Előző

Következő

Az átvitel alatt álló adatok védelme

Befejeződött

Az Azure számos lehetőséget kínál az átvitel alatt lévő adatok titkosítására. Az átvitel közbeni adattitkosítás segít megvédeni az adatokat a lehallgatástól, és a következő forgatókönyvekre vonatkozik, amelyek között az adatok áthaladnak:

• Az ügyfél végfelhasználói és az Azure-szolgáltatás.
• Az ügyfél helyszíni adatközpontja és egy Azure-régió.
• Microsoft-adatközpontok a várt Azure-szolgáltatásművelet részeként.

Csatlakozás az Azure-szolgáltatásba

A legtöbb ügyfél az interneten keresztül csatlakozik az Azure-hoz, és a hálózati forgalom pontos útválasztása az internetes infrastruktúrához hozzájáruló számos hálózati szolgáltatótól függ. A Microsoft nem szabályozza vagy korlátozza azokat a régiókat, amelyekből az ügyfél vagy az ügyfél végfelhasználói hozzáférhetnek vagy áthelyezhetik az ügyféladatokat. További információ: Online Services Terms Data Protection Addendum (DPA). Az ügyfelek növelhetik a biztonságot azáltal, hogy engedélyezik a titkosítást az átvitel során. Az ügyfelek például az Azure-alkalmazás Gateway használatával konfigurálhatják a teljes körű forgalomtitkosítást.

• Transport Layer Security (TLS): Az Azure a TLS protokoll használatával védi az adatokat, amikor az ügyfelek és az Azure-szolgáltatások között utazik, az RSA-2048-at a kulcscseréhez, az AES-256-ot pedig az adattitkosításhoz. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít. A Perfect Forward Secrecy (PFS) az ügyfél ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat védi azáltal, hogy létrehoz egy egyedi munkamenetkulcsot minden olyan munkamenethez, amelyet az ügyfél kezdeményez. A PFS védi a korábbi munkameneteket a jövőbeli kulcsok esetleges feltörése ellen. Ez a kombináció megnehezíti az átvitt adatok elfogását és elérését.
• Virtuális gépek átvitel közbeni titkosítása: Az Azure-ban üzembe helyezett Windows és Linux rendszerű virtuális gépekre irányuló távoli munkamenetek olyan protokollokon keresztül végezhetők el, amelyek biztosítják az átvitel közbeni adattitkosítást. Az ügyfélszámítógépről windowsos és Linux rendszerű virtuális gépekre indított Távoli asztali protokoll (RDP) például lehetővé teszi a TLS-védelmet az átvitt adatok számára. Az ügyfelek a Secure Shell (SSH) használatával is csatlakozhatnak az Azure-ban futó Linux rendszerű virtuális gépekhez. Az SSH egy titkosított kapcsolati protokoll, amely alapértelmezés szerint elérhető az Azure-ban üzemeltetett Linux rendszerű virtuális gépek távoli felügyeletéhez.
• Azure Storage-tranzakciók: Amikor az ügyfelek az Azure Portalon keresztül kommunikálnak az Azure Storage-ral, az összes tranzakció HTTPS-en keresztül történik. Emellett az ügyfelek úgy is konfigurálhatják a tárfiókjaikat, hogy csak biztonságos kapcsolatokból fogadják el a kéréseket a tárfiók "biztonságos átvitel szükséges" tulajdonságának beállításával. A "biztonságos átvitel szükséges" beállítás alapértelmezés szerint engedélyezve van, amikor storage-fiókot hoz létre az Azure Portalon. Az Azure Files teljes mértékben felügyelt fájlmegosztásokat kínál a felhőben, amelyek az iparági szabványnak megfelelő kiszolgálói üzenetblokk (SMB) protokollon keresztül érhetők el. Alapértelmezés szerint minden Azure Storage-fiók rendelkezik az átvitel közbeni titkosítással. Így ha egy megosztást SMB-n keresztül csatlakoztat vagy az Azure Portalon (vagy PowerShellen, PARANCSSOR-n és Azure SDK-n keresztül) ér el, az Azure Files csak akkor engedélyezi a kapcsolatot, ha az SMB 3.0+-val készült titkosítással vagy HTTPS-en keresztül.

Csatlakozás azure-régiókba

A helyszíni infrastruktúra Azure-régiókhoz való csatlakoztatásakor meggyőződhet arról, hogy az összes hálózati forgalom megfelelően van titkosítva.

