Sicherheit, Governance und Compliance für Analysen auf Cloudebene
Achten Sie bei der Planung der Architektur für Analysen auf Cloudebene besonders darauf, dass die Architektur stabil und sicher ist. In diesem Artikel werden die Sicherheits-, Compliance- und Governance-Entwurfskriterien für Analysen auf Unternehmens-/Cloudebene behandelt. In diesem Artikel werden auch Entwurfsempfehlungen und bewährte Methoden für die Bereitstellung von Analysen auf Cloudebene in Azure erläutert. Überprüfen Sie die Sicherheitsgovernance und Compliance auf der Unternehmensebene, um sich vollständig auf die Governance einer Unternehmenslösung vorzubereiten.
Mit Cloudlösungen wurden anfänglich nur einzelne und relativ isolierte Anwendungen gehostet. Als die Vorteile von Cloudlösungen immer deutlicher wurden, wurden umfangreichere Workloads, z. B. SAP in Azure, in der Cloud gehostet. Daher wurde es wichtig, die Sicherheit, Zuverlässigkeit, Leistung und Kosten regionaler Bereitstellungen während des gesamten Lebenszyklus von Clouddiensten zu berücksichtigen.
Der Plan für die Zielzonensicherheit, Compliance und Governance in Azure für Analysen auf Cloudebene ist, Tools und Prozesse bereitzustellen, die Ihnen helfen, Risiken zu minimieren und effektive Entscheidungen zu treffen. Die Azure-Zielzonen definieren Rollen und Zuständigkeiten für Sicherheit, Governance und Compliance.
Das Muster für Analysen auf Cloudebene basiert auf mehreren Sicherheitsfunktionen, die in Azure aktiviert werden können. Zu diesen Funktionen gehören die Verschlüsselung, rollenbasierte Zugriffssteuerung, Zugriffssteuerungslisten und Netzwerkeinschränkungen.
Entwurfsempfehlungen für Sicherheit
Sowohl Microsoft als auch Kunden teilen sich die Verantwortung für die Sicherheit. Einen anerkannten Sicherheitsleitfaden finden Sie im „Center for Internet Security“ auf der Seite mit den bewährten Methoden für die Cybersicherheit. Die folgenden Abschnitte enthalten Empfehlungen zur Sicherheitsgestaltung.
Verschlüsselung ruhender Daten
Die Verschlüsselung ruhender Daten bezieht sich auf die Verschlüsselung von Daten, während sie im Speicher verbleiben, und befasst sich mit den Sicherheitsrisiken im Zusammenhang mit dem direkten physischen Zugriff auf Speichermedien. Die Verschlüsselung ruhender Daten ist eine wichtige Sicherheitskontrolle, da die zugrunde liegenden Daten ohne den zugehörigen Entschlüsselungsschlüssel nicht wiederhergestellt und nicht geändert werden können. Die Verschlüsselung ruhender Daten ist eine wichtige Ebene in der Defense-in-Depth-Strategie von Microsoft-Rechenzentren. Häufig gibt es Compliance- und Governance basierende Gründe für die Bereitstellung der Verschlüsselung ruhender Daten.
Mehrere Azure-Dienste unterstützen die Verschlüsselung ruhender Daten, einschließlich Azure Storage und Azure SQL-Datenbanken. Obwohl gängige Konzepte und Modelle den Entwurf von Azure-Diensten beeinflussen, kann jeder Dienst die Verschlüsselung ruhender Daten auf verschiedenen Stapelebenen anwenden oder unterschiedliche Verschlüsselungsanforderungen aufweisen.
Wichtig
Für alle Dienste, die die Verschlüsselung ruhender Daten unterstützen, sollte diese Funktion standardmäßig aktiviert sein.
Schützen von Daten während der Übertragung
Daten befinden sich in der Übertragung oder in Bewegung, wenn sie sich aktiv von einem Ort zu einem anderen bewegen. Dies kann intern, lokal, innerhalb von Azure oder extern erfolgen, z. B. über das Internet an einen Endbenutzer. Azure verfügt über verschiedene Mechanismen für den Schutz privater Daten während der Übertragung. Diese Mechanismen sind:
- Die Kommunikation über virtuelle private Netzwerke mit IPsec/IKE-Verschlüsselung.
