Az Azure-titkosítás áttekintése

Ez a cikk áttekintést nyújt a titkosítás használatáról Microsoft Azure. Ez a témakör a titkosítás főbb területeit fedi le, beleértve az inaktív adatok titkosítását, a repülés közbeni titkosítást és az Azure Key Vault kulcskezelését. Minden szakasz részletesebb információkra mutató hivatkozásokat tartalmaz.

Inaktív adatok titkosítása

Az inaktív adatok olyan információkat tartalmaznak, amelyek állandó tárolóban találhatók fizikai adathordozón, bármilyen digitális formátumban. Az adathordozó tartalmazhat mágneses vagy optikai adathordozón tárolt fájlokat, archivált adatokat és biztonsági másolatokat. Microsoft Azure különböző igényeknek megfelelő adattárolási megoldásokat kínál, például fájl-, lemez-, blob- és táblatárolót. A Microsoft titkosítást is biztosít a Azure SQL Database, az Azure Cosmos DB és az Azure Data Lake védelméhez.

Az inaktív adatok titkosítása a szolgáltatott szoftver (SaaS), a szolgáltatásként nyújtott platform (PaaS) és a szolgáltatott infrastruktúra (IaaS) felhőmodelljei számára érhető el. Ez a cikk összefoglalja és forrásokat biztosít az Azure titkosítási lehetőségeinek használatához.

Az inaktív adatok Azure-beli titkosításának részletesebb ismertetéséért lásd: Azure Data Encryption-at-Rest.

Azure-titkosítási modellek

Az Azure támogatja a különböző titkosítási modelleket, például a szolgáltatás által felügyelt kulcsokat használó kiszolgálóoldali titkosítást, az Key Vault ügyfél által felügyelt kulcsait vagy az ügyfél által felügyelt hardveren lévő ügyfél által kezelt kulcsokat. Ügyféloldali titkosítás esetén a kulcsok a helyszínen vagy más biztonságos helyen kezelhetők és tárolhatók.

Ügyféloldali titkosítás

Az ügyféloldali titkosítás az Azure-on kívül történik. A következőket tartalmazza:

• Az ügyfél adatközpontjában vagy egy szolgáltatásalkalmazásban futó alkalmazás által titkosított adatok.
• Az Azure által fogadott adatok már titkosítva lesznek.

Az ügyféloldali titkosítással a felhőszolgáltatók nem férnek hozzá a titkosítási kulcsokhoz, és nem tudják visszafejteni ezeket az adatokat. A kulcsok teljes körű vezérlése ön által is elvégezhető.

Kiszolgálóoldali titkosítás

A három kiszolgálóoldali titkosítási modell különböző kulcskezelési jellemzőket kínál, amelyeket a követelményeknek megfelelően választhat:

• Szolgáltatás által felügyelt kulcsok: A vezérlés és a kényelem kombinációját és az alacsony terhelést biztosítja.

• Ügyfél által kezelt kulcsok: Lehetővé teszi a kulcsok feletti vezérlést, beleértve a saját kulcsok használatát (BYOK) is, vagy lehetővé teszi új kulcsok létrehozását.

• Szolgáltatás által felügyelt kulcsok az ügyfél által vezérelt hardverben: Lehetővé teszi a kulcsok kezelését a saját tárházban, a Microsoft által felügyelten kívül. Ezt a tulajdonságot a Saját kulcs (HOST Your Own Key, HYOK) szolgáltatásnak nevezzük. A konfiguráció azonban összetett, és a legtöbb Azure-szolgáltatás nem támogatja ezt a modellt.

Azure-lemeztitkosítás

A Windows és a Linux rendszerű virtuális gépeket azure-beli lemeztitkosítással védheti, amely Windows BitLocker technológiát és a Linux DM-Cryptet használja az operációsrendszer-lemezek és az adatlemezek teljes kötetes titkosítással történő védelmére.

A titkosítási kulcsok és titkos kódok védelme az Azure Key Vault-előfizetésben biztosított. A Azure Backup szolgáltatással biztonsági másolatot készíthet és visszaállíthat a kulcstitkosítási kulcsot (KEK) használó titkosított virtuális gépeket (VM-eket).

Azure Storage Service Encryption

Az Azure Blob Storage-ban és az Azure-fájlmegosztásokban inaktív adatok kiszolgálóoldali és ügyféloldali forgatókönyvekben is titkosíthatók.

Az Azure Storage Service Encryption (SSE) képes automatikusan titkosítani az adatokat a tárolás előtt, és a lekéréskor automatikusan visszafejti az adatokat. A folyamat teljesen átlátható a felhasználók számára. Storage Service Encryption 256 bites Advanced Encryption Standard (AES) titkosítást használ, amely az egyik legerősebb elérhető blokktitkosítás. Az AES transzparensen kezeli a titkosítást, a visszafejtést és a kulcskezelést.

Azure-blobok ügyféloldali titkosítása

Az Azure-blobok ügyféloldali titkosítása többféleképpen is elvégezhető.

Az Azure Storage .NET NuGet-csomaghoz készült ügyféloldali kódtárral titkosíthatja az ügyfélalkalmazások adatait, mielőtt feltöltené azokat az Azure-tárolóba.

Az Azure Storage .NET NuGet-csomaghoz készült ügyféloldali kódtárával kapcsolatos további információkért és letöltésért tekintse meg Windows Azure Storage 8.3.0-s frissítését.

Ha ügyféloldali titkosítást használ Key Vault, az adatok titkosítása egyszeri szimmetrikus tartalomtitkosítási kulccsal (CEK) történik, amelyet az Azure Storage ügyféloldali SDK hoz létre. A CEK titkosítása kulcstitkosítási kulccsal (KEK) történik, amely szimmetrikus kulcs vagy aszimmetrikus kulcspár lehet. Helyileg is kezelheti, vagy Key Vault tárolhatja. A titkosított adatok ezután feltöltődnek az Azure Storage.

Az ügyféloldali Key Vault titkosításról és az útmutatók használatának első lépéseiről az Oktatóanyag: Blobok titkosítása és visszafejtése az Azure Storage-ban Key Vault használatával című oktatóanyagban talál további információt.

Végül az Azure Storage Java ügyféloldali kódtárával ügyféloldali titkosítást végezhet, mielőtt adatokat tölt fel az Azure Storage, és visszafejtheti az adatokat, amikor letölti azokat az ügyfélre. Ez a kódtár támogatja a tárfiókkulcsok kezeléséhez szükséges Key Vault-integrációt is.

Inaktív adatok titkosítása Azure SQL Database

Azure SQL Database egy általános célú relációsadatbázis-szolgáltatás az Azure-ban, amely olyan struktúrákat támogat, mint a relációs adatok, a JSON, a térbeli és az XML. SQL Database támogatja a kiszolgálóoldali titkosítást a transzparens adattitkosítás (TDE) és az ügyféloldali titkosítást a Always Encrypted szolgáltatáson keresztül.

Transzparens adattitkosítás

A TDE segítségével valós időben titkosíthatja SQL Server, Azure SQL Database és Azure Synapse Analytics-adatfájlokat egy adatbázis-titkosítási kulcs (DEK) használatával, amelyet a rendszer az adatbázis rendszerindítási rekordjában tárol a rendelkezésre állás érdekében a helyreállítás során.

A TDE AES és Triple Data Encryption Standard (3DES) titkosítási algoritmusokkal védi az adatokat és a naplófájlokat. Az adatbázisfájl titkosítása az oldal szintjén történik. A titkosított adatbázisok lapjai titkosítva lesznek, mielőtt lemezre írnák őket, és visszafejtik őket, amikor beolvassák őket a memóriába. A TDE alapértelmezés szerint engedélyezve van az újonnan létrehozott Azure SQL-adatbázisokon.

Always Encrypted funkció

A Azure SQL Always Encrypted funkciójával titkosíthatja az adatokat az ügyfélalkalmazásokban, mielőtt azokat Azure SQL Database tárolhatja. Engedélyezheti a helyszíni adatbázis-felügyelet harmadik felek számára történő delegálását is, és fenntarthatja a különválást azok között, akik az adatok tulajdonosa és megtekinthetik azokat, és akik kezelik őket, de nem férhetnek hozzá.

