越来越多的组织正在将SharePoint和SQL工作负载转移到云中的微软Azure中,因为在云中旋转服务器、增加容量、减少容量的简单性无需购买服务器。过去,企业在购买服务器、存储、网络带宽、副本灾难恢复站点等方面需要花费2万美元、5万美元或更多,SharePoint和SQL延迟数周或数月的时间,现在完全通过在Azure中旋转虚拟机和在云中定制和配置系统来管理。
但问题总是出现,把SQL数据和SharePoint内容放在云中是“安全的”吗?答案绝对是肯定的,只要系统配置正确,Azure中的SQL和SharePoint在云中存储受保护的内容是非常安全的!事实上,我们已经在Azure上配置了SharePoint和SQL,使它们实际上比大多数组织声称的安全更安全(明显更安全!)
下面是可以在Azure中保护SharePoint和SQL的安全层:
- 微软Azure安全:首先,针对微软在安全方面所做的事情,访问一下微软的Azure“信任中心”可以向组织提供关于微软在其Azure云服务中内置了什么功能的信息。有一个关于微软安全的白皮书在信任网站上。在信任的网站,如果你点击隐私它会通过他们的声明和隐私和安全审计,如果你点击合规,它会提供你信息遵从ISO、HIPAA、SOC 1 / SOC 2 / SSAE ISAE旗下等有很多,我想说,大多数组织微软Azure数据中心的安全问题需要问自己如果他们有7层防线,第三方审计的安全控制,安全性和遵从性认证等等。
但是,关注最安全和合规官员就是如果微软传讯信息或如果有人发生交给黑客的7层防御,或可能一个流氓员工妥协系统,上述标准,审计等是好但不是万无一失。所以,我的建议是加密你的内容,并保留你的加密密钥。以下是可以在微软提供的基础上进行分层的内容:
- 加密SQL:微软提供了虚拟机,组织可以在这些vm上安装SQL Server,组织可以(也应该)加密SQL数据库!微软有所谓的“透明数据加密”(TDE),允许组织加密整个数据库并保存密钥!TDE加密将保护SQL数据库中的数据,显然包括SharePoint内容,因为SharePoint内容存储在SQL数据库中。这是一种非常有效的方式,可以让您管理您的信息,请参阅第5部分Azure上的SQL教程关于加密SQL数据。
如果某人通过合法权限或未经授权的访问获得了访问您的数据库的权限,那么数据库本身是加密的,因此这些加密的“东西”对他们来说是无用的。密钥必须单独subpenaed,否则除了Azure上的数据库之外,其他人将不得不从你的站点窃取密钥……
但随后又有评论说,有了云数据,“任何人”都可以直接从世界上的任何地方访问数据……答案是否定的,除非你希望世界上的每个人都能直接从互联网访问内容。如果您有受保护的数据,您只希望您公司办公室的员工访问这些信息,那么在默认情况下,Azure不会对外公开数据。实际上,你必须配置你的Azure和SQL虚拟机来拥有一个公共的Internet地址,你必须配置Azure来打开防火墙端口来直接访问Azure中的vm /服务器。如果您只希望您的员工访问Azure中的内容(SQL数据或存储在SQL上的SharePoint数据),那么在您的企业站点与Microsoft Azure之间创建一个安全的通道。有几种方法可以做到这一点:
- 站点到站点VPN:您可以在您的数据中心到Microsoft Azure之间创建站点到站点VPN,使用IPSec保护数据的通信通道。微软Azure提供从思科、博科、检查点、Sonicwall、Fortinet、Juniper等网站到网站的连接,或者你也可以简单地配置一个老式的微软Windows RRAS服务器,用于S2S安全VPN隧道。有很多方法可以在您的办公室和Microsoft Azure之间创建一个安全的、受保护的隧道,其中没有直接连接到您的数据。
- 网站到网站使用快速通道:另一种在你的办公室和微软之间建立联系的方式是通过微软所谓的“快速通道”。Express Route是企业和Microsoft之间的私有连接,实际上是直接进入Azure的“最后一英里”类型的私有连接。微软已经与Equinix等公司合作(还有其他的)所以有很多本地的服务器可以将组织直接连接到Azure中。使用Express Route,您甚至不用通过普通internet上的隧道,您实际上有一个到Azure服务器的直接连接(不是通过internet)。内部用户通过您的LAN/WAN访问Azure中的数据,如果您的远程用户是远程的,那么他们可能需要某种形式的双重身份验证和加密,然后通过快速路由连接到您的环境加密的直接运输到你的Azure数据。
对于那些铁杆,还打我安全到Azure 7-level深安全的数据中心,与加密数据库,连接通过安全加密的连接不够好,然后我们为组织所做的一件事是加密的内容存储在加密的数据库!对于像SharePoint这样的东西,微软有一项被称为权限管理服务(RMS)的技术,它允许组织机构设置策略,以便每个Word文档、Excel电子表格、PDF文件、JPG图形、TIF文件、PowerPoint演示文稿等在存储在SharePoint库时都被加密。
- 在SharePoint中加密的内容:微软版权管理服务(RMS)加密与用户的Active Directory凭证,所以内容加密用户创建和访问,并存储在SharePoint保护,然后即使用户获取内容的SharePoint和意外(或心不在焉地)上传内容DropBox,盒子,OneDrive等实际的文件(文档、电子表格等)仍然是加密的,仅可由经授权的目标收件人访问的内容。
现在你正在服用的东西像一个Word文档,它是自动加密与微软RMS(钥匙留在Active Directory,所以你拥有和保持键),在一个加密和保护隧道运输,保存在一个加密的SQL数据库(您自己,保持数据库的键),微软数据中心7层的安全,一堆安全审计和认证注意保护。
有了这些,我还没有让合规官或安全官告诉我,他们自己在保护内容方面做得更好,可以在这个过程中找出漏洞。当然是最安全比几乎所有组织,我看到今天到位的服务器、数据库、网络平台内容,等在层的安全方面,多级加密,甚至到文件的内容存储在SharePoint环境之外,防止数据泄漏。
希望这些信息对你有帮助,如果你有问题请发表你的评论。
* * * * * * *
兰德·森本(Rand Morimoto)是总部位于旧金山湾区的战略和技术咨询公司Convergent Computing的总统。森本博士是《网络安全:网络意识和网络安全他是布什总统的网络安全顾问,也是克林顿总统的2000年问题顾问。