VPN-titkosítás

A virtuális hálózat (VNet) lehetővé teszi az Azure-beli virtuális gépek (VM-ek) számára, hogy az ügyfél belső (helyszíni) hálózatának részeként működjenek. A virtuális hálózattal az ügyfelek kiválasztják a virtuális gépekhez rendelendő nem globálisan nem módosítható IP-címek címtartományait, hogy ne ütközhessenek az ügyfél által máshol használt címekkel. Az ügyfeleknek lehetőségük van arra, hogy biztonságosan csatlakozzanak egy virtuális hálózathoz a helyszíni infrastruktúrájukból vagy távoli helyükről.

• Helyek közötti (IPsec/IKE VPN-alagút ): Kriptográfiai védelemmel ellátott "alagút" jön létre az Azure és az ügyfél belső hálózata között, amely lehetővé teszi, hogy egy Azure-beli virtuális gép úgy csatlakozzon az ügyfél háttérerőforrásaihoz, mintha közvetlenül az adott hálózaton lenne. Ehhez a kapcsolattípushoz olyan helyszíni VPN-eszközre van szükség, amelyhez egy külső elérésű nyilvános IP-cím van hozzárendelve. Az ügyfelek az Azure VPN Gateway használatával titkosított forgalmat küldhetnek a virtuális hálózatuk és a helyszíni infrastruktúrájuk között a nyilvános interneten keresztül, például a helyek közötti VPN az átvitel titkosításához az IPsec-et használja. Az Azure VPN Gateway a FIPS 140-2 által ellenőrzött titkosítási algoritmusok széles skáláját támogatja. Emellett az ügyfelek úgy is konfigurálhatják az Azure VPN Gatewayt, hogy egyéni IPsec/IKE-szabályzatot használjanak adott titkosítási algoritmusokkal és kulcserősségekkel, ahelyett, hogy az alapértelmezett Azure-szabályzatokra támaszkodnak. Az IPsec IP-szinten titkosítja az adatokat (3. hálózati réteg).
• Pont–hely (VPN SSTP, OpenVPN és IPsec protokollon keresztül): Biztonságos kapcsolat jön létre egy egyéni ügyfélszámítógépről az ügyfél virtuális hálózatára a Secure Socket Tunneling Protocol (SSTP), az OpenVPN vagy az IPsec használatával. A pont–hely VPN-konfiguráció részeként az ügyfeleknek telepíteniük kell egy tanúsítványt és egy VPN-ügyfélkonfigurációs csomagot, amely lehetővé teszi az ügyfélszámítógép számára, hogy a virtuális hálózaton belül bármely virtuális géphez csatlakozzon. A pont–hely VPN-kapcsolatokhoz nincs szükség VPN-eszközre vagy nyilvános IP-címre.

Az Azure szabályozza a VPN-kapcsolatokhoz támogatott algoritmus típusát. Az Azure emellett lehetővé teszi az ügyfelek számára, hogy kényszerítse, hogy a virtuális hálózatot elhagyó összes forgalom csak virtuális hálózati átjárón (például az Azure VPN Gatewayen) keresztül legyen irányítva. Ez a kényszerítés lehetővé teszi az ügyfelek számára annak biztosítását, hogy a forgalom titkosítás nélkül ne hagyhassa el a virtuális hálózatot. A VPN Gateway virtuális hálózatok közötti kapcsolatokhoz használható, miközben biztonságos alagutat is biztosít az IPsec/IKE használatával. Az Azure VPN előre megosztott kulcsú (PSK) hitelesítést használ, amellyel a Microsoft létrehoz egy PSK-t a VPN-alagút létrehozásakor. Az ügyfelek módosíthatják az automatikusan létrehozott PSK-t a sajátjukra.

