Versleutelingsopties voor het beveiligen van virtuele Windows- en Linux-machines
Stel dat de handelspartners van uw bedrijf beveiligingsbeleid hebben waarvoor hun handelsgegevens moeten worden beveiligd met sterke versleuteling. U gebruikt een B2B-toepassing die wordt uitgevoerd op uw Windows-servers en gegevens opslaat op de servergegevensschijf. Nu u overstapt naar de cloud moet u aan uw handelspartners aantonen dat de gegevens die op uw Azure-VM’s zijn opgeslagen niet kunnen worden benaderd door onbevoegde gebruikers, apparaten of toepassingen. U moet een strategie bepalen voor de implementatie van de versleuteling van uw B2B-gegevens.
Uw controle-eisen schrijven voor dat uw versleutelingssleutels intern worden beheerd en niet door een externe partij. U wilt er ook voor zorgen dat de prestaties en beheerbaarheid van uw Azure-servers behouden blijven. Voordat u versleuteling implementeert wilt u daarom eerst zeker weten dat er geen prestatieproblemen ontstaan.
Wat is versleuteling?
Bij versleuteling wordt betekenisvolle informatie omgezet in iets dat zonder betekenis lijkt, zoals een willekeurige reeks letters en cijfers. Bij het versleutelingsproces wordt een bepaalde sleutel gebruikt als onderdeel van het algoritme dat de versleutelde gegevens maakt. Er is ook een sleutel nodig om de ontsleuteling uit te voeren. Sleutels kunnen symmetrisch zijn, waarbij dezelfde sleutel wordt gebruikt voor versleuteling en ontsleuteling, of asymmetrisch, waarbij verschillende sleutels worden gebruikt. Een voorbeeld van asymmetrische sleutels zijn de openbare/persoonlijke sleutelparen die in digitale certificaten worden gebruikt.
Symmetrische versleuteling
Algoritmen die gebruikmaken van symmetrische sleutels, zoals Advanced Encryption Standard (AES), zijn doorgaans sneller dan openbare-sleutelalgoritmen en worden vaak gebruikt voor het beveiligen van grote gegevensarchieven. Omdat er maar één sleutel nodig is, moeten er procedures aanwezig zijn om te voorkomen dat de sleutel openbaar wordt.
Asymmetrische versleuteling
Bij asymmetrische algoritmen moet alleen de persoonlijke sleutel van het sleutelpaar geheim worden gehouden en worden beschermd. Zoals de naam al aangeeft, kan de openbare sleutel aan iedereen wordt gegeven zonder dat de versleutelde gegevens daarmee in gevaar worden gebracht. Het nadeel van openbare-sleutelalgoritmen is echter dat ze veel langzamer zijn dan symmetrische algoritmen en niet kunnen worden gebruikt om grote hoeveelheden gegevens te versleutelen.
Sleutelbeheer
In Azure kunnen Microsoft of de klant uw versleutelingssleutels beheren. Vaak is de vraag naar door de klant beheerde sleutels afkomstig van organisaties die naleving van HIPAA of andere regelgeving moeten demonstreren. Voor dergelijke naleving is mogelijk vereist dat de toegang tot sleutels wordt geregistreerd en dat er regelmatig belangrijke wijzigingen worden aangebracht en vastgelegd.
Schijfversleutelingstechnologieën van Azure
De belangrijkste schijfbeschermingstechnologieën op basis van versleuteling voor Azure-VM’s zijn:
- Azure Storage Service Encryption (SSE)
- Azure Disk Encryption (ADE)
SSE wordt uitgevoerd op de fysieke schijven in het datacenter. Als iemand rechtstreeks toegang zou krijgen tot de fysieke schijf, worden de gegevens versleuteld. Wanneer de gegevens worden geopend vanaf de schijf, worden deze ontsleuteld en in het geheugen geladen.
ADE versleutelt de virtuele harde schijven van de virtuele machine (VHD's). Als een VHD is beveiligd met ADE, is de schijfinstallatiekopieën alleen toegankelijk voor de virtuele machine die eigenaar is van de schijf.
Het is mogelijk om beide services te gebruiken om uw gegevens te beveiligen.
Storage Service Encryption
SSE is een versleutelingsservice die is ingebouwd in Azure die wordt gebruikt om data-at-rest te beveiligen. Het Azure-opslagplatform versleutelt gegevens automatisch voordat deze in verschillende opslagservices, waaronder Azure Managed Disks, worden opgeslagen. De versleuteling is standaard ingeschakeld met 256-bits AES-versleuteling en wordt beheerd door de beheerder van het opslagaccount.
