Gegevensversleuteling in Azure

Gegevens kunnen worden gecategoriseerd op status:

• Data-at-rest. Alle gegevensopslagobjecten, containers en typen die statisch bestaan op fysieke media, of dit nu magnetische of optische schijven zijn.

• Gegevens onderweg. Gegevens die worden overgedragen tussen onderdelen, locaties of programma's.

In een cloudoplossing kan één zakelijke transactie leiden tot meerdere gegevensbewerkingen waarbij gegevens van het ene opslagmedium naar het andere worden verplaatst. Als u volledige gegevensbeveiliging wilt bieden, moet deze worden versleuteld op opslagvolumes en worden overgedragen van het ene naar het andere punt.

Belangrijkste punten

• Toegangsbesturingselementen voor opslag op basis van identiteit gebruiken.
• Gebruik standaard- en aanbevolen versleutelingsalgoritmen.
• Gebruik alleen beveiligde hash-algoritmen (SHA-2-familie).
• Classificeer uw data-at-rest en gebruik versleuteling.
• Virtuele schijven versleutelen.
• Gebruik een extra sleutelversleutelingssleutel (KEK) om uw gegevensversleutelingssleutel (DEK) te beveiligen.
• Gegevens tijdens overdracht beveiligen via versleutelde netwerkkanalen (TLS/HTTPS) voor alle client-/servercommunicatie. Gebruik TLS 1.2 in Azure.

Azure-versleutelingsfuncties

Azure biedt ingebouwde functies voor gegevensversleuteling in veel lagen die deel nemen aan gegevensverwerking. U wordt aangeraden voor elke service de versleutelingsmogelijkheid in teschakelen. De versleuteling wordt automatisch afgehandeld met behulp van door Azure beheerde sleutels. Hiervoor is bijna geen tussenkomst van de gebruiker vereist.

We raden u aan om op identiteit gebaseerd toegangsbesturingselement voor opslag te implementeren. Verificatie met een gedeelde sleutel (zoals een Shared Access Signature) biedt niet dezelfde flexibiliteit en controle als op identiteit gebaseerd toegangsbeheer. Het lekken van een gedeelde sleutel kan onbeperkte toegang tot een resource toestaan, terwijl een op rollen gebaseerd toegangsbeheer beter kan worden geïdentificeerd en geverifieerd.

Storage in een cloudservice zoals Azure wordt heel anders ontworpen en geïmplementeerd dan on-premises oplossingen om grootschalige schaalbaarheid, moderne toegang via REST API's en isolatie tussen tenants mogelijk te maken. Cloudserviceproviders maken meerdere methoden voor toegangsbeheer over opslagbronnen beschikbaar. Voorbeelden zijn gedeelde sleutels, gedeelde handtekeningen, anonieme toegang en methoden op basis van identiteitsproviders.

Neem enkele ingebouwde functies van Azure Storage:

• Toegang op basis van identiteit. Ondersteunt toegang via Azure Active Directory (Azure AD) en verificatiemechanismen op basis van sleutels, zoals symmetrische gedeelde sleutelverificatie of Shared Access Signature (SAS).
• Ingebouwde versleuteling. Alle opgeslagen gegevens worden versleuteld door Azure Storage. Gegevens kunnen niet worden gelezen door een tenant als deze niet zijn geschreven door die tenant. Deze functie biedt controle over gegevenslekken tussen tenants.
• Besturingselementen op basis van regio's. Gegevens blijven alleen in de geselecteerde regio en er worden drie synchrone kopieën van gegevens bewaard binnen die regio. Azure Storage biedt gedetailleerde logboekregistratie van activiteiten die op aanmeldingsbasis beschikbaar zijn.
• Firewallfuncties. De firewall biedt een extra laag van toegangsbeheer en beveiliging tegen opslagbedreigingen om afwijkende toegang en activiteiten te detecteren.

Zie serviceversleuteling voor de volledige set functies Azure Storage serviceversleuteling.

Voorgestelde actie

Identificeer verificatie- en autorisatiemethoden van de provider die het minst waarschijnlijk zullen worden aangetast en schakel meer op rollen gebaseerd toegangsbesturingselement voor opslagresources in.

Meer informatie

Voor meer informatie verwijzen we naar Toegang verlenen tot blobs met behulp Azure Active Directory.

Standaardversleutelingsalgoritmen

Maakt de organisatie gebruik van industriestandaard versleutelingsalgoritmen in plaats van hun eigen versleutelingsalgoritmen te maken?

Organisaties mogen geen eigen versleutelingsalgoritmen ontwikkelen en onderhouden. Vermijd het gebruik van aangepaste versleutelingsalgoritmen of directe cryptografie in uw workload. Deze methoden kunnen zelden worden gebruikt tegen aanvallen in de echte wereld.

Er bestaan al beveiligde standaarden op de markt en moeten de voorkeur hebben. Als aangepaste implementatie is vereist, moeten ontwikkelaars goed tot stand gebrachte cryptografische algoritmen en veilige standaarden gebruiken. Gebruik Advanced Encryption Standard (AES) als een symmetrische blokcode, AES-128, AES-192 en AES-256 zijn acceptabel.

