Microsoft 和 Azure 数据保护工具

  • 10 分钟

随着 Contoso 将更多数据移动到云中,他们希望确信自己不会带来安全或合规性风险。 他们需要合作伙伴帮助他们在环境和业务发生更改时保护数据。 Microsoft 可以提供工具、服务和计划来帮助 Contoso 实现数据隐私合规性和数据保护目标。

Microsoft 定期审核 Microsoft Azure、Microsoft 365 和 Microsoft Dynamics 365 等云服务,并向第三方审核者提交自我评估。 此过程可帮助 Microsoft 确保它满足适用于具有云服务提供商角色的所有安全性与合规性要求。

Microsoft 还积极地与世界各地的行业领导者和政府机构合作,从而预测未来可能会影响 Microsoft 或其客户的合规性要求。 Microsoft 通常是第一个采用新框架和标准的全球云服务提供商。

Microsoft 合规性资源

全球监管机构经常更新其法律和规则,组织可能很难确定这些更改如何适用于它们。 合规性人员必须努力工作,以帮助满足不断变化的要求。 Microsoft 提供工具、指导和详尽文档,从而帮助客户及时了解合规性义务。

Microsoft 信任中心

Microsoft 信任中心为其云产品和服务提供 Microsoft 安全性、隐私、合规性和透明度承诺方面的详细信息。 信任中心包含关于 Microsoft 云服务的所有当前认证、证明和其他合规性产品/服务的信息。

服务信任门户

服务信任门户包含有关常见行业标准和法规的大量信息。 审核报告、Azure 安全蓝图和信任文档有助于了解云功能,并将技术合规性和控制要求与要求进行比较。 额外的指导和工具可帮助 Azure 和其他 Microsoft 云服务客户满足安全性、合规性和隐私需求。

Azure 中的数据保护

Azure 使用数据隔离、数据加密、数据冗余和数据销毁来帮助保护应用程序、平台、系统和存储中的客户数据。

数据隔离

Azure 是一项多租户服务,它使用逻辑隔离将每个客户的数据与其他客户的数据隔离开来。 此隔离有助于确保客户的数据不会与其他客户的数据合并,也不会被其他客户访问。

数据加密

Azure 提供了广泛的加密功能和选项,用于静态和传输中的数据加密。 Azure 支持各种加密模型(包括客户端和服务器端加密),并支持 Microsoft 管理的加密密钥和客户管理的加密密钥。 对于静态数据,Azure 提供了几个灵活的加密选项。

  • Azure 磁盘加密使用 Windows 的行业标准 BitLocker 功能和 Linux 的 DM-Crypt 功能,为操作系统(OS)和数据磁盘提供卷加密。
  • 透明数据加密(TDE)有助于保护 Azure SQL 数据库。
  • Azure 密钥保管库保持对云应用程序和服务使用的数据加密密钥的控制,从而帮助轻松且经济高效地简化加密密钥管理。

通信协议

Azure 对传输中的数据使用行业标准传输协议,包括在 Microsoft 数据中心内以及设备和数据中心之间的传输层安全性(TLS) 1.2 以上。 还可以为虚拟机(VM)和用户之间的流量启用加密。

对于 Windows Server 2012 或更高版本的 VM,可以使用服务器消息块(SMB) 3.0 加密通过 Azure 虚拟网络传输中的数据,从而保护数据传输。 网络管理员可以为整个服务器或特定的共享启用 SMB 加密。 要在 Azure 中连接到 Linux VM,可以使用安全外壳 (SSH),这是一种加密的连接协议,便于你通过不安全的连接进行安全登录。

Azure VPN 加密创建了安全的加密隧道,有助于保护通过网络发送的数据。 站点到站点 VPN 使用 IPsec 进行传输加密。 可以配置 Azure VPN 网关来使用具有特定加密算法和密钥强度的自定义 IPsec/Internet 密钥交换策略。 点到站点 VPN 使用安全套接字隧道协议(SSTP)创建VPN 隧道,允许单个客户端计算机访问 Azure 虚拟网络。

数据冗余

可以选择对静态数据进行国家/地区内存储,以适应合规性或延迟考虑。 出于安全或灾难恢复目的,还可以使用国家/地区外存储。 为了实现冗余,可以在所选的地理区域内多次复制数据。 Azure 存储帐户中的数据始终在主要区域内复制,从而确保持续性和高可用性。 主要区域和次要区域复制选项包括:

  • 本地冗余存储
  • 区域冗余存储
  • 异地冗余存储
  • 异地区域冗余存储
  • 读取访问异地冗余存储和读取访问异地区域冗余存储

数据与存储安全

Azure 有多项服务可帮助监视数据存储安全,其中包括 Microsoft Defender for Storage 和 Microsoft Defender for SQL Database。

  • Microsoft Defender for Storage提供了安全情报层,可以检测到访问或利用存储帐户的潜在有害的异常尝试。 此保护层有助于处理威胁,无需成为安全专家或管理安全监视系统。 Microsoft Defender for Storage 检测活动异常并触发与 Microsoft Defender for Cloud 集成的安全警报,并通过电子邮件发送给订阅管理员。 警报包含可疑活动的详细信息,以及关于如何调查和修正威胁的建议。

  • Microsoft Defender for SQL是提供高级 Azure SQL 安全功能的统一数据安全包的一部分。 Microsoft Defender for SQL 检测异常活动并提供警报,这些活动表明尝试访问或利用数据库的行为异常且可能有害。 这些警报使客户能够检测和响应潜在威胁。

数据销毁

当你删除数据或离开 Azure 时,Microsoft 会遵循行业标准流程,在重用之前覆盖存储资源。 在销毁存储介质时,Microsoft 还遵循《美国国家标准与技术研究所特别发布 800-88 准则》。