概述
此 Azure 安全性和符合性蓝图提供有关在 Azure 中部署适合收集、存储和检索联邦金融机构审查委员会(FFIEC)监管的财务数据的数据分析体系结构的指导。
此参考体系结构、实施指南和威胁模型为客户提供了符合 FFIEC 要求的基础。 此解决方案提供了一个基线,可帮助客户以符合 FFIEC 的方式将工作负载部署到 Azure;但是,不应在生产环境中 as-is 使用此解决方案,因为需要其他配置。
实现 FFIEC 合规性要求合格的审核员认证生产客户解决方案。 审计由 FFIEC 的成员机构的审查员监督,其中包括美联储理事会(FRB)、联邦存款保险公司(FDIC)、国家信用社管理局(NCUA)、货币监理署(OCC)以及消费者金融保护局(CFPB)。 这些审查员认证审核是由与被审计机构保持独立的评估人员完成的。 客户负责对使用此体系结构构建的任何解决方案进行适当的安全性和符合性评估,因为要求可能因每个客户的实现细节而异。
体系结构关系图和组件
此 Azure 安全性和符合性蓝图提供了一个分析平台,客户可以在其中构建自己的分析工具。 参考体系结构概述了一个通用用例,即客户通过 SQL/数据管理员进行批量数据导入或通过操作用户进行操作数据更新来输入数据。 这两个工作流都包含用于将数据导入 Azure SQL 数据库的 Azure Functions。 客户必须通过 Azure 门户配置 Azure Functions,以处理每个客户自己的分析要求特有的导入任务。
Azure 为客户提供各种报告和分析服务。 此解决方案将 Azure 机器学习与 Azure SQL 数据库结合在一起,以快速浏览数据,并通过更智能的建模更快地获得结果。 Azure 机器学习通过发现数据集之间的新关系来提高查询速度。 通过多个统计函数训练数据后,最多可以同步 7 个额外的查询池(包括客户服务器)与相同的表格模型同步,以分散查询工作负荷并减少响应时间。
为了增强分析和报告,可以使用列存储索引配置 Azure SQL 数据库。 Azure 机器学习和 Azure SQL 数据库都可以纵向扩展或关闭,以响应客户使用情况。 所有 SQL 流量都通过包含自签名证书使用 SSL 进行加密。 最佳做法是,Azure 建议使用受信任的证书颁发机构来提高安全性。
数据上传到 Azure SQL 数据库并使用 Azure Machine Learning 进行训练后,通过 Power BI,操作用户和 SQL/数据管理员处理和分析数据。 Power BI 直观地显示数据,并跨多个数据集拉取信息,以吸引更深入的见解。 其高度的适应性和与 Azure SQL 数据库的轻松集成可确保客户可以根据业务需求将其配置为处理各种方案。
该解决方案使用 Azure 存储帐户,客户可以配置为使用存储服务加密来维护静态数据的机密性。 Azure 将三个数据副本存储在客户的所选数据中心内,以便复原。 地理冗余存储可确保数据复制到数百英里外的辅助数据中心,并再次作为三个副本存储在该数据中心内,从而防止客户的主要数据中心发生不良事件,导致数据丢失。
为了增强安全性,此解决方案中的所有资源都通过 Azure 资源管理器作为资源组进行管理。 Azure Active Directory 基于角色的访问控制用于控制对已部署资源的访问,包括在 Azure Key Vault 中的密钥。 系统运行状况通过 Azure 安全中心和 Azure Monitor 进行监视。 客户配置监视服务以捕获日志并在一个易于导航的仪表板中显示系统运行状况。
Azure SQL 数据库通常通过 SQL Server Management Studio(SSMS)进行管理,该数据库从配置为通过安全 VPN 或 ExpressRoute 连接访问 Azure SQL 数据库的本地计算机运行。 Microsoft建议配置 VPN 或 ExpressRoute 连接,以便管理和数据导入参考体系结构资源组。
此解决方案使用以下 Azure 服务。 部署体系结构的详细信息位于 “部署体系结构 ”部分。
- Application Insights
- Azure Active Directory
- Azure 数据目录
- Azure 磁盘加密
- Azure 事件网格
- Azure Functions(Azure 功能服务)
- Azure Key Vault
- Azure 机器学习
- Azure Monitor (日志)
- Azure 安全中心
- Azure SQL 数据库
- Azure 存储
- Azure 虚拟网络
- (1) /16 网络
- (2) /24 网络
- (2) 网络安全组
- Power BI 仪表板
部署体系结构
以下部分详细介绍了部署和实现元素。
