Šifrování dat v Azure Data Lake Storage Gen1

  • Článek

Šifrování v Azure Data Lake Storage Gen1 pomáhá chránit vaše data, implementovat podnikové zásady zabezpečení a splňovat požadavky na dodržování právních předpisů. Tento článek poskytuje přehled návrhu a popisuje některé technické aspekty implementace.

Data Lake Storage Gen1 podporuje šifrování neaktivních uložených dat i přenášených dat. U neaktivních uložených dat Data Lake Storage Gen1 podporuje ve výchozím nastavení transparentní šifrování zapnuto. Tady je podrobnější vysvětlení významu těchto termínů:

  • Ve výchozím nastavení zapnuto: Když vytvoříte nový účet Data Lake Storage Gen1, výchozí nastavení povolí šifrování. Poté se data uložená v Data Lake Storage Gen1 před uložením na trvalé médium vždy zašifrují. Toto chování platí pro veškerá data a po vytvoření účtu nejde změnit.
  • Transparentní: Data Lake Storage Gen1 automaticky šifruje data před uložením a dešifruje je před načtením. Šifrování konfiguruje a spravuje správce na úrovni účtu Data Lake Storage Gen1. Rozhraní API pro přístup k datům se nemění. Proto se v aplikacích a službách, které pracují s Data Lake Storage Gen1 kvůli šifrování, nevyžadují žádné změny.

Přenášená data (označovaná také jako přenášená data) jsou také vždy šifrovaná v Data Lake Storage Gen1. Kromě šifrování dat před uložením na trvalé médium se také vždy šifrují přenášená data pomocí protokolu HTTPS. HTTPS je jediný protokol, který se podporuje pro rozhraní REST Data Lake Storage Gen1. Následující diagram znázorňuje, jak se data šifrují v Data Lake Storage Gen1:

Diagram šifrování dat v Data Lake Storage Gen1

Nastavení šifrování pomocí Data Lake Storage Gen1

Šifrování pro Data Lake Storage Gen1 se nastavuje při vytváření účtu a ve výchozím nastavení je vždy povolené. Klíče můžete spravovat buď sami, nebo povolit Data Lake Storage Gen1, aby je spravoval za vás (toto je výchozí nastavení).

Další informace najdete v tématu Začínáme.

Jak funguje šifrování v Data Lake Storage Gen1

Následující informace popisují, jak spravovat hlavní šifrovací klíče, a vysvětlují tři různé typy klíčů, které můžete použít při šifrování dat pro Data Lake Storage Gen1.

Hlavní šifrovací klíče

Data Lake Storage Gen1 poskytuje dva režimy správy hlavních šifrovacích klíčů (MEK). Prozatím předpokládejme, že hlavní šifrovací klíč je klíč nejvyšší úrovně. K dešifrování všech dat uložených v Data Lake Storage Gen1 se vyžaduje přístup k hlavnímu šifrovacímu klíči.

Pro správu hlavních šifrovacích klíčů existují tyto dva režimy:

  • Klíče spravované službou
  • Klíče spravované zákazníkem

V obou režimech je hlavní šifrovací klíč zabezpečen uložením ve službě Azure Key Vault. Key Vault je plně spravovaná, vysoce zabezpečená služba v Azure, kterou můžete použít k bezpečnému ukládání kryptografických klíčů. Další informace najdete v tématu Key Vault.

Tady je stručné porovnání možností, které nabízí dva režimy správy hlavních šifrovacích klíčů.

Otázka Klíče spravované službou Klíče spravované zákazníkem
Jak se data ukládají? Před uložením se vždy šifrují. Před uložením se vždy šifrují.
Kde je uložený hlavní šifrovací klíč? Key Vault Key Vault
Jsou nějaké šifrovací klíče uložené v nezašifrované podobě mimo službu Key Vault? No No
Může služba Key Vault načíst hlavní šifrovací klíč? No. Po uložení hlavního šifrovacího klíče ve službě Key Vault ho lze použít pouze k šifrování a dešifrování. No. Po uložení hlavního šifrovacího klíče ve službě Key Vault ho lze použít pouze k šifrování a dešifrování.
Kdo je vlastníkem instance služby Key Vault a hlavního šifrovacího klíče? Služba Data Lake Storage Gen1 Vlastníte instanci služby Key Vault, která patří do vašeho předplatného Azure. Hlavní šifrovací klíč ve službě Key Vault může být spravovaný softwarem nebo hardwarem.
Můžete odvolat přístup k hlavnímu klíči pro službu Data Lake Storage Gen1? No Yes. V Key Vault můžete spravovat seznamy řízení přístupu a odebírat položky řízení přístupu do identity služby Data Lake Storage Gen1.
Je možné trvale odstranit hlavní šifrovací klíč? No Yes. Pokud odstraníte hlavní šifrovací klíč z Key Vault, nebude moct data v účtu Data Lake Storage Gen1 nikdo dešifrovat, včetně služby Data Lake Storage Gen1.

Pokud jste hlavní šifrovací klíč před odstraněním ze služby Key Vault explicitně zazálohovali, je možné ho obnovit a následně obnovit i data. Pokud jste však před odstraněním hlavního šifrovacího šifrovacího klíči nezálohovali z Key Vault, data v účtu Data Lake Storage Gen1 už nikdy nebude možné dešifrovat.

Kromě tohoto rozdílu, tedy kdo spravuje hlavní šifrovací klíče a instanci služby Key Vault, ve které se nachází, je zbytek návrhu pro oba režimy stejný.

