雲端規模分析的安全性、治理和合規性
規劃雲端規模分析架構時,請特別注意確保架構是健全且安全的。 本文說明企業級雲端規模分析的安全性、合規性和治理設計準則。 本文也會討論在 Azure 上部署雲端規模分析的設計建議和最佳做法。 檢討 企業級安全治理和合規性,以充分準備治理企業解決方案。
雲端解決方案一開始裝載單一相對隔離的應用程式。 隨著雲端解決方案的優點變得清楚,大型工作負載會裝載在雲端中,例如 Azure 上的 SAP。 因此,在雲端服務生命週期中,解決區域部署的安全性、可靠性、效能和成本非常重要。
雲端規模分析登陸區域安全性、合規性和 Azure 治理的願景是提供工具和程式,協助您將風險降到最低,並做出有效的決策。 Azure 登陸區域會定義安全性治理和合規性角色和責任。
雲端規模分析模式依賴數個可在 Azure 中啟用的安全性功能。 這些功能包括加密、角色型訪問控制、訪問控制清單和網路限制。
安全性設計建議
Microsoft和客戶都共同負責安全性。 如需公認的安全性指引,請參閱網際網路安全中心 網路安全性最佳做法。 下列各節是安全性設計建議。
靜態數據加密
靜態資料加密是指資料在儲存裝置中保存時的加密,以解決與儲存媒體的直接實體存取相關的安全性風險。 待用數據是重要的安全性控件,因為基礎數據無法復原,而且若沒有解密密鑰就無法變更。 DData-at-rest 是Microsoft數據中心的深度防禦策略中的重要一層。 通常,基於合規性和治理考量,需要部署靜態數據加密。
數個 Azure 服務支援待用數據加密,包括 Azure 記憶體和 Azure SQL 資料庫。 雖然常見的概念和模型會影響 Azure 服務的設計,但每個服務都可以在不同的堆疊層套用待用數據加密,或有不同的加密需求。
重要
支援待用數據加密的所有服務預設都應該啟用它。
保護傳輸中的數據
當數據從一個位置移至另一個位置時,會被視為在傳輸中或飛行中。 此傳輸可能會發生在內部、內部部署或 Azure 內部,或外部,例如透過因特網傳送給終端使用者。 Azure 提供數種機制,包括加密,以在傳輸期間將數據保持私人。 這些機制包括:
- 使用 IPsec/IKE 加密透過 VPN 進行通訊。
- 傳輸層安全性 (TLS)
- Azure 虛擬機上可用的通訊協定,例如 Windows IPsec 或 SMB。
MACsec(媒體存取控制安全性)是資料鏈路層的IEEE標準,會自動針對Azure資料中心之間的所有Azure流量進行加密。 此加密可確保客戶數據機密性和完整性。 如需詳細資訊,請參閱 Azure 客戶資料保護。
管理金鑰和秘密
若要控制和管理雲端規模分析的磁碟加密密鑰和秘密,請使用 Azure Key Vault。 Key Vault 具有布建和管理 SSL/TLS 憑證的功能。 您也可以使用硬體安全性模組 (HSM) 來保護秘密。
適用於雲端的 Microsoft Defender
Microsoft適用於雲端的 Defender 提供虛擬機、SQL 資料庫、容器、Web 應用程式、虛擬網路等的安全性警示和進階威脅防護。
當您從定價和設定區域啟用適用於雲端的 Defender 時,會同時啟用下列Microsoft Defender 方案,併為環境的計算、數據和服務層級提供全面的防禦:
- Microsoft Defender 伺服器版
- 適用於 App Service 的 Microsoft Defender
- 適用於記憶體的 Microsoft Defender
- 適用於 SQL 的
Microsoft Defender - Microsoft Defender for Kubernetes
- 適用於容器註冊表的 Microsoft Defender
- 適用於 Key Vault 的 Microsoft Defender
- 資源管理員專用的 Microsoft Defender
- 適用於 DNS 的
