+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Як використовувати вбудовані служби Azure для безпечного зберігання даних програми

Як використовувати вбудовані служби Azure для безпечного зберігання даних програми

Платформа Azure була розроблена для забезпечення безпеки та відповідності всім вимогам розробників. Дізнайтеся, як використовувати вбудовані служби для безпечного зберігання даних програми, щоб доступ до цих даних отримували лише авторизовані служби та клієнти.

Безпека є одним із найважливіших аспектів будь-якої архітектури. Захист бізнес-даних та даних клієнтів має критично важливе значення. Витік даних може занапастити репутацію компанії і завдати істотних фінансових збитків. У цьому модулі ми обговоримо основні питання безпеки архітектури під час розробки середовища у хмарі.

  • Дізнайтеся, як використовувати глибинний захист, щоб забезпечити безпеку вашої архітектури.
  • Дізнайтеся, як захистити посвідчення.
  • Дізнайтеся, які технології доступні для захисту інфраструктури Azure.
  • Дізнайтеся, як і де використовувати шифрування для захисту даних.
  • Дізнайтеся, як захистити архітектуру на рівні мережі.
  • Довідайтеся, як використовувати рекомендації щодо безпеки програм для інтеграції заходів безпеки в програмі.

Глибинний захист

Не існує панацеї від усіх загроз та жодного рішення для всіх проблем. Припустимо, що в компанії питання безпеки випало з поля зору. Стало ясно, що цій галузі слід приділити основну увагу. Співробітники не знають, з чого почати, і чи можна купити рішення для забезпечення безпеки середовища. Вони впевнені, що їм потрібен цілісний підхід, але не в курсі, що саме він є. Тут ми детально обговоримо ключові поняття глибинного захисту, визначимо основні технології безпеки та підходи для підтримки стратегії глибиною захисту, а також поговоримо про те, як застосовувати ці концепції для розробки архітектури служб Azure.

Багаторівневий підхід до безпеки

Глибинний захист — це стратегія, яка використовує низку механізмів для уповільнення атаки, спрямованої на отримання несанкціонованого доступу до інформації. Кожен рівень забезпечує захист, тому якщо зловмисник подолає один рівень, наступний рівень завадить подальшому проникненню. Корпорація Майкрософт застосовує багаторівневий підхід до безпеки як у фізичних центрах обробки даних, так і в службах Azure. Мета глибинного захисту — забезпечення безпеки інформації та запобігання крадіжці даних особами, які не мають дозволу на доступ до них. Загальні принципи, які використовуються для визначення стану безпеки, — конфіденційність, цілісність та доступність, відомі під загальною назвою CIA (confidentiality, integrity, availability).

  • Конфіденційність — принцип мінімальних привілеїв. Доступ до інформації мають лише особи, яким явно надано дозвіл. Ця інформація включає захист паролів користувачів, сертифікати віддаленого доступу та вміст електронних листів.
  • Цілісність — запобігання несанкціонованій зміні неактивних або переданих даних. Загальний підхід, що використовується при передачі даних, полягає в тому, що для відправника створюється унікальний відбиток даних з використанням одностороннього хеш-алгоритму. Хеш відправляється одержувачу разом із даними. Хеш даних повторно розраховується та порівнюється одержувачем з оригіналом, щоб дані не загубилися та не зазнали змін у процесі передачі.
  • Доступність — забезпечення доступність служб для авторизованих користувачів. Атаки типу "відмова в обслуговуванні" є найбільш поширеною причиною втрати доступності для користувачів. Крім того, на випадок стихійних лих системи проектують таким чином, щоб уникнути однієї точки збою та розгорнути кілька екземплярів програми у географічно віддалених один від одного місцях.

Рівні безпеки

Глибинний захист можна представити у вигляді кількох концентричних кілець, у центрі яких знаходяться дані. Кожне кільце додає додатковий рівень безпеки навколо даних. Цей підхід усуває залежність від одного рівня захисту, уповільнює атаку та надає оповіщення з телеметричними даними, щоб ви могли вжити заходів – вручну чи автоматично. Давайте розглянемо кожен із рівнів.