Cellaszintű vagy oszlopszintű titkosítás

A Azure SQL Database szimmetrikus titkosítást alkalmazhat egy adatoszlopra a Transact-SQL használatával. Ezt a módszert cellaszintű titkosításnak vagy oszlopszintű titkosításnak (CLE) nevezzük, mivel használatával adott oszlopokat vagy adott adatcellákat titkosíthat különböző titkosítási kulcsokkal. Ez részletesebb titkosítási képességet biztosít, mint a TDE, amely az oldalak adatait titkosítja.

A CLE beépített függvényekkel rendelkezik, amelyekkel szimmetrikus vagy aszimmetrikus kulcsokkal, tanúsítvány nyilvános kulcsával vagy 3DES-t használó jelszóval titkosíthatja az adatokat.

Cosmos DB-adatbázis titkosítása

Az Azure Cosmos DB a Microsoft globálisan elosztott, többmodelles adatbázisa. A Cosmos DB-ben nem felejtő tárolóban (tartós állapotú meghajtókon) tárolt felhasználói adatok alapértelmezés szerint titkosítva lesznek. Nincsenek be- és kikapcsolható vezérlők. Az inaktív adatok titkosítása számos biztonsági technológiával valósítható meg, beleértve a biztonságos kulcstároló rendszereket, a titkosított hálózatokat és a titkosítási API-kat. A titkosítási kulcsokat a Microsoft kezeli, és a Microsoft belső irányelvei szerint forgatják el. Másik lehetőségként hozzáadhat egy második titkosítási réteget is az ön által kezelt kulcsokkal az ügyfél által felügyelt kulcsok vagy a CMK funkció használatával.

Inaktív adatok titkosítása a Data Lake-ben

Az Azure Data Lake egy nagyvállalati szintű adattár, amely a követelmények vagy sémák formális meghatározása előtt egyetlen helyen gyűjtött összes adattípust tartalmazza. A Data Lake Store támogatja az inaktív adatok "alapértelmezés szerint" transzparens titkosítását, amely a fiók létrehozásakor van beállítva. Alapértelmezés szerint az Azure Data Lake Store kezeli a kulcsokat, de ön is kezelheti őket.

Az adatok titkosításához és visszafejtéséhez háromféle kulcstípus használható: a fő titkosítási kulcs (MEK), az adattitkosítási kulcs (DEK) és a blokktitkosítási kulcs (BEK). A MEK az állandó adathordozón tárolt DEK titkosítására szolgál, a BEK pedig a DEK-ból és az adatblokkból származik. Ha saját kulcsokat kezel, elforgathatja a MEK-t.

Az átvitel alatt álló adatok titkosítása

Az Azure számos mechanizmust kínál az adatok magánjellegűen tartására az egyik helyről a másikra való áthelyezéskor.

Adatkapcsolati réteg titkosítása az Azure-ban

Amikor az Azure-ügyfélforgalom az adatközpontok között – a Microsoft által nem ellenőrzött fizikai határokon kívül (vagy a Microsoft nevében) – az IEEE 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazza a rendszer az alapul szolgáló hálózati hardverek közötti pont–pont kapcsolatról pontra. A csomagok titkosítása és visszafejtése az eszközökön az elküldés előtt történik, ami megakadályozza a fizikai "közbeékelt" vagy a lehallgatási/lehallgatási támadásokat. Mivel ez a technológia magában a hálózati hardverben van integrálva, a hálózati hardveren vonalsebesség-titkosítást biztosít a kapcsolat mérhető késésének növelése nélkül. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között áthaladó összes Azure-forgalom esetében, és az ügyfelek részéről nincs szükség beavatkozásra az engedélyezéshez.

TLS-titkosítás az Azure-ban

A Microsoft lehetővé teszi az ügyfelek számára a Transport Layer Security (TLS) protokoll használatát az adatok védelmére, amikor a felhőszolgáltatások és az ügyfelek között utaznak. A Microsoft adatközpontjai TLS-kapcsolatot egyeztetnek az Azure-szolgáltatásokhoz csatlakozó ügyfélrendszerekkel. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen módosításának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és használat egyszerűségét.