Azure 事件网格: Azure 事件网格 允许客户使用基于事件的体系结构轻松生成应用程序。 用户选择要订阅的 Azure 资源,并为事件处理程序或 Webhook 提供要向其发送事件的终结点。 客户可以通过在创建事件订阅时将查询参数添加到 Webhook URL 来保护 Webhook 终结点。 Azure 事件网格仅支持 HTTPS Webhook 终结点。 Azure 事件网格允许客户控制提供给不同用户的访问权限级别,以执行各种管理作,例如列表事件订阅、创建新订阅和生成密钥。 事件网格利用 Azure 基于角色的访问控制。
Azure Functions: Azure Functions 是一种无服务器计算服务,使用户无需显式预配或管理基础结构即可按需运行代码。 使用 Azure Functions 运行脚本或代码片段,以响应各种事件。
Azure 机器学习: Azure 机器学习 是一种数据科学技术,允许计算机使用现有数据来预测将来的行为、结果和趋势。
Azure 数据目录: 数据目录 使管理数据的用户可以轻松发现和理解数据源。 通用数据源可以注册、标记和搜索财务数据。 数据保留在其现有位置,但其元数据的副本以及对数据源位置的引用都将添加到数据目录中。 此元数据还会编制索引,方便通过搜索功能轻松发现每个数据源,并让发现数据源的用户理解该数据源。
虚拟网络
该体系结构定义了地址空间为 10.200.0.0/16 的专用虚拟网络。
网络安全组: 网络安全组 包含允许或拒绝虚拟网络中流量的访问控制列表。 网络安全组可用于保护子网或单个 VM 级别的流量。 存在以下网络安全组:
- Active Directory 的网络安全组
- 工作负荷的网络安全组
每个网络安全组都打开了特定的端口和协议,以便解决方案可以安全地正常工作。 此外,还为每个网络安全组启用了以下配置:
- 诊断日志和事件 已启用并存储在存储帐户中
- Azure Monitor 日志已连接到 网络安全组的诊断日志
子网:每个子网都与其相应的网络安全组相关联。
传输中的数据
默认情况下,Azure 会加密与 Azure 数据中心之间的所有通信。 通过 Azure 门户向 Azure 存储的所有事务都通过 HTTPS 进行。
静止的数据
该体系结构通过加密、数据库审核和其他措施保护静态数据。
Azure 存储:为了满足静态加密数据的要求,所有 Azure 存储 都使用 存储服务加密。 这有助于保护数据,以支持 FFIEC 定义的组织安全承诺和合规性要求。
Azure 磁盘加密: Azure 磁盘加密 利用 Windows 的 BitLocker 功能为数据磁盘提供卷加密。 该解决方案与 Azure Key Vault 集成,可帮助控制和管理磁盘加密密钥。
Azure SQL 数据库:Azure SQL 数据库实例使用以下数据库安全措施:
- Active Directory 身份验证和授权 允许在一个中心位置管理数据库用户和其他Microsoft服务。
- SQL 数据库审核 跟踪数据库事件,并将其写入 Azure 存储帐户中的审核日志。
- Azure SQL 数据库配置为使用 透明数据加密,该加密对数据库、关联的备份和事务日志文件执行实时加密和解密,以保护静态信息。 透明数据加密可确保存储的数据不受未经授权的访问。
- 防火墙规则 会阻止对数据库服务器的所有访问,直到授予适当的权限。 防火墙基于每个请求的起始 IP 地址授予数据库访问权限。
- SQL 威胁检测 通过为可疑数据库活动、潜在漏洞、SQL 注入攻击和异常数据库访问模式提供安全警报来检测和响应潜在威胁。
- 加密列 可确保敏感数据永远不会在数据库系统中显示为纯文本。 启用数据加密后,只有有权访问密钥的客户端应用程序或应用程序服务器才能访问纯文本数据。
- 扩展属性 可用于停止处理数据主体,因为它允许用户将自定义属性添加到数据库对象,并将数据标记为“已停用”,以支持应用程序逻辑,以防止处理关联的财务数据。
- Row-Level 安全性 允许用户定义策略,以限制对数据的访问以停止处理。
- SQL 数据库动态数据掩码 通过将数据屏蔽给非特权用户或应用程序来限制敏感数据暴露。 动态数据掩码可以自动发现潜在的敏感数据,并建议应用适当的掩码。 这有助于识别和减少对数据的访问,以便它不会通过未经授权的访问退出数据库。 客户负责调整动态数据掩码设置,以遵守其数据库架构。
标识管理
以下技术提供管理对 Azure 环境中数据的访问的功能:
- Azure Active Directory 是Microsoft多租户基于云的目录和标识管理服务。 此解决方案的所有用户都在 Azure Active Directory 中创建,包括访问 Azure SQL 数据库的用户。
