Megosztás a következőn keresztül:

Adattitkosítás ügyfél által felügyelt kulccsal az Azure Database for PostgreSQL-ben – rugalmas kiszolgáló

  • Cikk

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

A rugalmas Azure Database for PostgreSQL-kiszolgáló az Azure Storage-titkosítással alapértelmezés szerint titkosítja az inaktív adatokat a Microsoft által felügyelt kulcsokkal. A rugalmas Azure Database for PostgreSQL-kiszolgáló felhasználói számára hasonló a transzparens adattitkosításhoz más adatbázisokban, például az SQL Serverben.

Számos szervezetnek teljes körűen ellenőriznie kell az adatokhoz való hozzáférést egy ügyfél által felügyelt kulcs (CMK) használatával. A rugalmas Azure Database for PostgreSQL-kiszolgálóHOZ készült CMK-kkal végzett adattitkosítás lehetővé teszi, hogy a kulcs (BYOK) inaktív állapotban legyen. Emellett lehetővé teszi a szervezetek számára a kulcsok és adatok kezelésével járó feladatok elkülönítését. A CMK-titkosítással Ön felelős a kulcsok életciklusáért, a kulcshasználati engedélyekért és a kulcsok műveleteinek naplózásáért, valamint teljes körű felügyeletéért.

A rugalmas Azure Database for PostgreSQL-kiszolgáló CMK-jaival történő adattitkosítás a kiszolgáló szintjén van beállítva. Egy adott kiszolgáló esetében a szolgáltatás adattitkosítási kulcsának (DEK) titkosításához a rendszer a kulcstitkosítási kulcs (KEK) nevű CMK-típust használja. A KEK egy aszimmetrikus kulcs, amely egy ügyfél által birtokolt és ügyfél által felügyelt Azure Key Vault-példányban van tárolva. A KEK-t és a DEK-t a cikk későbbi részében részletesebben ismertetjük.

A Key Vault egy felhőalapú, külső kulcskezelő rendszer. Magas rendelkezésre állású, és skálázható, biztonságos tárterületet biztosít az RSA titkosítási kulcsokhoz, opcionálisan a FIPS 140 által ellenőrzött hardveres biztonsági modulok (HSM-ek) segítségével. Nem teszi lehetővé a tárolt kulcsokhoz való közvetlen hozzáférést, de titkosítási és visszafejtési szolgáltatásokat biztosít az engedélyezett entitások számára. A Key Vault létrehozhatja, importálhatja vagy áthelyezheti egy helyszíni HSM-eszközről.

Juttatások

A rugalmas Azure Database for PostgreSQL-kiszolgálóhoz készült CMK-kkal végzett adattitkosítás a következő előnyöket biztosítja:

  • Teljes mértékben szabályozhatja az adathozzáférést. Az adatbázis elérhetetlenné tétele érdekében eltávolíthat egy kulcsot.

  • Teljes mértékben szabályozhatja a kulcs életciklusát, beleértve a kulcs elforgatását a vállalati szabályzatokhoz való igazodás érdekében.

  • A Kulcstartóban központilag kezelheti és rendszerezheti a kulcsokat.

  • A titkosítás bekapcsolása nem befolyásolja a TELJESÍTMÉNYT CMK-kkal vagy anélkül, mivel a PostgreSQL az Azure Storage-rétegre támaszkodik mindkét forgatókönyv adattitkosításához. Az egyetlen különbség az, hogy CMK használatakor az Azure Storage titkosítási kulcsa (amely tényleges adattitkosítást végez) titkosítva van.

  • A biztonsági tisztviselők, az adatbázis-rendszergazdák és a rendszergazdák között különválaszthatja a feladatokat.

Terminológia

Adattitkosítási kulcs (DEK): Szimmetrikus AES 256-kulcs, amely egy partíció vagy adatblokk titkosítására szolgál. Az egyes adatblokkok más kulccsal történő titkosítása megnehezíti a titkosítási támadásokat. Az adott blokkot titkosító és visszafejtő erőforrás-szolgáltatónak vagy alkalmazáspéldánynak hozzá kell férnie a DEK-khoz. Ha a DEK-t új kulccsal cseréli le, csak a társított blokkban lévő adatokat kell újratitkosítani az új kulccsal.