A tökéletes titkosság (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. A kapcsolatok RSA-alapú, 2048 bites titkosítási kulcshosszt is használnak. Ez a kombináció megnehezíti az átvitt adatok elfogását és elérését.

Azure Storage-tranzakciók

Amikor a Azure Portal keresztül kommunikál az Azure Storage, az összes tranzakció HTTPS-kapcsolaton keresztül történik. A Storage REST API-t HTTPS-en keresztül is használhatja az Azure Storage használatához. Kényszerítheti a HTTPS használatát, amikor meghívja a REST API-kat a tárfiókok objektumainak eléréséhez a tárfiókhoz szükséges biztonságos átvitel engedélyezésével.

Az Azure Storage-objektumokhoz való hozzáférés delegálásához használható közös hozzáférésű jogosultságkódok (SAS) lehetőséget tartalmaznak annak megadására, hogy csak a HTTPS protokoll használható közös hozzáférésű jogosultságkódok használatakor. Ez a megközelítés biztosítja, hogy bárki, aki SAS-jogkivonatokkal rendelkező hivatkozásokat küld, a megfelelő protokollt használja.

A Azure Files megosztások eléréséhez használt SMB 3.0 támogatja a titkosítást, és elérhető Windows Server 2012 R2, Windows 8, Windows 8.1 és Windows 10. Lehetővé teszi a régiók közötti hozzáférést és akár az asztali hozzáférést is.

Az ügyféloldali titkosítás titkosítja az adatokat, mielőtt elküldené őket az Azure Storage-példánynak, így titkosítva lesznek a hálózaton áthaladva.

SMB-titkosítás Azure-beli virtuális hálózatokon

Az SMB 3.0 Windows Server 2012 vagy újabb rendszerű virtuális gépeken való használatával biztonságossá teheti az adatátvitelt az Azure-beli virtuális hálózatokon áthaladó adatok titkosításával. Az adatok titkosításával védheti az illetéktelen módosításokat és a lehallgatási támadásokat. A rendszergazdák engedélyezhetik az SMB-titkosítást a teljes kiszolgálón vagy csak bizonyos megosztásokon.

Alapértelmezés szerint ha egy megosztás vagy kiszolgáló SMB-titkosítása be van kapcsolva, csak az SMB 3.0-ügyfelek férhetnek hozzá a titkosított megosztásokhoz.

Átvitel közbeni titkosítás virtuális gépeken

A Windows futó virtuális gépekre érkező, onnan érkező és a virtuális gépek között átvitt adatok a kapcsolat jellegétől függően többféleképpen titkosíthatók.

RDP-munkamenetek

A távoli asztali protokoll (RDP) használatával csatlakozhat és bejelentkezhet egy virtuális gépre egy Windows ügyfélszámítógépről, vagy egy telepített RDP-ügyféllel rendelkező Mac gépről. Az RDP-munkamenetekben a hálózaton áthaladó adatok TLS-védelem alatt állnak.

A Távoli asztal használatával linuxos virtuális géphez is csatlakozhat az Azure-ban.

Biztonságos hozzáférés Linux rendszerű virtuális gépekhez SSH-val

A távfelügyelethez a Secure Shell (SSH) használatával csatlakozhat az Azure-ban futó Linux rendszerű virtuális gépekhez. Az SSH egy titkosított kapcsolati protokoll, amely biztonságos bejelentkezést tesz lehetővé nem biztonságos kapcsolatokon keresztül. Ez az Azure-ban üzemeltetett Linux rendszerű virtuális gépek alapértelmezett kapcsolati protokollja. Ha SSH-kulcsokat használ a hitelesítéshez, nincs szükség jelszavakra a bejelentkezéshez. Az SSH nyilvános/titkos kulcspárt (aszimmetrikus titkosítást) használ a hitelesítéshez.

Azure VPN-titkosítás

Az Azure-hoz egy virtuális magánhálózaton keresztül csatlakozhat, amely biztonságos alagutat hoz létre a hálózaton keresztül küldött adatok adatvédettségének védelme érdekében.

Azure VPN-átjárók

Az Azure VPN Gateway használatával titkosított forgalmat küldhet a virtuális hálózat és a helyszíni hely között egy nyilvános kapcsolaton keresztül, vagy küldhet forgalmat a virtuális hálózatok között.

