Adatok titkosítása Azure Data Lake Storage Gen1-ben

  • Cikk
  • 6 perc alatt elolvasható

A Azure Data Lake Storage Gen1 titkosítása segít az adatok védelmében, a vállalati biztonsági szabályzatok megvalósításában és a jogszabályi megfelelőségi követelményeknek való megfelelésben. Ez a cikk áttekintést nyújt a kialakításról, és ismerteti az implementálás egyes technikai aspektusait.

Data Lake Storage Gen1 támogatja az inaktív és az átvitel alatt álló adatok titkosítását. Inaktív adatok esetén Data Lake Storage Gen1 támogatja az "alapértelmezés szerint bekapcsolva" transzparens titkosítást. Kicsit részletesebben kifejtve ez az alábbiakat jelenti:

  • Alapértelmezés szerint bekapcsolva: Új Data Lake Storage Gen1-fiók létrehozásakor az alapértelmezett beállítás engedélyezi a titkosítást. Ezt követően a Data Lake Storage Gen1 tárolt adatok mindig titkosítva lesznek az állandó adathordozón való tárolás előtt. Minden adatnál ez lesz a viselkedés, és ez nem módosítható egy fiók létrehozása után.
  • Transzparens: Data Lake Storage Gen1 automatikusan titkosítja az adatokat a megőrzés előtt, és visszafejti az adatokat a lekérés előtt. A titkosítást egy rendszergazda konfigurálja és kezeli Data Lake Storage Gen1 fiók szintjén. Az adathozzáférési API-k nem módosulnak. Így a titkosítás miatt nem szükséges módosításokat végezni az Data Lake Storage Gen1 használó alkalmazásokban és szolgáltatásokban.

Az átvitt adatok (más néven mozgásban lévő adatok) mindig titkosítva Data Lake Storage Gen1. Amellett, hogy az adatok titkosítása az állandó adathordozón való tárolás előtt történik meg, az átvitt adatok is mindig titkosítva vannak HTTPS segítségével. A HTTPS az egyetlen protokoll, amelyet a Data Lake Storage Gen1 REST-felületek támogatnak. Az alábbi diagram bemutatja, hogyan lesznek titkosítva az adatok Data Lake Storage Gen1:

Diagram of data encryption in Data Lake Storage Gen1

Titkosítás beállítása Data Lake Storage Gen1

A Data Lake Storage Gen1 titkosítása a fiók létrehozásakor van beállítva, és alapértelmezés szerint mindig engedélyezve van. A kulcsokat saját maga is kezelheti, vagy engedélyezheti Data Lake Storage Gen1 számára azokat (ez az alapértelmezett).

További részletekért lásd az első lépéseket.

A titkosítás működése Data Lake Storage Gen1

Az alábbi információk a fő titkosítási kulcsok kezelésének módját ismertetik, valamint ismerteti a Data Lake Storage Gen1 adattitkosításában használható három különböző kulcstípust.

Titkosítási főkulcsok

Data Lake Storage Gen1 két módot biztosít a fő titkosítási kulcsok (MEK-k) kezelésére. Jelen esetben azt feltételezzük, hogy a titkosítási főkulcs a legfelső szintű kulcs. A fő titkosítási kulcshoz való hozzáférés szükséges a Data Lake Storage Gen1 tárolt adatok visszafejtéséhez.

A titkosítási főkulcs kezelésének kétféle módja a következő:

  • Szolgáltatás által kezelt kulcsok
  • Felhasználó által kezelt kulcsok

A titkosítási főkulcs mindkét mód esetében az Azure Key Vaultban van biztonságosan tárolva. A Key Vault az Azure teljes körűen felügyelt, magas biztonsági szinten lévő szolgáltatása, amely biztosítja a titkosítási kulcsok védelmét. További információkért lásd a Key Vaultról szóló cikket.

Az alábbiakban röviden összehasonlítjuk a kétféle mód MEK-kezelési képességét.

Kérdés Szolgáltatás által kezelt kulcsok Felhasználó által kezelt kulcsok
Hogyan történik az adatok tárolása? Mindig titkosítva a tárolást megelőzően. Mindig titkosítva a tárolást megelőzően.
Hol történik a titkosítási főkulcs tárolása? Key Vault Key Vault
Létezik-e titkosítatlanul, a Key Vaulton kívül tárolt titkosítási kulcs? Nem Nem
Beolvasható a MEK a Key Vaultba? Nem. A MEK a Key Vaultban történő tárolása után kizárólag titkosításra és visszafejtésre használható. Nem. A MEK a Key Vaultban történő tárolása után kizárólag titkosításra és visszafejtésre használható.
Kié a Key Vault-példány és a titkosítási főkulcs? A Data Lake Storage Gen1 szolgáltatás A Key Vault-példány az Öné, és az Ön Azure-előfizetéséhez tartozik. A Key Vaultban lévő MEK szoftver vagy hardver által felügyelt lehet.
Vissza tudja vonni a mek-hez való hozzáférést a Data Lake Storage Gen1 szolgáltatáshoz? Nem Igen. Kezelheti a hozzáférés-vezérlési listákat Key Vault, és eltávolíthatja a szolgáltatás identitásának hozzáférés-vezérlési bejegyzéseit a Data Lake Storage Gen1 szolgáltatáshoz.
Törölhető véglegesen a titkosítási főkulcs? Nem Igen. Ha törli a MEK-t a Key Vault, a Data Lake Storage Gen1-fiókban lévő adatokat senki nem tudja visszafejteni, beleértve a Data Lake Storage Gen1 szolgáltatást is.

Ha készült kifejezett biztonsági mentés a MEK-ről a Key Vaultból történő törlést megelőzően, akkor a kulcs, majd pedig az adatok visszaállíthatók. Ha azonban nem biztonsági másolatot készít a MEK-ról, mielőtt Key Vault-ból törli, a Data Lake Storage Gen1-fiókban lévő adatok ezután soha nem fejthetők vissza.

Ezen, a MEK kezelőjét és a Key Vault-példány elhelyezkedését illető eltérésen kívül a kialakítás a két mód esetében megegyezik.

A titkosítási főkulcsok kezelési módjának megválasztásakor fontos szem előtt tartani a következőket:

  • A Data Lake Storage Gen1-fiók kiépítésekor kiválaszthatja, hogy az ügyfél által felügyelt kulcsokat vagy a szolgáltatás által kezelt kulcsokat használja-e.
  • A Data Lake Storage Gen1-fiók kiépítése után a mód nem módosítható.

Adattitkosítás és -visszafejtés

Az adattitkosítás során háromféle kulcsot használunk. A következő táblázat az összefoglalást tartalmazza:

Kulcs Rövidítés Társítva ezzel: Tárolási hely Típus Jegyzetek
Titkosítási főkulcs MEK Egy Data Lake Storage Gen1-fiók Key Vault Aszimmetrikus Ezt Data Lake Storage Gen1 vagy Ön kezelheti.
Adattitkosítási kulcs DEK Egy Data Lake Storage Gen1-fiók Állandó tároló, amelyet a Data Lake Storage Gen1 szolgáltatás kezel Szimmetrikus A DEK titkosítását a MEK végzi. A szolgáltatás a titkosított DEK-et tárolja az állandó adathordozón.
Blokktitkosítási kulcs BEK Egy adatblokk None Szimmetrikus A blokktitkosítási kulcsot az adattitkosítási kulcsból és az adatblokkból származtatjuk.

Az alapelveket a következő ábra mutatja be:

Keys in data encryption

A fájl visszafejtésekor használatos pszeudoalgoritmus:

  1. Ellenőrizze, hogy a Data Lake Storage Gen1-fiók DEK gyorsítótárazott-e és használatra kész-e.
    • Ha nem, olvassa ki a titkosított adattitkosítási kulcsot az állandó tárolóból, és visszafejtésre küldje el a Key Vaultba. Gyorsítótárazza a visszafejtett adattitkosítási kulcsot. A fájl ezzel használatra kész.
  2. A fájl minden adatblokkja esetében:
    • Olvassa ki a titkosított adatblokkot az állandó tárolóból.
    • Hozza létre a blokktitkosítási kulcsot az adattitkosítási kulcsból és a titkosított adatblokkból.
    • A blokktitkosítási kulcs használatával fejtse vissza az adatokat.

