloud in Azure consiste nel fornire strumenti e processi che consentono di ridurre al minimo i rischi e prendere decisioni efficaci. Le zone di destinazione di Azure definiscono i ruoli e le responsabilità di governance e conformità della sicurezza.

Il modello di analisi su scala cloud si basa su diverse funzionalità di sicurezza che possono essere abilitate in Azure. Queste funzionalità includono crittografia, controllo degli accessi in base al ruolo, elenchi di controllo di accesso e restrizioni di rete.

Raccomandazioni per la progettazione della sicurezza

Sia Microsoft che i clienti condividono la responsabilità della sicurezza. Per indicazioni sulla sicurezza accettate, vedere procedure consigliate per la sicurezza informatica dal Centro per la sicurezza Internet. Le sezioni seguenti sono raccomandazioni per la progettazione della sicurezza.

Crittografia dei dati inattivi

La crittografia dei dati inattivi si riferisce alla crittografia dei dati quando è conservata nell'archiviazione e affronta i rischi di sicurezza correlati all'accesso fisico diretto dei supporti di memorizzazione. I dati inattivi sono un controllo di sicurezza critico perché i dati sottostanti non sono irreversibili e non possono essere modificati senza la relativa chiave di decrittografia. DData-at-rest è un livello importante nella strategia di difesa avanzata dei data center Microsoft. Spesso esistono motivi di conformità e governance per distribuire la crittografia dei dati a riposo.

Diversi servizi di Azure supportano la crittografia dei dati a riposo, tra cui Azure Storage e Azure SQL Database. Sebbene i concetti e i modelli comuni influiscono sulla progettazione dei servizi di Azure, ogni servizio può applicare la crittografia dei dati inattivi a livelli stack diversi o avere requisiti di crittografia diversi.

Importante

Tutti i servizi che supportano la crittografia dei dati inattivi devono essere abilitati per impostazione predefinita.

Proteggere i dati in transito

I dati sono considerati in transito quando si spostano da una posizione a un'altra. Questo transito può verificarsi internamente, in locale o all'interno di Azure o esternamente, ad esempio attraverso Internet a un utente finale. Azure offre diversi meccanismi, tra cui la crittografia, per mantenere privati i dati durante il transito. Questi meccanismi includono:

  • Comunicazione tramite VPN che usano la crittografia IPsec/IKE.
  • Sicurezza del Livello di Trasporto (TLS)
  • Protocolli disponibili in macchine virtuali di Azure, ad esempio Windows IPsec o SMB.

La crittografia con MACsec (controllo di accesso ai media), uno standard IEEE a livello di collegamento dati, viene abilitata automaticamente per tutto il traffico di Azure tra i data center di Azure. Questa crittografia garantisce la riservatezza e l'integrità dei dati dei clienti. Per altre informazioni, vedere protezione dei dati dei clienti di Azure.

Gestire chiavi e segreti

Per controllare e gestire chiavi e segreti di crittografia dei dischi per l'analisi su scala cloud, usare Azure Key Vault. Key Vault offre funzionalità per il provisioning e la gestione dei certificati SSL/TLS. È anche possibile proteggere i segreti con moduli di protezione hardware.You can also protect secrets with hardware security modules (HSMs).

Microsoft Defender for Cloud

Microsoft Defender for Cloud offre avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, reti virtuali e altro ancora.

Quando si abilita Defender for Cloud dall'area prezzi e impostazioni, i piani di Microsoft Defender seguenti vengono abilitati contemporaneamente e forniscono difese complete per i livelli di calcolo, dati e servizio dell'ambiente:

Questi piani vengono illustrati separatamente nella documentazione di Defender for Cloud.

Importante

Dove Defender for Cloud è disponibile per le offerte PaaS (Platform as a Service), è consigliabile abilitare questa funzionalità per impostazione predefinita, in particolare per gli account Azure Data Lake Storage. Per ulteriori informazioni, vedere Introduzione a Microsoft Defender per il cloud e configurare Microsoft Defender per l'archiviazione.

Microsoft Defender per l'identità

Microsoft Defender per l'identità fa parte dell'offerta avanzata di sicurezza dei dati, che è un pacchetto unificato per le funzionalità di sicurezza avanzate. È possibile accedere a Microsoft Defender per identità e gestirlo tramite il portale di Azure.

