Sicurezza, governance e conformità per l'analisi su scala cloud
Quando si pianifica l'architettura di analisi su scala cloud, prestare particolare attenzione per garantire che l'architettura sia affidabile e sicura. Questo articolo illustra i criteri di progettazione per la sicurezza, la conformità e la governance per l'analisi su scala cloud su scala aziendale. Questo articolo illustra anche le raccomandazioni di progettazione e le procedure consigliate per la distribuzione di un'analisi su scala cloud in Azure. Esaminare la governance e la conformità della sicurezza su scala aziendale per prepararsi in modo efficace alla governance di una soluzione aziendale.
Inizialmente, le soluzioni cloud ospitavano applicazioni singole e relativamente isolate. Quando i vantaggi di queste soluzioni sono diventati evidenti, si è passati all'hosting cloud di carichi di lavoro su larga scala, ad esempio SAP in Azure. È quindi diventato fondamentale affrontare aspetti quali sicurezza, affidabilità, prestazioni e costi delle distribuzioni a livello di area lungo l'intero ciclo di vita dei servizi cloud.
La visione per la sicurezza, la conformità e la governance della zona di destinazione dell'analisi su scala cloud in Azure consiste nel fornire strumenti e processi che consentono di ridurre al minimo i rischi e prendere decisioni efficaci. Le zone di destinazione di Azure consentono di definire ruoli e responsabilità per la governance della sicurezza e della conformità.
Il modello di analisi su scala cloud si basa su diverse funzionalità di sicurezza che possono essere abilitate in Azure. La funzionalità includono crittografia, controllo degli accessi in base al ruolo, elenchi di controllo di accesso e restrizioni di rete.
Raccomandazioni per la progettazione della sicurezza
Microsoft e i clienti condividono la responsabilità della sicurezza. Per indicazioni sulla sicurezza accettate, fare riferimento alle procedure consigliate per la sicurezza informatica dal Centro per la sicurezza Internet. Le sezioni seguenti illustrano le raccomandazioni per la progettazione della sicurezza.
Crittografia dei dati inattivi
La crittografia dei dati inattivi fa riferimento alla crittografia dei dati che persiste nell'archiviazione e risolve i rischi di sicurezza correlati all'accesso fisico diretto ai supporti di archiviazione. Dar è un controllo di sicurezza critico perché i dati sottostanti non sono irreversibili e non possono essere modificati senza la relativa chiave di decrittografia. Si tratta di un livello importante nella strategia di difesa in profondità dei data center Microsoft. Spesso, l'implementazione della crittografia dei dati inattivi è determinata da motivi di conformità e governance.
Diversi servizi di Azure supportano la crittografia dei dati inattivi, tra questi Archiviazione di Azure e i database Azure SQL. Sebbene i concetti e i modelli comuni influenzino la progettazione dei servizi di Azure, ogni servizio può applicare la crittografia dei dati inattivi a livelli di stack diversi o avere requisiti di crittografia diversi.
Importante
Tutti i servizi che supportano la crittografia dei dati inattivi devono avere questa funzionalità abilitata per impostazione predefinita.
Proteggere i dati in transito
I dati sono in transito o in movimento quando si spostano da una posizione a un'altra. Può trattarsi di uno spostamento interno (locale o all'interno di Azure) oppure esterno, ad esempio tramite Internet verso un utente finale. Azure offre diversi meccanismi, inclusa la crittografia, per mantenere privati i dati in transito. ad esempio:
- Comunicazione tramite VPN mediante crittografia IKE/IPsec.
- Transport Layer Security (TLS) 1.2 o versione successiva usata dai componenti di Azure, ad esempio gateway applicazione di Azure o Frontdoor di Azure.
- Protocolli disponibili nelle macchine virtuali di Azure, ad esempio Windows IPsec o SMB.
La crittografia tramite MACsec (Media Access Control Security), uno standard IEEE a livello di collegamento dati, viene abilitata automaticamente per tutto il traffico di Azure tra i data center di Azure. Questa crittografia assicura la riservatezza e l'integrità dei dati dei clienti. Per altre informazioni, vedere Protezione dei dati dei clienti di Azure.
Gestire chiavi e segreti
Per controllare e gestire chiavi e segreti di crittografia del disco per l'analisi su scala cloud, usare Azure Key Vault. Key Vault offre funzionalità per il provisioning e la gestione dei certificati SSL/TLS. È anche possibile proteggere i segreti tramite moduli di protezione hardware (HMS).
Microsoft Defender for Cloud
Microsoft Defender for Cloud offre avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora.
Se si abilita Defender for Cloud nell'area Prezzi e impostazioni, vengono abilitati contemporaneamente tutti i piani seguenti di Microsoft Defender e vengono fornite funzionalità di difesa complete per i livelli di calcolo, dati e servizio dell'ambiente:
- Microsoft Defender per server
- Microsoft Defender per il servizio app
- Microsoft Defender per archiviazione
- Microsoft Defender per SQL
- Microsoft Defender for Kubernetes
- Microsoft Defender per registri contenitori
- Microsoft Defender per Key Vault
- Microsoft Defender per Resource Manager
- Microsoft Defender per DNS
Questi piani sono illustrati separatamente nella documentazione di Defender for Cloud.