Microsoft Defender
這些方案會在 Defender for Cloud 文件中分別說明。
重要
如果 Azure Defender for Cloud 適用於平臺即服務(PaaS)供應項目,您應該預設啟用此功能,特別是針對 Azure Data Lake Storage 帳戶。 如需詳細資訊,請參閱 Microsoft Defender for Cloud 簡介 和 設定 Microsoft Defender for Storage。
適用於身分識別的 Microsoft Defender
Microsoft Defender 適用於身分識別的服務是進階資料安全性方案的一部分,這是一個整合的套件,提供進階的安全功能。 可透過 Azure 入口網站存取和管理 Microsoft Defender for Identity。
重要
依預設,啟用適用於身分識別的Defender Microsoft,只要可供您使用的 PaaS 服務使用。
啟用 Microsoft Sentinel
Microsoft Sentinel 是可調整、雲端原生、安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Microsoft Sentinel 在整個企業中提供智慧安全分析和威脅情報,提供警示偵測、威脅可見度、主動威脅搜尋和威脅回應的單一解決方案。
聯網
指定的雲端規模分析檢視是針對所有 PaaS 服務使用 Azure 私人端點,而不會針對所有基礎結構即服務 (IaaS) 服務使用公用 IP。 如需詳細資訊,請參閱 雲端規模分析網路。
合規性與治理設計建議
Azure Advisor 可協助您跨 Azure 訂用帳戶取得合併檢視。 如需可靠性、復原能力、安全性、效能、卓越營運和成本建議,請參閱 Azure Advisor。 下列各節是合規性和治理設計建議。
使用 Azure 原則
Azure 原則 可協助強制執行組織標準和大規模評估合規性。 透過其合規性儀錶板,其提供環境整體狀態的匯總檢視,並能夠向下切入個別資源或原則。
Azure 原則可透過現有資源的大量補救和新資源的自動補救,協助讓您的資源符合規範。 有數個內建原則可供使用,例如限制新資源的位置、在資源上需要標記和其值、使用受控磁碟建立 VM,或強制執行命名原則。
自動化部署
您可以藉由自動化部署來節省時間並減少錯誤。 藉由建立可重複使用的程式碼範本,減少端對端數據登陸區域和數據應用程式的部署複雜度(可建立數據產品)。 此自動化可將部署或重新部署解決方案的時間降至最低。 如需詳細資訊,請參閱 瞭解 Azure 雲端規模分析的 DevOps 自動化
鎖定生產工作負載的資源
在項目開始時建立必要的核心數據管理和數據登陸區域 Azure 資源。 完成所有新增、移動和變更,且 Azure 部署正常運作時,請鎖定所有資源。 然後,只有系統管理員才能解除鎖定或修改資源。 如需詳細資訊,請參閱 鎖定資源以防止非預期的變更。
實作角色型訪問控制
您可以在 Azure 訂用帳戶上自定義角色型存取控制 (RBAC),以管理可存取 Azure 資源的人員、這些資源可以執行哪些動作,以及他們可存取的區域。 例如,您可以允許小組成員將核心資產部署到數據登陸區域,但防止它們改變任何網路元件。
合規性和治理案例
下列建議適用於各種合規性和治理案例。 這些案例代表符合成本效益且可調整的解決方案。
| 場景 | 建議 |
|---|---|
| 使用標準命名慣例設定治理模型,並根據成本中心提取報告。 | 使用 Azure 原則和標籤來符合您的需求。 |
| 避免意外刪除 Azure 資源。 | 使用 Azure 資源鎖定來防止意外刪除。 |
| 取得 Azure 資源在成本優化、復原力、安全性、卓越營運及效能上的整體檢視,以找出改善機會。 | 使用 Azure Advisor 來獲得 Azure 訂閱內 SAP 服務的整合視圖。 |