Importante

Abilitare Microsoft Defender for Identity per impostazione predefinita ogni volta che è disponibile per i servizi PaaS che utilizzi.

Abilitare Microsoft Sentinel

Microsoft Sentinel è una soluzione scalabile e nativa del cloud per la gestione degli eventi di sicurezza (SIEM, Security Information Event Management) e per la risposta automatizzata e l'orchestrazione della sicurezza (SOAR, Security Orchestration Automated Response). Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda, offrendo una singola soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

Rete

La raccomandazione per l'analisi su scala cloud è di utilizzare endpoint privati di Azure per tutti i servizi PaaS e di evitare l'uso di indirizzi IP pubblici per tutti i servizi IaaS. Per altre informazioni, vedere rete di analisi su scala cloud.

Raccomandazioni per la progettazione della conformità e della governance

Azure Advisor consente di ottenere una visualizzazione consolidata tra le tue sottoscrizioni Azure. Consultare Azure Advisor per consigli su affidabilità, resilienza, sicurezza, prestazioni, eccellenza operativa e costi. Le sezioni seguenti sono raccomandazioni relative alla conformità e alla progettazione della governance.

Usare Criteri di Azure

Azure Policy aiuta ad applicare gli standard dell'organizzazione e a valutare la conformità su vasta scala. Tramite il dashboard di conformità, offre una visualizzazione aggregata dello stato complessivo dell'ambiente, con la possibilità di approfondire singole risorse o criteri.

Azure Policy consente di rendere le risorse conformi tramite la rimessione in blocco delle risorse esistenti e la rimessione automatica delle nuove risorse. Sono disponibili diversi criteri predefiniti, ad esempio per limitare la posizione delle nuove risorse, richiedere un tag e il relativo valore nelle risorse, creare una macchina virtuale usando un disco gestito o applicare criteri di denominazione.

Automatizzare le distribuzioni

È possibile risparmiare tempo e ridurre gli errori automatizzando le distribuzioni. Ridurre la complessità della distribuzione delle zone di atterraggio dei dati end-to-end e delle applicazioni dati, che generano prodotti dati, attraverso la creazione di modelli di codice riutilizzabili. Questa automazione riduce al minimo il tempo necessario per distribuire o ridistribuire soluzioni. Per ulteriori informazioni, vedere Comprendere l'automazione DevOps per l'analitica su scala cloud in Azure

Bloccare le risorse per i carichi di lavoro di produzione

Creare le risorse di Azure necessarie per la gestione dei dati di base e la zona di destinazione dei dati all'inizio del progetto. Quando tutte le aggiunte, gli spostamenti e le modifiche sono state completate e la distribuzione di Azure è operativa, bloccare tutte le risorse. Quindi, solo un amministratore può sbloccare o modificare le risorse. Per altre informazioni, vedere Bloccare le risorse per evitare modifiche impreviste.

Implementare il controllo degli accessi in base al ruolo

È possibile personalizzare il controllo degli accessi in base al ruolo nelle sottoscrizioni di Azure per gestire chi può accedere alle risorse di Azure, le operazioni che possono eseguire con tali risorse e le aree a cui hanno accesso. Ad esempio, è possibile consentire ai membri del team di distribuire asset di base in una zona di destinazione dei dati, ma impedire loro di modificare uno dei componenti di rete.

Scenari di conformità e governance

Le raccomandazioni seguenti si applicano a vari scenari di conformità e governance. Questi scenari rappresentano una soluzione conveniente e scalabile.

Scenario Raccomandazione
Configurare un modello di governance con convenzioni di nome standard ed estrarre i report in base al centro di costo. Usare i criteri e i tag di Azure per soddisfare i requisiti.
Evitare l'eliminazione accidentale delle risorse di Azure. Usare i blocchi delle risorse di Azure per impedire l'eliminazione accidentale.
Ottenere una visualizzazione consolidata delle aree opportunità per l'ottimizzazione dei costi, la resilienza, la sicurezza, l'eccellenza operativa e le prestazioni per le risorse di Azure. Utilizzare Azure Advisor per ottenere una panoramica integrata delle sottoscrizioni di SAP su Azure.

Passaggi successivi

politiche di Azure per l'analisi in ambiente cloud