- Transport Layer Security (TLS) 1.2 oder höher mit Azure-Komponenten, wie z. B. Azure Application Gateway oder Azure Front Door.
- Die Protokolle, die in virtuellen Azure Computern verfügbar sind, z. B. Windows IPsec oder SMB.
Die Verschlüsselung über MACsec (Media Access Control Security), einem IEEE-Standard auf der Datenübertragungsebene, ist für den gesamten Azure-Datenverkehr zwischen Azure-Rechenzentren automatisch aktiviert. Mit dieser Verschlüsselung wird die Vertraulichkeit und Integrität von Kundendaten sichergestellt. Weitere Informationen finden Sie unter Schutz der Azure-Kundendaten.
Verwalten von Schlüsseln und Geheimnissen
Verwenden Sie Azure Key Vault, um Datenträgerverschlüsselungsschlüssel und Geheimnisse für Analysen auf Cloudebene zu kontrollieren und zu verwalten. Key Vault verfügt über Funktionen zum Bereitstellen und Verwalten von SSL/TLS-Zertifikaten. Sie haben auch die Möglichkeit, Geheimnisse mit Hardwaresicherheitsmodulen (HSMs) zu schützen.
Microsoft Defender für Cloud
Microsoft Defender für Cloud bietet Sicherheitswarnungen und erweiterten Bedrohungsschutz für virtuelle Computer, SQL-Datenbanken, Container, Webanwendungen, virtuelle Netzwerke und mehr.
Wenn Sie Defender für Cloud über den Bereich „Preise und Einstellungen“ aktivieren, werden alle folgenden Microsoft Defender-Pläne aktiviert und bieten umfassende Schutzmechanismen für die Compute-, Daten- und Dienstebenen Ihrer Umgebung:
- Microsoft Defender für Server
- Microsoft Defender für App Service
- Microsoft Defender für Speicher
- Microsoft Defender für SQL
- Microsoft Defender für Kubernetes
- Microsoft Defender für Containerregistrierungen
- Microsoft Defender für Key Vault
- Microsoft Defender für Resource Manager
- Microsoft Defender für DNS
Diese Pläne werden separat in der Dokumentation zu Defender für Cloud erläutert.
Wichtig
Wenn Defender für Cloud für PaaS-Angebote (Platform-as-a-Service) verfügbar ist, sollten Sie diese Funktion standardmäßig aktivieren, insbesondere für Azure Data Lake Storage-Konten. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Cloud und Konfigurieren von Microsoft Defender für Speicher.
Microsoft Defender for Identity
Microsoft Defender for Identity ist Teil des Angebots „Erweiterte Datensicherheit“. Dabei handelt es sich um ein vereinheitlichtes Paket für erweiterte Sicherheitsfunktionen. Microsoft Defender for Identity kann über das Azure-Portal aufgerufen und verwaltet werden.
Wichtig
Aktivieren Sie Microsoft Defender for Identity standardmäßig, wenn das Produkt für die von Ihnen verwendeten PaaS-Dienste verfügbar ist.
Aktivieren von Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative SIEM-Lösung (Security Information & Event Management) und SOAR-Lösung (Security Orchestration Automated Response, Sicherheitsorchestrierung mit automatisierter Reaktion). Microsoft Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen für das ganze Unternehmen und stellt eine zentrale Lösung für die Warnungs- und Bedrohungserkennung, die proaktive Suche sowie die Reaktion auf Bedrohungen dar.
Netzwerk
Die Vorgabe für Analysen auf Cloudebene lautet, private Azure-Endpunkte für alle PaaS-Dienste zu verwenden und keine öffentlichen IP-Adressen für IaaS-Dienste (Infrastructure-as-a-Service) zu nutzen. Weitere Informationen finden Sie in der Netzwerkübersicht.