Kulcstitkosítási kulcs (KEK): A DEK-k titkosításához használt titkosítási kulcs. A Key Vaultot soha nem elhagyó KEK lehetővé teszi, hogy maguk a DEK-k titkosítva és vezérelve legyenek. A KEK-hez hozzáféréssel rendelkező entitás eltérhet a DEK-t igénylő entitástól. Mivel a KEK-nek szüksége van a DEK-k visszafejtésére, a KEK gyakorlatilag egyetlen pont, amellyel törölheti a DEK-okat (a KEK törlésével).

A KEK-vel titkosított DEK-k tárolása külön történik. Ezeket a DEK-okat csak a KEK-hez hozzáféréssel rendelkező entitás tudja visszafejteni. További információ: Biztonság inaktív állapotban.

Az adattitkosítás működése CMK-val

A saját kulcs behozásának áttekintését bemutató diagram.

A Microsoft Entra felhasználó által hozzárendelt felügyelt identitással csatlakozhat és lekérhet egy CMK-t. Identitás létrehozásához kövesse ezt az oktatóanyagot.

Ahhoz, hogy egy PostgreSQL-kiszolgáló a Key Vaultban tárolt CMK-okat használhassa a DEK titkosításához, a Key Vault rendszergazdája a következő hozzáférési jogosultságokat biztosítja a létrehozott felügyelt identitáshoz:

  • get: A kulcs nyilvános részének és tulajdonságainak lekérése a Key Vaultban.

  • lista: A Key Vault kulcsainak felsorolásához és iterálásához.

  • wrapKey: A DEK titkosításához. A titkosított DEK az Azure Database for PostgreSQL-ben van tárolva.

  • unwrapKey: A DEK visszafejtéséhez. Az Azure Database for PostgreSQL-nek szüksége van a visszafejtett DEK-ra az adatok titkosításához és visszafejtéséhez.

A Key Vault rendszergazdája engedélyezheti a Key Vault naplózási eseményeinek naplózását is, így később is naplózhatók.

Fontos

Ha nem adja meg a fenti hozzáférési jogosultságokat egy felügyelt identitásnak a Key Vaulthoz való hozzáféréshez, az a titkosítási kulcs beolvasásának és a CMK-funkció beállításának sikertelenségéhez vezethet.

Amikor úgy konfigurálja a kiszolgálót, hogy a Key Vaultban tárolt CMK-t használja, a kiszolgáló titkosítás céljából elküldi a DEK-t a Key Vaultnak. A Key Vault a felhasználói adatbázisban tárolt titkosított DEK-t adja vissza. Szükség esetén a kiszolgáló elküldi a védett DEK-t a Key Vaultnak visszafejtéshez. Az auditorok az Azure Monitor használatával áttekinthetik a Key Vault naplózási eseménynaplóit, ha a naplózás be van kapcsolva.

Rugalmas Azure Database for PostgreSQL-kiszolgáló adattitkosításának konfigurálásának követelményei

A Key Vault konfigurálásának követelményei a következők:

  • A Key Vaultnak és a rugalmas Azure Database for PostgreSQL-kiszolgálónak ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia. A bérlők közötti Key Vault és a kiszolgálói interakciók nem támogatottak. A Key Vault-erőforrás későbbi áthelyezéséhez újra kell konfigurálnia az adattitkosítást.

  • A Key Vault törölt tárolóinak megőrzésére szolgáló napok értékének 90-nek kell lennie. Ha a meglévő Key Vault-példányt alacsonyabb számmal konfigurálta, létre kell hoznia egy új Key Vault-példányt, mert a létrehozás után nem módosíthatja a példányokat.

  • Ajánlott a Napok beállítást beállítani a Key Vault törölt tárolók konfigurációjának 90 napra való megőrzéséhez. Ha alacsonyabb számmal konfigurált egy meglévő Key Vault-példányt, annak továbbra is érvényesnek kell lennie. Ha azonban módosítani szeretné ezt a beállítást, és növelni szeretné az értéket, létre kell hoznia egy új Key Vault-példányt. A példány létrehozása után nem lehet módosítani a konfigurációját.

  • Engedélyezze a Key Vault helyreállítható törlési funkcióját az adatvesztés elleni védelem érdekében, ha véletlenül töröl egy kulcsot vagy egy Key Vault-példányt. A Key Vault 90 napig megőrzi a helyreállíthatóan törölt erőforrásokat, kivéve, ha a felhasználó addig helyreállítja vagy törli őket. A visszaállítási és törlési műveletek saját engedélyekkel rendelkeznek a Key Vault hozzáférési szabályzatához.