ExpressRoute-titkosítás

Az ExpressRoute lehetővé teszi az ügyfelek számára, hogy privát kapcsolatokat hozzanak létre a Microsoft-adatközpontok és a helyszíni infrastruktúra vagy a helymeghatározó létesítmény között. Az ExpressRoute-kapcsolatok nem lépnek át a nyilvános interneten, és alacsonyabb késést és nagyobb megbízhatóságot kínálnak, mint az IPsec által védett VPN-kapcsolatok. Az ExpressRoute-helyek a Microsoft globális hálózati gerinchálózatának belépési pontjai, és előfordulhat, hogy nem egyeznek az Azure-régiók helyével. Az ügyfelek például az ExpressRoute-on keresztül csatlakozhatnak a Microsofthoz Amszterdamban, és hozzáférhetnek az Észak- és Nyugat-Európában üzemeltetett összes Azure-felhőszolgáltatáshoz. Ugyanakkor a világ más részein található ExpressRoute-kapcsolatokból is elérheti ugyanazokat az Azure-régiókat. Miután a hálózati forgalom belép a Microsoft gerinchálózatába, garantáltan a nyilvános internet helyett a magánhálózati infrastruktúrát használja.

Az ügyfelek az ExpressRoute-ot számos adattitkosítási lehetőséggel használhatják, beleértve a MACsec-et is, amely lehetővé teszi az ügyfelek számára a MACsec titkosítási kulcsok tárolását az Azure Key Vaultban. A MACsec a Media Access Control (MAC) szintjén titkosítja az adatokat, vagyis az adatkapcsolati réteget (2. hálózati réteg). A titkosításhoz az AES-128 és az AES-256 blokkjelek is támogatottak. Az ügyfelek a MACsec használatával titkosíthatják a hálózati eszközeik és a Microsoft hálózati eszközeik közötti fizikai kapcsolatokat, amikor expressRoute Directen keresztül csatlakoznak a Microsofthoz. Az ExpressRoute Direct lehetővé teszi a közvetlen szálkapcsolatokat az ügyfél peremhálózatáról a Microsoft Enterprise peremhálózati útválasztóira a társviszony-létesítési helyeken.

Az ügyfelek az IPsec-et a MACsec mellett az ExpressRoute Direct-portjaikon is engedélyezhetik. Az ügyfelek az Azure VPN Gateway használatával IPsec-alagutat állíthatnak be az ExpressRoute Microsoft-társviszony-létesítésen keresztül a helyszíni hálózataik és az Azure-beli virtuális hálózataik között. A MACsec biztosítja az ügyfél helyszíni hálózata és a Microsoft közötti fizikai kapcsolatot. Az IPsec biztosítja az ügyfél helyszíni hálózata és az Azure-beli virtuális hálózatai közötti végpontok közötti kapcsolatot. A MACsec és az IPsec egymástól függetlenül engedélyezhető.

régiók közötti Csatlakozás

A Microsoft a Media Access Control Security (MACsec) használatával titkosítja a régiók közötti forgalmat. Ez a szabvány védi a hálózati forgalmat az adatkapcsolati rétegben (2. hálózati réteg), és az AES-128 blokk-titkosításra támaszkodik a titkosításhoz. Ez a forgalom teljes egészében a Microsoft globális hálózatának gerinchálózatán belül marad, és soha nem lép be a nyilvános internetre. A gerinc az egyik legnagyobb a világon, több mint 250.000 km megvilágított száloptikai és alsea kábelrendszerek. A hálózati forgalom azonban nem garantált, hogy mindig ugyanazt az útvonalat követi az egyik Azure-régiótól a másikig. Az Azure-felhőhöz szükséges megbízhatóság biztosítása érdekében a Microsoft számos fizikai hálózati útvonallal rendelkezik, és automatikus útválasztást biztosít a hibák körül az optimális megbízhatóság érdekében. Ez az automatikus útválasztás azt jelenti, hogy a Microsoft nem tudja garantálni, hogy az Azure-régiók közötti hálózati forgalom a megfelelő földrajzi helyre korlátozódjon. Ha a hálózati infrastruktúra megszakad, a Microsoft átirányíthatja a titkosított hálózati forgalmat a saját gerincén, hogy biztosítsa a szolgáltatás rendelkezésre állását és a lehető legjobb teljesítményt.

Az ügyfeleknek át kell tekintenie az Azure ajánlott eljárásait az átvitt adatok védelme érdekében, hogy az összes átvitel alatt álló adat titkosítva legyen. A kulcsfontosságú Azure-szolgáltatások (például az Azure SQL Database) esetében a rendszer alapértelmezés szerint kikényszeríti az átvitel közbeni adattitkosítást.

Következő lépésként azt vizsgáljuk meg, hogyan védheti meg a titkosítás az inaktív adatokat.

Folytatás