SSE is ingeschakeld voor alle nieuwe en bestaande opslagaccounts en kan niet worden uitgeschakeld. Uw gegevens worden standaard beveiligd; U hoeft uw code of toepassingen niet te wijzigen om te profiteren van SSE.
SSE heeft geen invloed op de prestaties van Azure Storage-services.
Azure Disk Encryption
De eigenaar van de VIRTUELE machine beheert ADE. Het regelt de versleuteling van beheerde schijven van Windows- en Linux-VM's met behulp van BitLocker op Windows-VM's en DM-Crypt op Linux-VM's. BitLocker-stationsversleuteling is een functie voor gegevensbeveiliging die integreert met het besturingssysteem en de bedreigingen van gegevensdiefstal of blootstelling van verloren, gestolen of ongepaste computers verhelpt. DM-Crypt versleutelt op soortgelijke wijze data-at-rest voor Linux voordat deze naar het geheugen wordt geschreven.
ADE zorgt dat alle gegevens op VM-schijven in ruststand worden versleuteld in Azure Storage en is vereist voor VM's waarvan een back-up is gemaakt in de Recovery-kluis.
Als ADE wordt gebruikt, starten VM's op basis van sleutels en beleidsregels die door de klant worden beheerd. ADE is geïntegreerd met Azure Key Vault om deze sleutels en geheimen voor schijfversleuteling te beheren.
Notitie
ADE biedt geen ondersteuning voor het versleutelen van VM's in de Basic-laag en u kunt geen on-premises KMS (Key Management Service) met ADE gebruiken.
Wanneer moet u versleuteling gebruiken
Computergegevens lopen gevaar als ze worden overgedragen (verzonden via internet of via een ander netwerk) of als ze in ruste zijn (opgeslagen op een opslagapparaat). Het ruststandscenario vormt de grootste zorg bij het beschermen van gegevens op schijven van een Azure-VM. Iemand kan bijvoorbeeld het VHD-bestand (Virtual Hard Disk) downloaden dat is gekoppeld aan een Azure-VM en het bestand opslaan op hun laptop. Als de VHD niet is versleuteld, is de inhoud van de VHD mogelijk toegankelijk voor iedereen die het VHD-bestand op zijn eigen computer kan koppelen.
Voor besturingssysteemschijven worden gegevens zoals wachtwoorden automatisch versleuteld, dus zelfs als de VHD zelf niet is versleuteld, is het niet eenvoudig om toegang te krijgen tot die informatie. Toepassingen kunnen ook automatisch hun eigen gegevens versleutelen. Zelfs als iemand met kwaadwillende bedoelingen met dergelijke beveiliging echter toegang krijgt tot een gegevensschijf en de schijf zelf niet is versleuteld, kunnen ze mogelijk misbruik maken van bekende zwakke punten in de gegevensbeveiliging van die toepassing. Met schijfversleuteling zijn dergelijke aanvallen niet mogelijk.
SSE maakt deel uit van Azure zelf en er mag geen merkbare invloed zijn op de prestaties van de I/O van de VM-schijf wanneer u SSE gebruikt. Beheerde schijven met SSE zijn nu de standaard en er zou geen reden moeten zijn om dit te veranderen. ADE maakt gebruik van hulpprogramma's van het VM-besturingssysteem (BitLocker en DM-Crypt), zodat de VM zelf wat werk moet doen wanneer versleuteling of ontsleuteling op VM-schijven wordt uitgevoerd. De impact van deze extra CPU-activiteit voor VM's is meestal verwaarloosbaar, behalve in bepaalde situaties. Als u bijvoorbeeld een CPU-intensieve toepassing hebt, kan het gebeuren dat de besturingssysteemschijf niet versleuteld blijft om de prestaties te maximaliseren. In deze situatie kunt u toepassingsgegevens opslaan op een afzonderlijke versleutelde gegevensschijf, waardoor u de prestaties krijgt die u nodig hebt zonder dat de beveiliging in gevaar komt.
Azure biedt twee aanvullende versleutelingstechnologieën die worden gebruikt om schijven van een Azure-VM te beveiligen. Deze technologieën (SSE en ADE) versleutelen op verschillende lagen en dienen verschillende doeleinden. Beide gebruiken AES 256-bits versleuteling. Het gebruik van beide technologieën biedt een diepgaande verdediging tegen niet-gemachtigde toegang tot uw Azure-opslag en tot specifieke virtuele harde schijven.