Előző

Következő

Inaktív adatok biztonságos kezelése az Azure SQL Database-ben és az Azure Cosmos DB-ben

Befejeződött

A cég által az Azure-ba áthelyezendő adatok között ügyfelekre vonatkozó és pénzügyi jellegű adatok is vannak. Ezeknek az adatoknak a jogszabályi követelményeknek megfelelően a rendszerek és az alkalmazások számára napi rendszerességgel elérhetően, a lehető legnagyobb biztonságba kell kerülniük. Ennek megvalósításához ismernie kell az Azure SQL Database és az Azure Cosmos DB elérhető szolgáltatásait.

Itt megismerheti az Azure SQL Database és az Azure Cosmos DB titkosítási funkcióit.

Azure SQL-adatbázis védelme transzparens adattitkosítással

Az Azure SQL-adatbázisok strukturált formában, adatfájlokban és tranzakciós naplófájlokban tárolják az adatokat. Ezeket a fájlokat titkosíthatja, hogy az adatok biztonságban maradnak. Még akkor is, ha az adatokat tároló merevlemezek megsérülnek, vagy ellopják az adatfájlokat.

Az Azure SQL Database esetében az inaktív adatok titkosítását a transzparens adattitkosítással végezheti el. A transzparens adattitkosítás nem csupán az adatfájlokra, hanem a tranzakciós naplófájlokra és az adatbázisok biztonsági másolataira is vonatkozik. A titkosítás folyamata teljes mértékben transzparens az adatfájlokat használó alkalmazások számára.

Régebbi SQL-adatbázisok esetében a transzparens adattitkosítás alapértelmezés szerint nem mindig engedélyezett. Az újonnan kiépített SQL-adatbázisok alapértelmezés szerint tartalmazzák a transzparens adattitkosítást.

A transzparens adattitkosítás lehetővé teszi egy teljes adatbázis adott folyamaton belüli titkosítását. Az adatbázis titkosítása az adatbázis-titkosítási kulcs segítségével történik. A kulcsot ezt követően egy transzparens adattitkosítási modul védi. A modul lehet egy Azure Key Vaultban tárolt kulcs, vagy egy felügyelt tanúsítvány.

Az adatbázis-titkosítási kulcs visszafejtésére az adatbázis indításakor kerül sor. Később ugyanez az adatbázis-titkosítási kulcs használható az adatbázis visszafejtéséhez, és ha arra kerül sor, az újratitkosításához.

Manuálisan engedélyezheti a transzparens adattitkosítást az Azure-beli SQL-adatbázisokhoz az Azure PowerShell, a Transact-SQL vagy az Azure Portal használatával. Az Azure Portalon válassza ki az SQL-adatbázist, és keressen transzparens adattitkosítást a Biztonság területen. Ezután válassza a BE elemet.

Az alábbi példa azt mutatja, hogyan konfigurálhat transzparens adattitkosítást a portálon:

Az Azure Cosmos DB-adatbázis védelme az inaktív adatok automatikus titkosításával

Az Azure Cosmos DB adatbázisaiban strukturálatlan formában tárolhatók az adatok. Az Azure Cosmos DB adatbázisai fizikailag vannak tárolva tartós állapotú meghajtókon. Az Azure Cosmos DB összetevői, például a biztonsági másolatok, HDD-ken vannak tárolva.

Az inaktív állapotú média-csatolmányok, tényleges adatfájlok és biztonsági mentések mindegyike biztonságba helyezhető. A titkosítás azonban nem befolyásolja az Azure Cosmos DB szolgáltatási szerződésében vállalt késési és átviteli értékeket. Az adatok inaktív állapotban automatikusan titkosítva vannak, de nem lesznek automatikusan titkosítva, amikor azokat létrehozták és használatban vannak.

Az Azure Cosmos DB-adatbázisban lévő adatokat AES-256 titkosítás védi. Az Azure Cosmos DB felügyeleti szolgáltatása a háttérben egy titkos tároló segítségével hajtja végre az összes titkosítási kulcs kezelését, és szükség esetén kicsomagolja őket. A kulcsok az adatok titkosítására és visszafejtésére szolgálnak. A Microsoft kezeli, és az adatok biztonsága érdekében rotálja is a titkosítási kulcsokat.

Az inaktív adatok titkosítása alapértelmezés szerint engedélyezve van. Kulcsrakész globális disztribúciót használhat, és az adatokat bármely régióba replikálhatja, tudva, hogy az összes adat automatikusan titkosítva van. Valójában még ha akarná, sem tilthatná le a titkosítást. Az alapértelmezetten engedélyezett titkosítás szükségtelenné teszi, hogy külön konfigurálja az Azure Cosmos DB-t az összes adata védelmére.

A felhasználók biztonságosan létesíthetnek kapcsolatot az Azure Cosmos DB-vel és küldhetnek adatokat. Az Azure Cosmos DB-ben tárolandó és megőrzendő adatokat a rendszer titkosítja, majd az összes fontos indexelési adattal együtt egy biztonságos tárhelyre írja. Ezt követően rendszeresen létrejön egy biztonsági másolat.

Tesztelje tudását

1.

Létrehozott egy új SQL-adatbázist. Hogyan engedélyezi az adatbázis inaktív titkosítását?

Megnyitja a portált, megkeresi az Azure SQL Database transzparens adattitkosítási beállítását, és bekapcsolja.

A PowerShellt használja az SQL-adatbázis kezeléséhez és a transzparens adattitkosítás engedélyezéséhez is.

Az SQL-adatbázishoz már engedélyezve van a titkosítás. Semmit nem kell tennie.

2.

Az Azure Cosmos DB-ben tárolt adatok titkosítása kulcsok használatával történik. Mit kell tennie a kulcsokkal az adatok védelméhez?

A kulcsokat le kell másolnia. Ezután újra felhasználhatja a kulcsokat az adatvédelemhez.

Semmit nem kell tennie. A kulcsok rotálása automatikusan történik.

A kulcsokat Önnek kell rotálnia. Az adatvédelem érdekében a kulcsokat rendszeres időközönként meg kell változtatni.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás