Microsoft oferă în platforma Azure o varietate de servicii de stocare pentru diferite formate de date: BLOB, discuri virtuale, structuri tabelare de date, cozi de mesaje sau fișiere partajate. Alături de capabilitățile de stocare nelimitată în datacenterele Azure, Microsoft include mecanisme de securitate avansată, replicare în regiuni sau datacentere diferite pentru asigurarea toleranței la defecte și balansarea încărcării alături de scalabilitatea infrastructurii.
Accesul datelor se poate realiza prin intermediul endpointurilor publice sau private folosind REST API, librăriile client din SDK-ul Azure și toolurile administrative ce includ portalul Azure și mediile Powershell sau CLI. Modelul de management al accesului este bazat pe posibilitatea de integrare cu Azure AD, prin Simetric Shared Key Authentication sau Shared Access Signature (SAS), datele sunt criptate de serviciul de stocare at rest iar opțiunile de monitorizare beneficiază de platforma Azure Monitor.
Controlul accesului la mediul de stocare se realizează prin permisiuni ACL la nivel de storage account, utilizatorii beneficiind de autentificare Azure AD. Tokenuri SAS și existența unui Firewall Azure ce nu afectează accesul la discurile virtuale.
Pentru a contracara amenințările asociate datelor serviciul de stocare poate fi asociat prin Microsoft Defender for Cloud cu Advanced Threat Protection, ce oferă protecție împotriva accesului suspect sau exfiltrării de date, generând alerte și oferind informații detaliate de investigare și mecanisme de remediere.
Lista completă a tipurilor de alerte suportate conține o identifacare a accesului sau comportamentului ce trezește suspiciuni, detecția malware, stocarea unor fișiere necunoscute, identificarea containerelor expuse public și a campaniilor de phishing.
Care sunt mecanismele de criptare disponibile?
Cunoscut cu numele de Azure Data Encryption, layerul de protecție împotriva alterării sau accesării neautorizate a conținutului datelor conține următoarele mecanisme:
- Criptarea documentelor și a datelor nestructurate prin Azure Information protection (AIP) sau soluții third party
- Criptarea la nivelul aplicațiilor prin librării specializate .NET sau client-side encryption (BYO Encryption)
- Criptarea discurilor virtuale stocate prin Azure Disk Encryption ce are la bază Bittlocker pentru Windows și DM-Crypt pentru Linux, BYO Encryption sau Partner Volume Encryption (Cloudlink, SecureVM, Vormetric)
- Criptarea datelor la nivelul serverului prin Azure Storage Service Encryption ce folosește AES-256, Block, Append, page BLOBS
Criptarea datelor trebuie completată de protecția și administrarea corectă a cheilor de criptare, platforma Azure punând la dispoziție Azure Key Vault, ce permite stocarea de chei generate de Microsoft sau proprietare.
Care sunt recomandările Microsoft asociate protecției datelor?
Microsoft recomandă următoarele bune practici:
- Folosirea Azure AD pentru autentificarea utilizatorilor ce accesează mediile de stocare, pentru a beneficia de un model flexibil de permisiuni specializate.
- Activarea criptării discurilor virtuale din mașinile virtuale Windows sau Linux pentru a se evita preluarea neautorizată a datelor de pe acestea direct din mediul de stocare.
- Activarea criptării build-in pentru serviciile Azure accesate de aplicații, ce oferă avantajul de a nu încărca suplimentar resursele acestora
Puteți parcurge pentru aprofundarea acestor informații cursurile oficiale SC-400 Microsoft Information Protection Administrator și AZ-500 Microsoft Azure Security Technologies unde veți găsi explicate în detaliu aspectele administrative, implementarea acestor mecanisme și recomandările Microsoft.
Autor: MARIAN PANDILICĂ
Senior Microsoft Certified Trainer
Microsoft Learning Consultant 2010-2024
Customer Learning Architect
Cloud Solution and Cybersecurity Architect
- Pentru a consulta toată gama de cursuri din tehnologia cyber security oferite de Bittnet Training, click aici.
- Pentru a consulta toată gama de cursuri Microsoft oferite de Bittnet Training, click aici.