Titkosítási kulcsok leírása az Azure-ban
A titkosítási kulcsok megfelelő védelme és kezelése elengedhetetlen az adatbiztonsághoz, különösen a közszférában, ahol az adatok különösen érzékenyek és sebezhetőek lehetnek. A kormányzati ügyfelek használhatják az Azure Key Vaultot, amely egy felhőalapú szolgáltatás a titkos kulcsok biztonságos tárolására és kezelésére, beleértve a titkosítási kulcsokat is. Azok az ügyfelek, akik extra biztonságot igényelnek az Azure-szolgáltatásokban tárolt bizalmas ügyféladatokhoz, saját titkosítási kulcsukkal titkosíthatják azokat az Azure Key Vaultban.
Az Azure Key Vault használata titkosítási kulcskezeléshez
A Key Vault szolgáltatás erőforrás-szolgáltatója két erőforrástípust támogat: a tárolót és a felügyelt HSM-et.
- A tároló támogatja a szoftveres és hardveres biztonsági modul (HSM) által védett titkos kulcsokat, kulcsokat és tanúsítványokat. A tárolók több-bérlős, alacsony költségű, könnyen üzembe helyezhető, zónareziliens (ahol elérhető) és magas rendelkezésre állású kulcskezelési megoldást biztosítanak, amely a leggyakoribb felhőalkalmazás-forgatókönyvekhez használható. Ezek lehetnek szoftveres védelem (standard szint) vagy HSM-védelem (prémium szintű). A standard és a prémium szintű szintek összehasonlítását az Azure Key Vault díjszabási oldalán tekinthet meg. Az Azure iparági szabványoknak megfelelő algoritmusok és kulcshosszok használatával védi a szoftver által védett titkos kulcsokat, kulcsokat és tanúsítványokat. A több-bérlős HSM-ekkel védett tárolókban több garanciát igénylő ügyfelek dönthetnek úgy, hogy megőrzik titkos kulcsaikat, kulcsaikat és tanúsítványaikat. A megfelelő HSM-eket a FIPS 140-2 szabványnak megfelelően ellenőrzik, és általános 2. biztonsági szintű minősítéssel rendelkeznek.
- A felügyelt HSM csak A HSM által védett titkosítási kulcsokat támogatja. Egy bérlős, teljes körűen felügyelt, magas rendelkezésre állású, zónareziliens (ahol elérhető) HSM-et biztosít a titkosítási kulcsok tárolásához és kezeléséhez. Leginkább olyan alkalmazásokhoz és használati helyzetekhez alkalmas, amelyek nagy értékű kulcsokat kezelnek. Emellett segít az ügyfeleknek megfelelni a legszigorúbb biztonsági, megfelelőségi és szabályozási követelményeknek. A felügyelt HSM a FIPS 140-2 3. szintű hitelesített HSM-eket használja a titkosítási kulcsok védelméhez. Minden felügyelt HSM-készlet egy elkülönített egybérlős példány saját biztonsági tartománnyal. Az ügyfél szabályozza ezt a biztonsági tartományt, amely kriptográfiailag el van különítve más ügyfelek példányaitól.
Az Azure Key Vault absztrakciót biztosít a mögöttes HSM-ek felett. REST API-t biztosít a felhőalkalmazások és a hitelesítés szolgáltatáshasználatának engedélyezéséhez a Microsoft Entra ID -n (Microsoft Entra ID) keresztül. A Microsoft Entra ID lehetővé teszi a szervezet számára a hitelesítés, a vészhelyreállítás, a magas rendelkezésre állás és a rugalmasság központosítását és testreszabását. Az Azure Key Vault különböző típusú, méretű és íves titkosítási kulcsokat támogat, beleértve az RSA- és a háromliptikus görbekulcsokat is. Felügyelt HSM-ekkel az AES szimmetrikus kulcsok támogatása is elérhető.
