Šifrování dat ve službě Azure Cosmos DB

  • Článek

PLATÍ PRO: NoSQL MongoDB Cassandra Gremlin Tabulka

Šifrování neaktivních uložených dat je fráze, která běžně označuje šifrování dat na nevolatilních úložných zařízeních, jako jsou jednotky SSD (Solid-State Drive) a pevné disky (HDD). Azure Cosmos DB ukládá své primární databáze na disky SSD. Jeho multimediální přílohy a zálohy jsou uložené ve službě Azure Blob Storage, které jsou obecně zálohovány pevnými disky. Při uvolnění neaktivního šifrování pro službu Azure Cosmos DB se všechny databáze, přílohy médií a zálohy šifrují. Vaše data se teď šifrují při přenosu (přes síť) a neaktivních uložených dat (nevolatilní úložiště) a poskytují kompletní šifrování.

Jako platforma jako služba (PaaS) je služba Azure Cosmos DB snadno použitelná. Protože všechna uživatelská data uložená ve službě Azure Cosmos DB jsou neaktivní uložená a přenášená šifrována, nemusíte provádět žádnou akci. Jinými slovy, šifrování neaktivních uložených dat je ve výchozím nastavení zapnuté. Nejsou k dispozici žádné ovládací prvky, které by bylo možné vypnout nebo zapnout. Azure Cosmos DB používá šifrování AES-256 ve všech oblastech, ve kterých je účet spuštěný.

Tuto funkci poskytujeme, i když i nadále splňujeme smlouvy o úrovni služeb (SLA) o dostupnosti a výkonu. Data uložená ve vašem účtu služby Azure Cosmos DB se automaticky a bezproblémově šifrují pomocí klíčů spravovaných Microsoftem (klíče spravované službou). Volitelně můžete přidat druhou vrstvu šifrování s vlastními klíči, jak je popsáno v článku o klíčích spravovaných zákazníkem.

Implementace neaktivních uložených šifrování pro službu Azure Cosmos DB

Šifrování neaktivních uložených dat se implementuje pomocí několika technologií zabezpečení, včetně systémů zabezpečeného úložiště klíčů, šifrovaných sítí a kryptografických rozhraní API. Systémy, které dešifrují a zpracovávají data, musí komunikovat se systémy, které spravují klíče. Diagram znázorňuje, jak jsou oddělená úložiště šifrovaných dat a správa klíčů.

Diagram that shows data storage and key management design.

Základním tokem požadavku uživatele je:

  • Účet uživatelské databáze je připravený a klíče úložiště se načtou prostřednictvím požadavku na poskytovatele prostředků služby pro správu.
  • Uživatel vytvoří připojení ke službě Azure Cosmos DB přes https/zabezpečený přenos. (Sady SDK abstrahuje podrobnosti.)
  • Uživatel odešle dokument JSON, který se uloží přes dříve vytvořené zabezpečené připojení.
  • Dokument JSON se indexuje, pokud uživatel nevypněte indexování.
  • Dokument JSON i data indexu se zapisují do zabezpečeného úložiště.
  • Pravidelně se data čtou ze zabezpečeného úložiště a zálohují se do úložiště objektů blob Azure Encrypted.

Nejčastější dotazy

Najděte odpovědi na nejčastější dotazy týkající se šifrování.

Kolik stojí Azure Storage, pokud je povolené šifrování služby Storage?

Nejsou žádné další náklady.

Kdo spravuje šifrovací klíče?

Data uložená ve vašem účtu služby Azure Cosmos DB se automaticky a bezproblémově šifrují pomocí klíčů spravovaných Microsoftem pomocí klíčů spravovaných službou. Volitelně můžete přidat druhou vrstvu šifrování pomocí klíčů, které spravujete pomocí klíčů spravovaných zákazníkem.

Jak často se šifrovací klíče obměňují?

Microsoft má sadu interních pokynů pro obměnu šifrovacích klíčů, kterou azure Cosmos DB sleduje. Konkrétní pokyny se nepublikuje. Microsoft publikuje životní cyklus vývoje zabezpečení, který se považuje za podmnožinu interních pokynů a má užitečné osvědčené postupy pro vývojáře.

Můžu použít vlastní šifrovací klíče?

Ano, tato funkce je k dispozici pro nové účty Azure Cosmos DB. Měla by být nasazena při vytváření účtu. Další informace najdete v dokumentu klíčů spravovaných zákazníkem.

Upozorňující

Následující názvy polí jsou vyhrazené pro tabulky rozhraní API Cassandra v účtech pomocí klíčů spravovaných zákazníkem:

  • id
  • ttl
  • _ts
  • _etag
  • _rid
  • _self
  • _attachments
  • _epk

Pokud klíče spravované zákazníkem nejsou povolené, jsou vyhrazeny pouze názvy polí začínající na zákazníky __sys_ .

Které oblasti mají zapnuté šifrování?

Všechny oblasti Azure Cosmos DB mají zapnuté šifrování pro všechna uživatelská data.

Má šifrování vliv na latenci výkonu a smlouvy SLA propustnosti?

Smlouvy SLA výkonu se nijak nemění, protože šifrování neaktivních uložených dat je teď povolené pro všechny existující a nové účty. Nejnovější záruky najdete v tématu SLA pro Azure Cosmos DB.

Podporuje místní emulátor šifrování neaktivních uložených dat?

Emulátor je samostatný nástroj pro vývoj/testování a nepoužívá služby správy klíčů, které spravovaná služba Azure Cosmos DB používá. Doporučujeme povolit BitLocker na jednotkách, kde ukládáte citlivá testovací data emulátoru. Emulátor podporuje změnu výchozího datového adresáře a použití dobře známého umístění.

Další kroky

  • Další informace o přidání druhé vrstvy šifrování s vlastními klíči najdete v článku klíče spravované zákazníkem.
  • Přehled zabezpečení služby Azure Cosmos DB a nejnovějších vylepšení najdete v tématu Zabezpečení databáze Azure Cosmos DB.
  • Další informace o certifikacích Microsoftu najdete v Centru zabezpečení Azure.