Az adatblokk titkosításakor használatos pszeudoalgoritmus:

  1. Ellenőrizze, hogy a Data Lake Storage Gen1-fiók DEK gyorsítótárazott-e és használatra kész-e.
    • Ha nem, olvassa ki a titkosított adattitkosítási kulcsot az állandó tárolóból, és visszafejtésre küldje el a Key Vaultba. Gyorsítótárazza a visszafejtett adattitkosítási kulcsot. A fájl ezzel használatra kész.
  2. Hozzon létre egy egyedi blokktitkosítási kulcsot az adatblokk számára az adattitkosítási kulcsból.
  3. AES-256 titkosítással végezze el a blokktitkosítási kulccsal ellátott adatblokk titkosítását.
  4. A titkosított adatblokk az állandó tárolóban lesz tárolva.

Megjegyzés

A MEK mindig titkosítva tárolja az adattitkosítási kulcsot, függetlenül attól, hogy a tárolás állandó adathordozón vagy a memória-gyorsítótárban történik.

Kulcsrotálás

Felhasználó által kezelt kulcsok használata esetén a titkosítási főkulcs rotálható. Ha szeretné megtudni, hogyan állíthat be Data Lake Storage Gen1-fiókot ügyfél által kezelt kulcsokkal, olvassa el az Első lépések című témakört.

Előfeltételek

A Data Lake Storage Gen1 fiók beállításakor a saját kulcsait választotta. A fiók létrehozása után ez a beállítás már nem módosítható. Az alábbi lépések során azt feltételezzük, hogy felhasználó által kezelt (tehát a Key Vaultból saját maga által kiválasztott) kulcsokat használ.

Vegye figyelembe, hogy ha az alapértelmezett titkosítási beállításokat használja, az adatok titkosítása mindig a Data Lake Storage Gen1 által kezelt kulcsokkal történik. Ebben a beállításban nem tudja elforgatni a kulcsokat, mivel azokat Data Lake Storage Gen1 kezeli.

A MEK elforgatása Data Lake Storage Gen1

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg azt a Key Vault példányt, amely a Data Lake Storage Gen1-fiókjához társított kulcsokat tárolja. Válassza a Kulcsok lehetőséget.

    Screenshot of Key Vault

  3. Válassza ki a Data Lake Storage Gen1-fiókjához társított kulcsot, és hozza létre a kulcs új verzióját. Vegye figyelembe, hogy Data Lake Storage Gen1 jelenleg csak a kulcsok új verziójára történő kulcsrotálást támogatja. A más kulcsra történő kulcsrotálás nem támogatott.

    Screenshot of Keys window, with New Version highlighted

  4. Keresse meg a Data Lake Storage Gen1 fiókot, és válassza a Titkosítás lehetőséget.

    Screenshot of Data Lake Storage Gen1 account window, with Encryption highlighted

  5. Megjelenik egy tájékoztató üzenet arról, hogy a kulcs egy új verziója érhető el. A kulcs új verzióra történő frissítéséhez kattintson a Kulcs rotálása lehetőségre.

    Screenshot of Data Lake Storage Gen1 window with message and Rotate Key highlighted

Ez a művelet kevesebb mint két percet vehet igénybe, és a kulcsrotálás nem jár várt leállással. A művelet befejezését követően a kulcs új verziója lesz használatban.

Fontos

A kulcsrotálási művelet befejezése után a rendszer a kulcs régi verzióját már nem használja aktívan az új adatok titkosításához. Előfordulhatnak azonban olyan esetek, amikor a régebbi adatok eléréséhez szükség lehet a régi kulcsra. Az ilyen régebbi adatok olvasásának lehetővé tétele érdekében ne törölje a régi kulcsot