Дані

Практично завжди зловмисники полюють на дані:

  • які зберігаються у базі даних;
  • які зберігаються на диску на віртуальних машинах;
  • які зберігаються у SaaS, наприклад Office 365;
  • які зберігаються у хмарному сховищі.

Особи, відповідальні за зберігання даних та управління доступом до них, зобов'язані забезпечити належний захист. Часто нормативні вимоги наказують певні заходи контролю та процедури для забезпечення конфіденційності, цілісності та доступності даних.

Програми

  • Переконайтеся, що програми захищені та не мають вразливостей
  • Зберігайте конфіденційні секрети програм на захищеному носії
  • Зробіть безпеку вимогою до розробки всіх програм

Якщо інтегрувати безпеку в життєвий цикл розробки програми, можна скоротити кількість вразливостей у коді. Запропонуйте всім групам розробників забезпечити безпеку програм за промовчанням. Вимоги безпеки мають бути незмінними.

Служби обчислень

  • Захистіть доступ до віртуальних машин
  • Введіть захист кінцевих точок та встановлюйте всі виправлення вчасно

Шкідливі програми, відсутність виправлень та неналежний захист систем роблять ваше середовище вразливим для атак. Цей рівень націлений на безпеку ваших обчислювальних ресурсів, і у вас є належні елементи управління для мінімізації проблем безпеки.

Мережа

  • Обмежте взаємодію між ресурсами через засоби керування сегментацією та доступом
  • Налаштуйте стандартну заборону
  • Обмежте вхідний інтернет-трафік і вихідний, де це можливо
  • Реалізуйте безпечне підключення до локальних мережам

Мета цього рівня — обмежити мережеві підключення в ресурсах і використовувати лише необхідні з'єднання. Розділіть ресурси та використовуйте засоби керування мережного рівня для обмеження обміну даними лише між необхідними компонентами. Обмежуючи обмін даними, ви знижуєте ризики переміщення комп'ютерами у вашій мережі.

Периметр

  • Використовуйте захист від розподілених атак типу «відмова в обслуговуванні» (DDoS) для фільтрації великомасштабних атак, перш ніж вони призведуть до відмови в обслуговуванні для кінцевих користувачів
  • Використовуйте брандмауери по периметру, щоб виявляти атаки на мережу та отримувати про них оповіщення

По периметру мережі необхідний захист від мережевих атак на ресурси. Виявлення таких атак, усунення їх впливу та оповіщення про них – це важливі елементи забезпечення безпеки мережі.

Політики та доступ

  • Керуйте доступом до інфраструктури, керуйте змінами
  • Використовуйте єдиний вхід та багатофакторну автентифікацію
  • Перевіряйте події та зміни

Рівень політик та доступу спрямований на безпеку посвідчень, контроль надання доступу тільки особам, яким він необхідний, а також на реєстрацію змін.

Фізична безпека

  • Забезпечення фізичної безпеки будівель та контроль доступу до обчислювального обладнання в центрі обробки даних – це перша лінія оборони.

Фізична безпека передбачає заходи щодо обмеження фізичного доступу до ресурсів. Вона гарантує, що зловмисники не подолають решту рівнів, і захищає дані від втрати та крадіжки.

Кожен шар може реалізовувати одну або кілька завдань за моделлю «Конфіденційність, цілісність та доступ».

Спільна відповідальність

Обчислювальні середовища переміщуються з центрів обробки даних, керованих клієнтом, до хмарних центрів обробки даних, і разом з ними зміщується відповідальність. Тепер безпека — це спільний обов'язок постачальників хмарних служб та клієнтів.

Постійне вдосконалення

Картина загроз змінюється в режимі реального часу та у великих масштабах, тому архітектура безпеки ніколи не буває досконалою. Корпорації Майкрософт і нашим клієнтам потрібна можливість реагувати на ці загрози розумно, швидко і на належному рівні.

Центр безпеки Azure надає клієнтам можливості уніфікованого управління безпекою та розширений захист від загроз для розпізнавання та реагування на події безпеки в локальному середовищі та в Azure. У свою чергу, клієнти Azure повинні постійно переглядати та розвивати свою архітектуру безпеки.

Інші новини

Найкраща ціна