    A helyreállítható törlés funkció alapértelmezés szerint ki van kapcsolva, de bekapcsolhatja a PowerShell vagy az Azure CLI használatával. Az Azure Portalon keresztül nem kapcsolhatja be.

  • Engedélyezze a törlés elleni védelmet a törölt tárolók és tárolóobjektumok kötelező megőrzési idejének kikényszerítéséhez.

  • Az Azure Database for PostgreSQL rugalmas kiszolgálópéldány-hozzáférésének biztosítása a Key Vaulthoz get, list, wrapKey és unwrapKey engedélyekkel az egyedi felügyelt identitás használatával.

A CMK rugalmas Azure Database for PostgreSQL-kiszolgálón való konfigurálására vonatkozó követelmények:

  • A DEK titkosításához használt CMK csak aszimmetrikus, RSA vagy RSA-HSM lehet. A 2048, 3072 és 4096-os kulcsméretek támogatottak.

  • A kulcsaktiválás dátumának és időpontjának (ha be van állítva) a múltban kell lennie. A lejárat dátumának és időpontjának (ha be van állítva) a jövőben kell lennie.

  • A kulcsnak állapotban *Enabled- kell lennie.

  • Ha egy meglévő kulcsot importál a Key Vaultba, adja meg a támogatott fájlformátumokban (.pfx.byokvagy .backup).

Ajánlások

Ha CMK-t használ az adattitkosításhoz, az alábbiakban a Key Vault konfigurálására vonatkozó javaslatokat talál:

  • Állítson be egy erőforrás-zárolást a Key Vaulton annak szabályozásához, hogy ki törölheti ezt a kritikus erőforrást, és megakadályozza a véletlen vagy jogosulatlan törlést.

  • Engedélyezze a naplózást és a jelentéskészítést az összes titkosítási kulcson. A Key Vault olyan naplókat biztosít, amelyek könnyen injektálhatóak más biztonsági információk és eseménykezelési (SIEM) eszközökbe. Az Azure Monitor-naplók egy példa egy már integrált szolgáltatásra.

  • Győződjön meg arról, hogy a Key Vault és a rugalmas Azure Database for PostgreSQL-kiszolgáló ugyanabban a régióban található, így gyorsabb hozzáférést biztosíthat a DEK-körbefuttatási és a tördelés nélküli műveletekhez.

  • A Key Vault zárolásához válassza a Nyilvános hozzáférés letiltása és a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tűzfal megkerüléséhez.

    Képernyőkép a nyilvános hozzáférés letiltására és csak a megbízható Microsoft-szolgáltatások engedélyezésére szolgáló hálózati lehetőségekről.

Feljegyzés

Miután kiválasztotta a Nyilvános hozzáférés letiltása és a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tűzfal megkerüléséhez, a következőhöz hasonló hibaüzenet jelenhet meg, amikor nyilvános hozzáféréssel próbálja felügyelni a Key Vaultot a portálon keresztül: "Engedélyezte a hálózati hozzáférés-vezérlést. Csak az engedélyezett hálózatok férhetnek hozzá ehhez a kulcstartóhoz." Ez a hiba nem zárja ki a kulcsok megadását a CMK beállításakor vagy a kulcsok lekérése során a Key Vaultból a kiszolgálóműveletek során.

Íme a CMK konfigurálására vonatkozó javaslatok:

  • Őrizze meg a CMK másolatát biztonságos helyen, vagy helyezze el a letéti szolgáltatásban.

  • Ha a Key Vault létrehozza a kulcsot, hozzon létre egy biztonsági másolatot a kulcs első használata előtt. A biztonsági mentést csak a Key Vaultba állíthatja vissza.

Véletlen kulcshozzáférés visszavonása a Key Vaultból

A Key Vaulthoz való megfelelő hozzáférési jogosultsággal rendelkező felhasználók véletlenül letilthatják a kulcshoz való kiszolgálói hozzáférést a következő módon:

  • A lista, a lekérés, a wrapKey és a unwrapKey engedélyek visszavonása a Key Vault kulcsának lekéréséhez használt identitásból.