Entwurfsempfehlungen in Bezug auf Compliance und Governance
Azure Advisor verschafft Ihnen eine Gesamtübersicht über Ihre Azure-Abonnements. Kostenempfehlungen in Bezug auf Zuverlässigkeit, Resilienz, Sicherheit, Leistung, optimalen Betrieb finden Sie in den Empfehlungen zu Azure Advisor. In den folgenden Abschnitten werden Empfehlungen zum Konformitäts- und Governanceentwurf erläutert.
Verwenden von Azure Policy
Azure Policy unterstützt Sie bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Über sein Compliance-Dashboard bietet der Dienst eine aggregierte Ansicht zu dem Gesamtzustand der Umgebung mit der Möglichkeit, einen Drilldown in die individuelle Ressource und Richtlinie durchzuführen.
Azure Policy trägt durch die Möglichkeit zur Massenwartung für die vorhandenen Ressourcen und automatische Wartung für neue Ressourcen dazu bei, dass die Konformität Ihrer Ressourcen sichergestellt ist. Es sind mehrere integrierte Richtlinien verfügbar, z. B. um den Speicherort neuer Ressourcen einzuschränken, ein Tag und dessen Wert für Ressourcen erforderlich zu machen, einen virtuellen Computer mit einem verwalteten Datenträger zu erstellen oder Benennungsrichtlinien zu erzwingen.
Automatisieren von Bereitstellungen
Sie können Zeit sparen und die Fehleranzahl reduzieren, indem Sie Bereitstellungen automatisieren. Verringern Sie die Komplexität der Bereitstellung von End-to-End-Datenzielzonen und Datenanwendungen (die Datenprodukte erstellen) durch die Erstellung wiederverwendbarer Codevorlagen. Dadurch wird die Zeit zum Bereitstellen oder erneuten Bereitstellen von Lösungen minimiert. Weitere Informationen finden Sie unter Verwaltung von Analysen auf Cloudebene.
Sperren von Ressourcen für Produktionsworkloads
Erstellen Sie zu Beginn Ihres Projekts die erforderlichen Azure-Ressourcen für die Kerndatenverwaltung und die Datenzielzone. Wenn alle Ergänzungen, Verschiebungen und Änderungen abgeschlossen sind und die Bereitstellung in Azure betriebsbereit ist, sollten Sie alle Ressourcen sperren. Anschließend kann nur ein Administrator die Ressourcen, wie z. B. einen Datenkatalog, entsperren oder ändern. Weitere Informationen finden Sie unter Sperren von Ressourcen, um unerwartete Änderungen zu verhindern.
Implementieren der rollenbasierten Zugriffssteuerung
Sie können die rollenbasierte Zugriffssteuerung (RBAC) auf Azure Abonnements anpassen um zu verwalten, welche Benutzer Zugriff auf die Azure-Ressourcen besitzen, welche Aktionen mit diesen Ressourcen ausgeführt werden können und auf welche Bereiche die Benutzer zugreifen können. Beispielsweise können Sie Teammitgliedern erlauben, die Kernressourcen in einer Datenzielzone bereitzustellen, aber sie daran hindern, eine der Netzwerkkomponenten zu ändern.
Compliance- und Governanceszenarien
Die folgenden Empfehlungen gelten für verschiedene Compliance- und Governanceszenarien. Diese Szenarien stellen eine kostengünstige und skalierbare Lösung dar.
| Szenario | Empfehlung |
|---|---|
| Konfigurieren eines Governancemodells für Standardnamenskonventionen und abrufen von Berichten basierend auf der Kostenstelle. | Verwenden Sie Azure Policy und Tags, um Ihre Anforderungen zu erfüllen. |
| Vermeiden des versehentlichen Löschens von Azure-Ressourcen | Verwenden Sie Azure-Ressourcensperren, um das versehentliche Löschen zu verhindern. |
| Anzeigen einer Gesamtübersicht mit Optionen für die Kostenoptimierung, Resilienz und Sicherheit, den optimalen Betrieb und die Leistung für Azure-Ressourcen. | Azure Advisor verschafft Ihnen eine Gesamtübersicht über Ihre „SAP in Azure“-Abonnements. |