- 使用 Azure Active Directory 对应用程序进行身份验证。 有关详细信息,请参阅 将应用程序与 Azure Active Directory 集成。 此外,数据库列加密使用 Azure Active Directory 向 Azure SQL 数据库验证应用程序。 有关详细信息,请参阅如何 保护 Azure SQL 数据库中的敏感数据。
- Azure 基于角色的访问控制 使管理员能够定义精细的访问权限,以仅授予用户执行其作业所需的访问权限量。 管理员可以仅允许某些操作来访问数据,而不是为每个用户授予对 Azure 资源的不受限制的权限。 订阅访问权限仅限于订阅管理员。
- Azure Active Directory Privileged Identity Management 使客户能够最大程度地减少有权访问特定信息的用户数。 管理员可以使用 Azure Active Directory Privileged Identity Management 发现、限制和监视特权标识及其对资源的访问。 此功能还可用于在需要时强制实施按需实时管理访问。
- Azure Active Directory 标识保护 可检测影响组织标识的潜在漏洞,配置对检测到的与组织标识相关的可疑作的自动响应,并调查可疑事件以采取适当措施解决这些问题。
安全
机密管理:解决方案使用 Azure Key Vault 管理密钥和机密。 Azure Key Vault 帮助保护云应用程序和服务使用的加密密钥和机密。 以下 Azure Key Vault 功能可帮助客户保护和访问此类数据:
- 高级访问策略根据需要进行配置。
- Key Vault 访问策略通过定义对密钥和机密所需的最低权限来进行设置。
- Key Vault 中的所有密钥和机密都有到期日期。
- Key Vault 中的所有密钥都受专用硬件安全模块的保护。 密钥类型是受 HSM 保护的 2048 位 RSA 密钥。
- 使用基于角色的访问控制授予所有用户和标识所需的最低权限。
- Key Vault 的诊断日志已启用,保留期至少为 365 天。
- 允许的加密操作仅限于所需的操作。
Azure 安全中心:使用 Azure 安全中心,客户可以集中应用和管理跨工作负载的安全策略,限制威胁的暴露,并检测和响应攻击。 此外,Azure 安全中心访问 Azure 服务的现有配置,以提供配置和服务建议,以帮助改善安全状况和保护数据。
Azure 安全中心使用各种检测功能来提醒客户针对其环境的潜在攻击。 这些警报包含有关触发警报的内容、目标资源和攻击源的宝贵信息。 Azure 安全中心有一组 预定义的安全警报,这些警报是在发生威胁或可疑活动时触发的。 Azure 安全中心中的自定义警报规则允许客户根据已从其环境中收集的数据定义新的安全警报。
Azure 安全中心提供优先的安全警报和事件,使客户发现和解决潜在安全问题变得更简单。 为每个检测到 的威胁生成威胁情报报告 ,以帮助事件响应团队调查和修正威胁。
日志记录和审核
Azure 服务广泛记录系统和用户活动,以及系统运行状况:
- 活动日志:活动日志 提供关于在订阅中对资源执行操作的见解。 活动日志可以帮助确定作的发起程序、发生时间和状态。
- 诊断日志: 诊断日志 包括每个资源发出的所有日志。 这些日志包括 Windows 事件日志、Azure 存储日志、Key Vault 审核日志以及应用程序网关访问和防火墙日志。 所有诊断日志写入集中式加密的 Azure 存储帐户进行存档。 保留期是用户可配置的,最长为 730 天,以满足组织特定的保留要求。
Azure Monitor 日志:这些日志合并在 Azure Monitor 日志 中,用于处理、存储和仪表板报告。 收集后,数据将组织成 Log Analytics 工作区中每种数据类型的单独表,从而允许所有数据一起分析,而不考虑其原始源。 此外,Azure 安全中心与 Azure Monitor 日志集成,允许客户使用 Kusto 查询访问其安全事件数据,并将其与其他服务中的数据合并。
以下 Azure 监视解决方案 作为此体系结构的一部分包含在内:
- Active Directory 评估:Active Directory 运行状况检查解决方案定期评估服务器环境的风险和运行状况,并提供特定于已部署服务器基础结构的建议的优先列表。
- SQL 评估:SQL 运行状况检查解决方案定期评估服务器环境的风险和运行状况,并为客户提供特定于已部署服务器基础结构的建议的优先列表。
- 代理运行状况:代理运行状况解决方案报告部署了多少个代理及其地理分布,以及有多少代理无响应,以及正在提交作数据的代理数。
- 活动日志分析:活动日志分析解决方案帮助客户分析所有 Azure 订阅中的 Azure 活动日志。