Importante
Se Defender for Cloud è disponibile per le offerte Platform as a service (PaaS), è consigliabile abilitare questa funzionalità per impostazione predefinita, in particolare per gli account Azure Data Lake Storage. Per altre informazioni, vedere Introduzione a Microsoft Defender for Cloud e Configurare Microsoft Defender per Archiviazione.
Microsoft Defender per identità
Microsoft Defender per identità fa parte dell'offerta Advanced Data Security (Sicurezza dei dati avanzata), che è un pacchetto unificato per le funzionalità avanzate di sicurezza. Microsoft Defender per identità è accessibile e gestito tramite il portale di Azure.
Importante
Abilitare Microsoft Defender per identità per impostazione predefinita ogni volta che è disponibile per i servizi PaaS in uso.
Abilitare Microsoft Sentinel
Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel offre analisi della sicurezza intelligenti e intelligence sulle minacce per l'intera azienda, fornendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
Rete
La visualizzazione definita dall'analisi su scala cloud consiste nell'usare gli endpoint privati di Azure per tutti i servizi PaaS e non usare indirizzi IP pubblici per tutti i servizi IaaS (Infrastructure as a Service). Per altre informazioni, vedere Rete di analisi su scala cloud.
Raccomandazioni per la progettazione relativa a conformità e governance
Azure Advisor consente di ottenere una visualizzazione consolidata delle sottoscrizioni di Azure. Vedere Azure Advisor per raccomandazioni su affidabilità, resilienza, sicurezza, prestazioni, eccellenza operativa e costi. Le sezioni seguenti illustrano le raccomandazioni per la progettazione relativa a conformità e governance.
Usare Criteri di Azure
Criteri di Azure consente di imporre standard aziendali e di valutare la conformità su larga scala. Tramite il dashboard di conformità, offre una visualizzazione aggregata dello stato complessivo dell'ambiente, con la possibilità di eseguire il drill-down per singole risorse o criteri.
Criteri di Azure consente inoltre di ottenere la conformità delle risorse tramite la correzione in blocco delle risorse esistenti e la correzione automatica delle nuove risorse. Sono disponibili diversi criteri predefiniti, ad esempio per limitare la posizione delle nuove risorse, richiedere un tag e il relativo valore sulle risorse, creare una macchina virtuale usando un disco gestito o per applicare criteri di denominazione.
Automatizzare le distribuzioni
Automatizzando le distribuzioni è possibile risparmiare tempo e ridurre gli errori. Ridurre la complessità della distribuzione delle zone di destinazione dei dati end-to-end e delle applicazioni dati (che creano prodotti dati) creando modelli di codice riutilizzabili. In questo modo si riduce al minimo il tempo necessario per distribuire o ridistribuire le soluzioni. Per altre informazioni, vedere Informazioni sull'automazione di DevOps per l'analisi su scala cloud in Azure
Bloccare le risorse per i carichi di lavoro di produzione
Creare le risorse di Azure necessarie per la gestione dei dati di base e la zona di destinazione dei dati all'inizio del progetto. Quando tutte le aggiunte, gli spostamenti e le modifiche sono stati completati e la distribuzione di Azure è operativa, bloccare tutte le risorse. Solo un amministratore può quindi sbloccare o modificare le risorse, ad esempio un catalogo dati. Per altre informazioni, vedere Bloccare le risorse per impedire modifiche impreviste.
Implementare il controllo degli accessi in base al ruolo
È possibile personalizzare il controllo degli accessi in base al ruolo nelle sottoscrizioni di Azure per la gestione degli utenti autorizzati ad accedere alle risorse di Azure, delle operazioni che possono eseguire su tali risorse e delle aree a cui hanno accesso. Ad esempio, è possibile consentire ai membri del team di distribuire risorse di base in una zona di destinazione dei dati, ma impedire loro di modificare i componenti di rete.
Scenari di conformità e governance
Le raccomandazioni seguenti si applicano a vari scenari di conformità e governance. Questi scenari rappresentano una soluzione conveniente e scalabile.
| Scenario | Recommendation |
|---|---|
| Configurare un modello di governance con convenzioni di denominazione standard ed eseguire il pull dei report in base al centro di costo. | Usare Criteri di Azure e tag per soddisfare i requisiti. |
| Evitare l'eliminazione accidentale delle risorse di Azure. | Usare il blocco delle risorse di Azure per impedire l'eliminazione accidentale. |
| Ottenere una visualizzazione consolidata delle aree di opportunità per ottimizzazione dei costi, resilienza, sicurezza, eccellenza operativa e prestazioni per le risorse di Azure. | Usare Azure Advisor per ottenere una visualizzazione consolidata nelle sottoscrizioni SAP in Azure. |