Při výběru režimu pro hlavní šifrovací klíče je důležité pamatovat na následující:

  • Při zřizování účtu Data Lake Storage Gen1 můžete zvolit, jestli se mají používat klíče spravované zákazníkem, nebo klíče spravované službou.
  • Po zřízení účtu Data Lake Storage Gen1 nelze režim změnit.

Šifrování a dešifrování dat

V návrhu šifrování dat používají tři typy klíčů. Následující tabulka poskytuje souhrn:

Klíč Zkratka Přidružený k Umístění úložiště Typ Poznámky
Hlavní šifrovací klíč MEK Účet Data Lake Storage Gen1 Key Vault Asymetrický Spravovat ho může Data Lake Storage Gen1 nebo vy.
Šifrovací klíč dat DEK Účet Data Lake Storage Gen1 Trvalé úložiště spravované službou Data Lake Storage Gen1 Symetrický Klíč DEK je šifrovaný klíčem MEK. Na trvalé médium se ukládá šifrovaný klíč DEK.
Šifrovací klíč bloku BEK Blokem dat Žádné Symetrický Klíč BEK je odvozený od klíče DEK a příslušného datového bloku.

Následující diagram znázorňuje tyto koncepty:

Klíče v šifrování dat

Pseudo algoritmus dešifrování souboru:

  1. Zkontrolujte, jestli je klíč DEK pro účet Data Lake Storage Gen1 uložený v mezipaměti a připravený k použití.
    • Pokud není, přečtení šifrovaného klíče DEK z trvalého úložiště a jeho odeslání do služby Key Vault k dešifrování. Uložení dešifrovaného klíče DEK v mezipaměti. Nyní je připraven k použití.
  2. Pro každý blok dat v souboru:
    • Načtení šifrovaného bloku dat z trvalého úložiště.
    • Vygenerování klíče BEK z klíče DEK a šifrovaného bloku dat.
    • Dešifrování dat pomocí klíče BEK.

Pseudo algoritmus šifrování bloku dat:

  1. Zkontrolujte, jestli je klíč DEK pro účet Data Lake Storage Gen1 uložený v mezipaměti a připravený k použití.
    • Pokud není, přečtení šifrovaného klíče DEK z trvalého úložiště a jeho odeslání do služby Key Vault k dešifrování. Uložení dešifrovaného klíče DEK v mezipaměti. Nyní je připraven k použití.
  2. Vygenerování jedinečného klíče BEK pro blok dat z klíče DEK.
  3. Šifrování datového bloku pomocí klíče BEK s použitím šifrování AES-256.
  4. Uložení šifrovaného datového bloku v trvalém úložišti.

Poznámka

Klíč DEK je vždy uložený zašifrovaný klíčem MEK, ať už se jedná o trvalé médium nebo mezipaměť.

Obměna klíčů

Pokud používáte klíče spravované zákazníkem, můžete obměňovat klíč MEK. Informace o tom, jak nastavit účet Data Lake Storage Gen1 s klíči spravovanými zákazníkem, najdete v tématu Začínáme.

Požadavky

Při nastavování účtu Data Lake Storage Gen1 jste se rozhodli používat vlastní klíče. Tuto možnost po vytvoření účtu nejde změnit. Následující postup předpokládá, že používáte klíče spravované zákazníkem (tedy že jste zvolili vlastní klíče ze služby Key Vault).

Mějte na paměti, že pokud použijete výchozí možnosti šifrování, vaše data se vždy šifrují pomocí klíčů spravovaných službou Data Lake Storage Gen1. U této možnosti nemáte možnost klíče obměňovat, protože je spravuje Data Lake Storage Gen1.

Jak otočit hlavní šifrovací klíč v Data Lake Storage Gen1

  1. Přihlaste se k webu Azure Portal.

  2. Přejděte k instanci Key Vault, ve které jsou uložené klíče přidružené k vašemu účtu Data Lake Storage Gen1. Vyberte Klíče.

    Snímek obrazovky služby Key Vault

  3. Vyberte klíč přidružený k vašemu účtu Data Lake Storage Gen1 a vytvořte novou verzi tohoto klíče. Upozorňujeme, že Data Lake Storage Gen1 v současné době podporuje pouze obměnu klíčů na novou verzi klíče. Obměnu za jiný klíč nepodporuje.

    Snímek obrazovky okna Klíče se zvýrazněnou možností Nová verze

  4. Přejděte k účtu Data Lake Storage Gen1 a vyberte Šifrování.

    Snímek obrazovky s oknem účtu Data Lake Storage Gen1 se zvýrazněnou možností Šifrování

  5. Zobrazí se zpráva informující o dostupnosti nové verze klíče. Kliknutím na Obměnit klíč aktualizujte klíč na novou verzi.

    Snímek obrazovky s oknem Data Lake Storage Gen1 se zprávou a zvýrazněnou možností Otočit klávesu

Tato operace by neměla trvat déle než dvě minuty a nemělo by dojít k žádnému výpadku v důsledku obměny klíče. Po dokončení operace se začne používat nová verze klíče.

Důležité

Po dokončení operace obměně klíčů se stará verze klíče přestane aktivně používat k šifrování nových dat. Můžou ale narazit na případy, kdy přístup ke starším datům může vyžadovat starý klíč. Pokud chcete umožnit čtení těchto starších dat, neodstraňovali starý klíč.