Az Azure Key Vault támogatja a saját kulcs (BYOK) forgatókönyvek használatát. Az ügyfelek importálhatnak vagy hozhatnak létre titkosítási kulcsokat a HSM-ekben, biztosítva, hogy a kulcsok soha ne hagyják el a HSM védelmi határát. Az Azure Key Vault HSM-eken belül létrehozott kulcsok nem exportálhatók – a kulcsnak a HSM-en kívül nem lehet világos szövegű verziója. A mögöttes HSM kényszeríti ezt a kötést. A BYOK funkció kulcstartókkal és felügyelt HSM-ekkel is elérhető. A HSM által védett kulcsok Azure Key Vaultba való átvitelének módszerei az alapul szolgáló HSM-től függően eltérőek lehetnek, ahogyan azt az online dokumentáció ismerteti.
Az Azure Key Vault úgy lett megtervezve, üzembe helyezve és üzemeltetve, hogy a Microsoft és ügynökei nem látják és nem nyerik ki az ügyfelek titkosítási kulcsait.
Az infografika közepén található diagramot hat rövid leírású lépés veszi körül. Az infografika tetején egy "App" feliratú ikon látható, alatta egy lefelé mutató nyíllal egy "Azure Key Vault" feliratú ikonnal egy körkörös diagram 12 órai pozíciójában. A diagram alján, a hat órás pozícióban egy laptop ikon látható. Az elérési út a laptop ikon bal oldaláról az óramutató járásával megegyező irányban egy kilenc órás pozícióban lévő kulcsikonhoz vezet. Az útvonal ezután az "Azure Key Vault" feliratú ikonhoz vezet 12 órakor, majd vissza a laptop ikonra az alján. A diagram közepén egy "A helyszínen" feliratú épületikon látható. A következő lépésleírások a következők: 1. Kulcs létrehozása és a főkiszolgáló megtartása. 2. A kulcs biztonságos átvitele a Microsoft HSM-jeibe. 3. A HSM hardvere megakadályozza, hogy a Microsoft lássa a kulcsot. 4. Az engedélyezett alkalmazás a kulcsot használja. 5. A Microsoft replikálja a kulcsot a méretezési/vészhelyreállítási célokra, és naprakészen tartja a HSM-eket. 6. A Microsoft naplót biztosít a kulcs használatáról.
Az Azure Key Vault robusztus megoldást kínál a titkosítási kulcsok életciklusának kezelésére. Létrehozáskor minden kulcstartó vagy felügyelt HSM automatikusan társítva lesz az előfizetést birtoklő Microsoft Entra-bérlővel. Az Azure Key Vault HSM-jeiben (a tárolóban és a felügyelt HSM-ben is) található titkosítási kulcsok eléréséhez a Microsoft Entra-azonosítónak hitelesítenie kell az összes hívót. A Microsoft Entra ID kikényszeríti a bérlők elkülönítését, és robusztus intézkedéseket vezet be, hogy megakadályozza a jogosulatlan felek, köztük a Microsoft insiderek hozzáférését. A Microsoft Entra adatbiztonsági szempontjainak megfelelően a bérlői elkülönítés két elsődleges elemet foglal magában:
- Az adatszivárgás és a bérlők közötti hozzáférés megakadályozása. Az A bérlő felhasználói semmilyen módon nem szerezhetik be a B bérlőhöz tartozó adatokat a B bérlő kifejezett engedélye nélkül.
- Erőforrás-hozzáférés elkülönítése a bérlők között. Az A bérlő által végrehajtott műveletek semmilyen módon nem befolyásolhatják a B bérlő erőforrásaihoz való hozzáférést.
A Microsoft személyzete, alvállalkozói és szállítói a Microsoft Entra-azonosítóhoz való hozzáférése erősen korlátozott. Amikor lehetséges, az emberi beavatkozást automatizált, eszközalapú folyamat váltja fel, beleértve az olyan rutinfunkciókat, mint az üzembe helyezés, a hibakeresés, a diagnosztikai gyűjtemény és a szolgáltatások újraindítása. A vezérlők célja az éles rendszerekhez és az ügyféladatokhoz való bennfentes hozzáférés korlátozása, beleértve a just-in-time (JIT) emelt szintű hozzáférés-kezelési rendszert is.
Ezután tekintse meg, hogyan védik az adatokat az életciklusa során, kezdve az átvitt adatokkal.