A helyek közötti VPN-ek IPsec-et használnak az átviteli titkosításhoz. Az Azure VPN-átjárók alapértelmezett javaslatok készletét használják. Az Azure VPN-átjárókat úgy konfigurálhatja, hogy egyéni IPsec/IKE-szabályzatot használjanak az Azure alapértelmezett szabályzatkészletei helyett meghatározott titkosítási algoritmusokkal és kulcserősségekkel.

Pont–hely VPN-ek

A pont–hely VPN-ek lehetővé teszik, hogy az egyes ügyfélszámítógépek hozzáférjenek egy Azure-beli virtuális hálózathoz. A Secure Socket Tunneling Protocol (SSTP) a VPN-alagút létrehozásához használható. Tűzfalakat tud bejárásra (az alagút HTTPS-kapcsolatként jelenik meg). A pont–hely kapcsolatokhoz használhatja a saját belső nyilvános kulcsú infrastruktúráját (PKI) főtanúsítvány-szolgáltatóját (CA).

Pont–hely VPN-kapcsolatot konfigurálhat egy virtuális hálózathoz a Azure Portal tanúsítványhitelesítéssel vagy PowerShell-lel.

További információ az Azure-beli virtuális hálózatok pont–hely VPN-kapcsolatairól:

Pont–hely kapcsolat konfigurálása virtuális hálózathoz hitelesítéssel: Azure Portal

Pont–hely kapcsolat konfigurálása virtuális hálózathoz tanúsítványhitelesítéssel: PowerShell

Helyek közötti VPN-ek

Helyek közötti VPN Gateway-kapcsolattal csatlakoztathatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz egy IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztül. Ehhez a kapcsolattípushoz olyan helyszíni VPN-eszközre van szükség, amelyhez külső elérésű nyilvános IP-cím van rendelve.

A helyek közötti VPN-kapcsolatot a Azure Portal, a PowerShell vagy az Azure CLI használatával konfigurálhatja.

További információkért lásd:

Helyek közötti kapcsolat létrehozása a Azure Portal

Helyek közötti kapcsolat létrehozása a PowerShellben

Virtuális hálózat létrehozása helyek közötti VPN-kapcsolattal a parancssori felület használatával

Átvitel közbeni titkosítás a Data Lake-ben

Az átvitt adatok (azaz a mozgásban lévő adatok) titkosítása is mindig a Data Lake Store-ban történik. Amellett, hogy az adatokat az állandó adathordozón való tárolás előtt titkosítja, az adatok átvitele mindig HTTPS használatával történik. A HTTPS az egyetlen olyan protokoll, amely támogatott a Data Lake Store REST-felületeihez.

A Data Lake-ben átvitt adatok titkosításával kapcsolatos további információkért lásd a Data Lake Store-ban történő adattitkosítást ismertető témakört.

Kulcskezelés Key Vault

A kulcsok megfelelő védelme és kezelése nélkül a titkosítás használhatatlanná válik. Key Vault a Microsoft által ajánlott megoldás a felhőszolgáltatások által használt titkosítási kulcsokhoz való hozzáférés kezelésére és szabályozására. A kulcsok elérésére vonatkozó engedélyeket a szolgáltatásokhoz vagy a felhasználókhoz Azure Active Directory fiókokon keresztül lehet hozzárendelni.

A Key Vault leveszi a vállalatok válláról a hardveres biztonsági modulok (HSM-ek) és a kulcskezelő szoftverek konfigurálásának, frissítésének és karbantartásának terhét. A Key Vault használata esetén ön tartja fenn az irányítást. A Microsoft soha nem látja a kulcsokat, és az alkalmazások nem rendelkeznek közvetlen hozzáféréssel hozzájuk. A HSM-ekben kulcsokat is importálhat vagy hozhat létre.

Következő lépések

• Az Azure biztonsági szolgáltatásainak áttekintése
• A nagyvállalati hálózati biztonság áttekintése
• Az Azure Database biztonsági áttekintése
• Az Azure-beli virtuális gépek biztonsági áttekintése
• Inaktív adattitkosítás
• Az adatbiztonsággal és a titkosítással kapcsolatos ajánlott eljárások