Az inaktív adatok védelme

  • 7 perc

Az Azure széles körű lehetőségeket kínál az inaktív adatok titkosítására, hogy az ügyfelek biztonságban tudják adataikat, és megfeleljenek a megfelelőségi igényeiknek a Microsoft által felügyelt titkosítási kulcsok és az ügyfél által felügyelt titkosítási kulcsok használatával. Ez a folyamat több titkosítási kulcsra és szolgáltatásra, például az Azure Key Vaultra és a Microsoft Entra ID-ra támaszkodik a kulcsok biztonságos eléréséhez és a központi kulcskezeléshez. A kulcshozzáférés szabályozása és az adatok hatékony tömeges titkosításának és visszafejtésének biztosítása általában a következő titkosítási kulcstípusokkal történik:

  • Az adattitkosítási kulcs (DEK) egy szimmetrikus AES-256-kulcs, amelyet partíciók vagy adatblokkok tömeges titkosítására és visszafejtésére használnak. Egy adott adatblokk titkosításáért és visszafejtéséért felelős erőforrás-szolgáltatónak vagy alkalmazáspéldánynak hozzá kell férnie a DEK-khoz. Egyetlen erőforrás több partícióval és sok DEK-val rendelkezhet. Ha a DEK-t új kulccsal cseréli le, csak a társított blokkban lévő adatokat kell újra titkosítani az új kulccsal. A DEK kulcstitkosítási kulccsal (KEK) van titkosítva, és soha nem lesz titkosítva.
  • A kulcstitkosítási kulcs (KEK) egy aszimmetrikus RSA-2048-kulcs, amelyet az ügyfél opcionálisan biztosít. Ez a kulcs az Adattitkosítási kulcs (DEK) az Azure Key Vault használatával történő titkosítására szolgál, és csak az Azure Key Vaultban létezik. A KEK soha nem érhető el közvetlenül az erőforrás-szolgáltató vagy más szolgáltatások számára. Az Azure Key Vault engedélyei szabályozzák a KEK-hez való hozzáférést, és az Azure Key Vaulthoz való hozzáférést a Microsoft Entra-azonosítón keresztül kell hitelesíteni. Az engedélyek visszavonhatók a kulcshoz való hozzáférés letiltásához, valamint a kulcslánc gyökerének használatával titkosított adatokhoz.

Az online dokumentációban részletes információk érhetők el a különböző titkosítási modellekről és az Azure platformszolgáltatások széles körének kulcskezelésével kapcsolatos részletekről. Ezenkívül egyes Azure-szolgáltatások több titkosítási modellt is biztosítanak, beleértve az ügyféloldali titkosítást is, hogy részletesebb vezérlőkkel tovább titkosíthassák az adataikat.

A szakasz további része a kulcsforgatókönyvek titkosítási implementációját ismerteti, beleértve a Storage szolgáltatás titkosítását, az Azure Disk titkosítást és az Azure SQL Database transzparens adattitkosítását (TDE).

Győződjön meg arról, hogy az adatok automatikusan titkosítva lesznek

Az Inaktív adatok Azure Storage-szolgáltatásának titkosítása biztosítja, hogy az adatok automatikusan titkosítva lesznek, mielőtt azOkat az Azure Storage-ba tárolják, és visszafejtik a lekérés előtt. Az Azure Storage-ba írt összes adat a FIPS 140-2 ellenőrzött 256 bites AES-titkosítással van titkosítva. Az Azure Storage szolgáltatás titkosításának titkosítása, visszafejtése és kulcskezelése átlátható az ügyfelek számára. Alapértelmezés szerint a Microsoft vezérli a titkosítási kulcsokat, és felelős a rotációért, a használatért és a hozzáférésért. A kulcsok biztonságosan és védetten vannak tárolva egy Microsoft-kulcstárolóban. Ez a beállítás biztosítja a legkomfortosabb megoldást az ügyfelek számára, mivel az összes Azure Storage-szolgáltatás támogatott.

Az ügyfelek azonban úgy is dönthetnek, hogy a titkosítást a saját kulcsukkal kezelik a következő beállítás megadásával:

  • Ügyfél által felügyelt kulcs az Azure Storage-titkosítás kezeléséhez, amelynek során a kulcs az Azure Key Vaultban van tárolva. Ez a beállítás nagy rugalmasságot biztosít az ügyfelek számára az ügyfél által felügyelt kulcsokhoz való hozzáférés létrehozásához, elforgatásához, letiltásához és visszavonásához. Az ügyfeleknek az Azure Key Vault használatával kell tárolniuk az ügyfél által felügyelt kulcsokat. A kulcstartók és a felügyelt HSM-k egyaránt támogatottak.
  • Az ügyfél által biztosított kulcs a Blob Storage titkosításához és visszafejtéséhez csak akkor használható, ha a kulcs az Azure Key Vaultban vagy egy másik, az ügyfél helyszíni kulcstárolójában tárolható a jogszabályi megfelelőségi követelményeknek való megfelelés érdekében. Az ügyfél által biztosított kulcsok lehetővé teszik az ügyfelek számára, hogy az olvasási vagy írási műveletek részeként blob API-kat használva adjanak át egy titkosítási kulcsot az Azure Storage szolgáltatásnak.