  • A kulcs törlése.

  • A Key Vault-példány törlése.

  • A Key Vault tűzfalszabályainak módosítása.

  • A kiszolgáló felügyelt identitásának törlése a Microsoft Entra-azonosítóban.

A CMK figyelése a Key Vaultban

Az adatbázis állapotának figyeléséhez és a transzparens adattitkosítási védőhöz való hozzáférés elvesztésére vonatkozó riasztások bekapcsolásához konfigurálja a következő Azure-funkciókat:

  • Erőforrás állapota: A CMK-hoz való hozzáférést elveszítő adatbázis elérhetetlenként jelenik meg az adatbázishoz való első kapcsolódás megtagadása után.
  • Tevékenységnapló: Ha az ügyfél által felügyelt Key Vault-példány CMK-hoz való hozzáférése sikertelen, a rendszer bejegyzéseket ad hozzá a tevékenységnaplóhoz. Ha riasztásokat hoz létre ezekhez az eseményekhez, a lehető leghamarabb visszaállíthatja a hozzáférést.
  • Műveletcsoportok: Ezeket a csoportokat a beállítások alapján értesítések és riasztások fogadásához definiálhatja.

Visszaállítás egy ügyfél felügyelt kulccsal a Key Vaultban

Miután az Azure Database for PostgreSQL rugalmas kiszolgálója titkosítva lett egy ügyfél Key Vaultban tárolt felügyelt kulcsával, az újonnan létrehozott kiszolgálópéldányok is titkosítva lesznek. Ezt az új példányt egy időponthoz kötött visszaállítási (PITR) művelettel vagy olvasási replikákkal készítheti el.

Ha ügyfél által felügyelt adattitkosítást állít be egy olvasási replika visszaállítása vagy létrehozása során, az alábbi lépéseket követve elkerülheti a problémákat az elsődleges és a visszaállított/replikakiszolgálón:

  • Kezdeményezheti a visszaállítási folyamatot vagy olvasási replika létrehozását az elsődleges rugalmas Azure Database for PostgreSQL-kiszolgálópéldányból.

  • A visszaállított vagy replikakiszolgálón módosíthatja a CMK-t és/vagy a Key Vault eléréséhez használt Microsoft Entra-identitást az adattitkosítási beállítások között. Győződjön meg arról, hogy az újonnan létrehozott kiszolgáló rendelkezik a Key Vaultban tárolt kulcsra vonatkozó listázási, tördelés- és tördelés-engedélyekkel .

  • A visszaállítás után ne vonja vissza az eredeti kulcsot. Jelenleg nem támogatjuk a kulcsok visszavonását, miután visszaállított egy CMK-kompatibilis kiszolgálót egy másik kiszolgálóra.

Felügyelt HSM-k

A hardveres biztonsági modulok (HSM-ek) illetéktelen beavatkozásnak ellenálló hardvereszközök, amelyek az adatok titkosításához, az adatok visszafejtéséhez, a digitális aláírások létrehozásához és a digitális tanúsítványok létrehozásához használt kulcsok létrehozásával, védelmével és kezelésével segítik a titkosítási folyamatokat. A HSM-eket a legmagasabb biztonsági szabványoknak megfelelően tesztelik, ellenőrzik és minősítik, beleértve a FIPS 140-et és a Common Criteriat.

Az Azure Key Vault felügyelt HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványnak megfelelő felhőszolgáltatás. Használatával megvédheti a felhőalkalmazások titkosítási kulcsait a FIPS 140-3 ellenőrzött HSM-eken keresztül.

Amikor új rugalmas Azure Database for PostgreSQL-kiszolgálópéldányokat hoz létre az Azure Portalon a CMK szolgáltatással, az Azure Key Vault által felügyelt HSM-et kulcstárolóként választhatja ki az Azure Key Vault alternatívájaként. Az előfeltételek a felhasználó által definiált identitás és engedélyek tekintetében megegyeznek az Azure Key Vaulttal (a cikk korábbi részében leírtak szerint). A felügyelt HSM-példányok létrehozásáról, a megosztott Key Vault-alapú tanúsítványtárolók előnyeiről és különbségeiről, valamint a kulcsok felügyelt HSM-be való importálásáról a Mi az Azure Key Vault által felügyelt HSM?

Elérhetetlen CMK-feltétel

Ha cmK-val konfigurálja az adattitkosítást a Key Vaultban, a kiszolgáló folyamatos hozzáférésére van szükség ahhoz, hogy a kiszolgáló online maradjon. Ha a kiszolgáló elveszíti a hozzáférést a CMK-hoz a Key Vaultban, a kiszolgáló 10 percen belül megtagadja az összes kapcsolatot. A kiszolgáló egy megfelelő hibaüzenetet ad ki, és a kiszolgáló állapotát elérhetetlenné módosítja.

A kiszolgáló állapotának elérhetetlenné válásának néhány oka a következő:

  • Ha törli a Key Vault-példányt, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nem tudja elérni a kulcsot, és elérhetetlen állapotba kerül. A kiszolgáló elérhetővé tétele érdekében állítsa helyre a Key Vault-példányt, és értékelje újra az adattitkosítást.
  • Ha törli a kulcsot a Key Vaultból, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nem tudja elérni a kulcsot, és elérhetetlen állapotba kerül. A kiszolgáló elérhetővé tétele érdekében állítsa helyre a kulcsot, és értékelje újra az adattitkosítást.
  • Ha töröl egy kulcs Key Vaultból való lekérésére használt felügyelt identitást a Microsoft Entra-azonosítóból, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nem tudja elérni a kulcsot, és elérhetetlen állapotba kerül. A kiszolgáló elérhetővé tétele érdekében állítsa helyre az identitást, és értékelje újra az adattitkosítást.
  • Ha visszavonja a Key Vault-listát, lekéri, körbefuttatja a Kulcskulcsot és a UnwrapKey hozzáférési szabályzatokat a Key Vaultból való kulcs lekéréséhez használt felügyelt identitásból, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nem tudja elérni a kulcsot, és elérhetetlen állapotba kerül. Adjon hozzá szükséges hozzáférési szabályzatokat az identitáshoz a Key Vaultban.
  • Ha túlságosan korlátozó Key Vault tűzfalszabályokat állít be, a rugalmas Azure Database for PostgreSQL-kiszolgáló nem tud kommunikálni a Key Vaulttal a kulcsok lekéréséhez. Key Vault-tűzfal konfigurálásakor mindenképpen válassza ki azt a lehetőséget, amely lehetővé teszi, hogy a megbízható Microsoft-szolgáltatások megkerülje a tűzfalat.

Feljegyzés

Ha egy kulcs le van tiltva, törölve, lejárt vagy nem érhető el, a kulcson keresztül titkosított adatokat tartalmazó kiszolgáló elérhetetlenné válik a korábban leírtak szerint. A kiszolgáló csak akkor válik elérhetővé, ha újra engedélyezi a kulcsot, vagy nem rendel hozzá új kulcsot.

A kiszolgáló általában 60 percen belül elérhetetlenné válik, miután egy kulcs le van tiltva, törölve, lejárt vagy nem érhető el. Miután a kulcs elérhetővé válik, a kiszolgáló akár 60 percet is igénybe vehet, amíg ismét akadálymentessé válik.

Adattitkosítás használata CMK-kkal és georedundáns üzletmenet-folytonossági funkciókkal

A rugalmas Azure Database for PostgreSQL-kiszolgáló fejlett adat-helyreállítási funkciókat támogat, például replikákat és georedundáns biztonsági mentéseket. Az alábbi követelmények vonatkoznak az adattitkosítás CMK-kkal való beállítására és ezekre a funkciókra , a CMK-kkal való adattitkosítás alapkövetelményei mellett:

Korlátozások

A CMK rugalmas Azure Database for PostgreSQL-kiszolgálón való konfigurálásának jelenlegi korlátozásai:

  • A CMK-titkosítást csak új kiszolgáló létrehozásakor konfigurálhatja, nem pedig egy meglévő rugalmas Azure Database for PostgreSQL-kiszolgálópéldány frissítéseként. A PITR biztonsági mentését visszaállíthatja egy új kiszolgálóra CMK-titkosítással .

  • A CMK-titkosítás konfigurálása után nem távolíthatja el. Ha el szeretné távolítani ezt a funkciót, csak úgy állíthatja vissza a kiszolgálót egy nem CMK-kiszolgálóra.

Következő lépések

  • További információ a Microsoft Entra Domain Services szolgáltatásról.