您的数据在 Azure VM 中的安全性如何
How Safe is your data in Azure VM
我们将拥有一个新的业务系统,我正试图说服我的老板将其托管在中国的云上,因为那里有业务,即:Azure、AWS 等。他担心数据机密性而且他不希望公司的财务信息泄露出去。软件供应商还建议我们建立自己的数据中心,如果我们非常关心数据机密性的话。这让我更加难以说服他。他的印象是在中国什么都可以做。
我知道 Azure SQL 不适合我,因为即使我实施了 TDE(无法使用 Always Encrypt),主机管理员仍然拥有控制权。现在我正在查看我可以完全控制的 VM - 在 VM 级别上。我也可以使用磁盘加密。将其与 SSL 等其他安全措施相结合,我希望这将提高数据的安全性,无论是传输中的还是静止的。我的理解正确吗?
话虽如此,Azure 管理员仍然可以覆盖 VM 上设置的任何内容并完全接管 VM 吗?
尽管这在技术上是可行的,但如果这需要很多努力(收益 < 努力),它仍然值得尝试。
任何建议将不胜感激。
如果您想更好地控制 IaaS 服务而不是 PaaS 服务。您可以更好地控制 IaaS。如果您使用 Windows OS,您可以使用 Bit loker 来加密您的磁盘。中国数据中心也符合行业特定标准。对您的客户数据的访问由中国的一家独立公司 21Vianet 控制。如果没有 21Vianet 的批准和监督,即使是 Microsoft 也无法访问您的数据。我认为没有太大的风险,但您必须实施比 Azure 提供的更多安全机制才能获得更好的安全性。
Azure 级别的管理员只需登录到您的 VM,无论其是否加密(或解密,就此而言)都无关紧要。你无法真正保护自己不受组织内部某人做他不应该做的事情的影响(你可以在某种程度上使用特权身份管理、适当的 RBAC 等)。
如果您谈论的是 Azure Fabric 管理员(因此在这种情况下为 Microsoft 或中国公司工作的人)。显然,他可以拉出硬盘驱动器并访问您的数据,但它是静态加密的。他很可能无法解密它。如果您使用您自己的一组密钥使用 Azure 磁盘加密(或透明数据加密)加密 VM,他将无法解密数据,即使他可以以某种方式通过 Azure 端加密
我们将拥有一个新的业务系统,我正试图说服我的老板将其托管在中国的云上,因为那里有业务,即:Azure、AWS 等。他担心数据机密性而且他不希望公司的财务信息泄露出去。软件供应商还建议我们建立自己的数据中心,如果我们非常关心数据机密性的话。这让我更加难以说服他。他的印象是在中国什么都可以做。
我知道 Azure SQL 不适合我,因为即使我实施了 TDE(无法使用 Always Encrypt),主机管理员仍然拥有控制权。现在我正在查看我可以完全控制的 VM - 在 VM 级别上。我也可以使用磁盘加密。将其与 SSL 等其他安全措施相结合,我希望这将提高数据的安全性,无论是传输中的还是静止的。我的理解正确吗?
话虽如此,Azure 管理员仍然可以覆盖 VM 上设置的任何内容并完全接管 VM 吗?
尽管这在技术上是可行的,但如果这需要很多努力(收益 < 努力),它仍然值得尝试。
任何建议将不胜感激。
如果您想更好地控制 IaaS 服务而不是 PaaS 服务。您可以更好地控制 IaaS。如果您使用 Windows OS,您可以使用 Bit loker 来加密您的磁盘。中国数据中心也符合行业特定标准。对您的客户数据的访问由中国的一家独立公司 21Vianet 控制。如果没有 21Vianet 的批准和监督,即使是 Microsoft 也无法访问您的数据。我认为没有太大的风险,但您必须实施比 Azure 提供的更多安全机制才能获得更好的安全性。
Azure 级别的管理员只需登录到您的 VM,无论其是否加密(或解密,就此而言)都无关紧要。你无法真正保护自己不受组织内部某人做他不应该做的事情的影响(你可以在某种程度上使用特权身份管理、适当的 RBAC 等)。
如果您谈论的是 Azure Fabric 管理员(因此在这种情况下为 Microsoft 或中国公司工作的人)。显然,他可以拉出硬盘驱动器并访问您的数据,但它是静态加密的。他很可能无法解密它。如果您使用您自己的一组密钥使用 Azure 磁盘加密(或透明数据加密)加密 VM,他将无法解密数据,即使他可以以某种方式通过 Azure 端加密