A tárolási szolgáltatás titkosítása alapértelmezés szerint engedélyezve van az összes új és meglévő tárfiók esetében, és nem tiltható le. A titkosítási folyamat két külön kulcsot használ a korábban leírtak szerint: szimmetrikus AES-256 DEK és aszimmetrikus RSA-2048 KEK.

Lemeztitkosítás virtuális gépekhez

Az Azure Storage szolgáltatástitkosítás titkosítja az Azure-beli virtuálisgép-lemezeket tároló lapblobokat. Emellett az Azure Disk Encryption opcionálisan használható Az Azure Windows - és Linux IaaS virtuálisgép-lemezek titkosítására is, hogy növeljék a tárolók elkülönítését, és biztosítsák az Azure-ban tárolt ügyféladatok titkosítási biztosságát. Ez a titkosítás felügyelt lemezeket is tartalmaz. Az Azure Lemeztitkosítás a Windows iparági szabványnak megfelelő BitLocker funkcióját és a Linux DM-Crypt funkcióját használja az IaaS virtuális gép által használt operációs rendszer és adatlemezek kötettitkosításához. A megoldás integrálva van az Azure Key Vaulttal, hogy segítsen az ügyfeleknek a lemeztitkosítási kulcsok vezérlésében és kezelésében. Az Azure Key Vault támogatja a saját kulcs (BYOK) forgatókönyvek használatát, így az ügyfelek saját titkosítási kulcsokat biztosítanak, amelyek az Azure Key Vaultban védve vannak. Az Azure Disk titkosítása két, korábban ismertetett titkosítási kulcsra támaszkodik: 1) szimmetrikus AES-256 DEK az operációs rendszer és az adatkötetek titkosításához, 2) aszimmetrikus RSA-2048 KEK, amelyet a DEK titkosításához használnak, és az Azure Key Vaultban, ügyfélvezérlés alatt tárolnak.

Az Azure Disk titkosítását a felügyelt HSM-ek vagy a helyszíni kulcskezelési szolgáltatás nem támogatja. Az Azure Disk-titkosításhoz csak az Azure Key Vault szolgáltatás által felügyelt kulcstartók használhatók az ügyfél által felügyelt titkosítási kulcsok védelmére.

Az Azure SQL Database transzparens adattitkosítása

Az Azure SQL Database alapértelmezés szerint transzparens adattitkosítást (TDE) biztosít inaktív állapotban. A TDE valós idejű titkosítási és visszafejtési műveleteket hajt végre az adatokon és a naplófájlokon. Az adatbázistitkosítási kulcs (DEK) az adatbázis rendszerindítási rekordjában tárolt szimmetrikus kulcs, amely a helyreállítás során rendelkezésre áll. A rendszer a kiszolgáló főadatbázisában tárolt tanúsítvánnyal védi. Vagy egy TDE Protector nevű aszimmetrikus kulccsal, amely az Azure Key Vault ügyfélvezérlése alatt van tárolva. A Key Vault támogatja a saját kulcs (BYOK) használatát, amely lehetővé teszi az ügyfelek számára, hogy a TDE Protectort a Key Vaultban tárolják, és vezéreljék a kulcskezelési feladatokat. Beleértve a kulcsengedélyeket, a rotációt, a törlést, a naplózás/jelentéskészítés engedélyezését az összes TDE-védőn stb. A kulcsot létrehozhatja a Key Vault, importálhatja vagy áthelyezheti a Key Vaultba egy helyszíni HSM-eszközről. Az ügyfelek az Azure SQL Database Always Encrypted funkcióját is használhatják, amelyet kifejezetten a bizalmas adatok védelmére terveztek. Lehetővé teszi az ügyfelek számára az adatok ügyfélalkalmazáson belüli titkosítását, és soha nem fedik fel a titkosítási kulcsokat az adatbázismotor számára. Így az Always Encrypted különválasztja az adatokat tulajdonos felhasználókat (és megtekintheti őket) és az adatokat kezelő felhasználókat (de nem férhet hozzá).

Most nézzük meg, hogyan védheti meg az Azure az adatokat használat közben.