Azure 自动化:Azure 自动化 存储、运行和管理运行手册。 在此解决方案中,Runbook 可帮助从 Azure SQL 数据库收集日志。 自动化 更改跟踪 解决方案使客户能够轻松识别环境中的更改。
Azure Monitor: Azure Monitor 通过使组织能够审核、创建警报和存档数据(包括跟踪 Azure 资源中的 API 调用),帮助用户跟踪性能、维护安全性和确定趋势。
Application Insights: Application Insights 是面向多个平台上的 Web 开发人员的可扩展应用程序性能管理(APM)服务。 它检测性能异常情况,并提供强大的分析工具,以帮助诊断问题,并了解用户实际如何使用应用。 它旨在帮助用户不断提高性能和可用性。
威胁模型
此参考体系结构的数据流图可用于 下载,也可以在下面找到。 此模型可以帮助客户了解在进行修改时系统基础结构中的潜在风险点。
合规性文档
Azure 安全性和符合性蓝图 – FFIEC 客户责任矩阵列出了 FFIEC 所需的所有目标。 此矩阵详细说明每个目标的实现是Microsoft、客户还是两者之间共享的责任。
Azure 安全性和符合性蓝图 - FFIEC 数据分析实现矩阵提供有关数据分析体系结构解决哪些 FFIEC 目标的信息,包括有关实现如何满足每个涵盖目标要求的详细说明。
指导和建议
VPN 和 ExpressRoute
需要将安全 VPN 隧道或 ExpressRoute 配置为安全地建立与作为此数据分析参考体系结构一部分部署的资源的连接。 通过适当设置 VPN 或 ExpressRoute,客户可以为传输中的数据添加一层保护。
通过使用 Azure 实现安全 VPN 隧道,可以创建本地网络与 Azure 虚拟网络之间的虚拟专用连接。 此连接通过 Internet 进行,并允许客户在客户网络与 Azure 之间的加密链接内安全地传输信息。 站点到站点 VPN 是一种安全成熟的技术,几十年来一直由各种规模的企业部署。 此选项中使用 IPsec 隧道模式 作为加密机制。
由于 VPN 隧道中的流量确实会通过 Internet 传输,使用站点到站点 VPN ,Microsoft 还提供了另一种更安全的连接选项。 Azure ExpressRoute 是 Azure 与本地位置或 Exchange 托管提供商之间的专用 WAN 链接。 由于 ExpressRoute 连接不通过 Internet,这些连接提供比通过 Internet 的典型连接更高的可靠性、更快的速度、更低的延迟和更高的安全性。 此外,由于这是客户的电信提供商的直接连接,因此数据不会通过 Internet 传输,因此不会公开这些数据。
实现将本地网络扩展到 Azure 的安全混合网络的最佳做法 可用。
提取:Transform-Load 过程
PolyBase 可以将数据加载到 Azure SQL 数据库中,而无需单独的提取、转换、加载或导入工具。 PolyBase 允许通过 T-SQL 查询访问数据。 Microsoft的商业智能和分析堆栈以及与 SQL Server 兼容的第三方工具可用于 PolyBase。
Azure Active Directory 设置
Azure Active Directory 对于管理部署和向与环境交互的人员预配访问权限至关重要。 现有 Windows Server Active Directory 可在 四次单击中与 Azure Active Directory 集成。 客户还可以通过将已部署的 Active Directory 基础结构(域控制器)绑定到现有的 Azure Active Directory,方法是将部署的 Active Directory 基础结构设置为 Azure Active Directory 林的子域。
免责声明
- 本文档仅供参考。 MICROSOFT对本文档中的信息不作任何明示、默示或法定保证。 本文件被提供为“as-is”。本文档中表达的信息和观点(包括 URL 和其他互联网网站引用)可能会在不通知的情况下更改。 阅读本文档的客户承担使用它的风险。
- 本文档不向客户提供任何Microsoft产品或解决方案中的任何知识产权的任何法律权利。
- 客户可以复制本文档并将其用于内部参考目的。
- 本文档中的某些建议可能会导致 Azure 中的数据、网络或计算资源使用量增加,并可能会增加客户的 Azure 许可证或订阅成本。
- 此体系结构旨在作为客户调整其特定需求的基础,不应在生产环境中使用 as-is。
- 本文档是作为参考开发的,不应用于定义客户能够满足特定合规性要求和法规的所有手段。 客户应从其客户组织寻求有关已批准的客户执行的法律支持。