Ontwikkelaars moeten cryptografie-API's gebruiken die zijn ingebouwd in besturingssystemen in plaats van niet-platformcryptografiebibliotheken. Volg voor .NET het .NET-cryptografiemodel.

We raden u aan om standaard en aanbevolen versleutelingsalgoritmen te gebruiken.

Raadpleeg Choose an algorithm (Een algoritme kiezen) voor meer informatie.

Worden moderne hash-functies gebruikt?

Toepassingen moeten gebruikmaken van de SHA-2-familie van hash-algoritmen (SHA-256, SHA-384, SHA-512).

Inactieve gegevens

Alle belangrijke gegevens moeten worden geclassificeerd en versleuteld met een versleutelingsstandaard. Classificeren en beveiligen van alle gegevensopslagobjecten. Gebruik versleuteling om ervoor te zorgen dat de inhoud van bestanden niet kan worden gebruikt door onbevoegde gebruikers.

Data-at-rest wordt standaard versleuteld in Azure, maar worden uw kritieke gegevens geclassificeerd en gelabeld, of gelabeld zodat ze kunnen worden gecontroleerd?

Uw meest gevoelige gegevens kunnen bedrijfs-, financiële, gezondheidszorg- of persoonlijke gegevens zijn. Het detecteren en classificeren van deze gegevens kan een belangrijke rol spelen in de benadering van gegevensbeveiliging van uw organisatie. Dit kan dienen als infrastructuur om:

• Helpen om te voldoen aan standaarden voor gegevens privacy en vereisten voor naleving van regelgeving.
• Verschillende beveiligingsscenario's, zoals bewaking (controle) en waarschuwingen over afwijkende toegang tot gevoelige gegevens.
• Toegang tot en beveiliging van databases met uiterst gevoelige gegevens beheren en verbeteren.

Voorgestelde actie

Classificeer uw gegevens. Overweeg het gebruik van gegevensdetectie & classificatie in Azure SQL Database.

Gegevensclassificatie

Een cruciale eerste oefening voor het beveiligen van gegevens is om deze te ordenen in categorieën op basis van bepaalde criteria. De classificatiecriteria kunnen uw bedrijfsbehoeften, nalevingsvereisten en het type gegevens zijn.

Afhankelijk van de categorie kunt u deze beveiligen via:

• Standaardversleutelingsmechanismen.
• Dwing beveiligingsgovernance af via beleid.
• Controles uitvoeren om ervoor te zorgen dat de beveiligingsmaatregelen compatibel zijn.

Een manier om gegevens te classificeren, is door gebruik te maken van tags.

Versleutelt de organisatie virtuele schijfbestanden voor virtuele machines die aan deze workload zijn gekoppeld?

Er zijn veel opties voor het opslaan van bestanden in de cloud. Cloudeigen apps maken doorgaans gebruik van Azure Storage. Apps die op VM's worden uitgevoerd, gebruiken deze om bestanden op te slaan. Virtuele machines gebruiken virtuele-schijfbestanden als virtuele opslagvolumes en bestaan in een blobopslag.

Overweeg een hybride oplossing. Bestanden kunnen worden verplaatst van on-premises naar de cloud, van de cloud naar on-premises of tussen services die in de cloud worden gehost. Eén strategie is ervoor te zorgen dat de bestanden en hun inhoud niet toegankelijk zijn voor onbevoegde gebruikers. U kunt toegangsbesturingselementen op basis van verificatie gebruiken om te voorkomen dat bestanden door onbevoegden worden gedownload. Dat is echter niet voldoende. Een back-upmechanisme voor het beveiligen van de virtuele schijfbestanden in het geval verificatie en autorisatie of de configuratie is aangetast. Er zijn verschillende benaderingen. U kunt de virtuele schijfbestanden versleutelen. Als er wordt geprobeerd schijfbestanden te maken, is de inhoud van de bestanden niet toegankelijk vanwege de versleuteling.

U wordt aangeraden om versleuteling van virtuele schijven in teschakelen. Zie Quickstart Windows: Een virtuele Windows maken en versleutelen met de Azure CLI voor meer informatie over het versleutelen van Windows-VM-schijven.

Virtuele schijven op basis van Azure worden opgeslagen als bestanden in een Storage account. Als er geen versleuteling wordt toegepast op een virtuele schijf en een aanvaller erin slaagt om een afbeeldingsbestand van een virtuele schijf te downloaden, kan het worden geïnstalleerd en geïnspecteerd op de computer van de aanvaller alsof deze fysieke toegang tot de broncomputer heeft. Het versleutelen van virtuele-schijfbestanden helpt te voorkomen dat aanvallers toegang krijgen tot de inhoud van deze schijfbestanden in het geval ze ze kunnen downloaden. Afhankelijk van de gevoeligheid van de informatie die op de schijf is opgeslagen, kan niet-versleutelde toegang een kritiek risico vormen voor vertrouwelijke bedrijfsgegevens (zoals een SQL-database) of identiteit (zoals een AD-domeincontroller).

Een voorbeeld van versleuteling van virtuele schijven is Azure Disk Encryption.

Azure Disk Encryption helpt om uw gegevens te beschermen en te beveiligen, zodat u aan de beveiligings- en nalevingsafspraken van uw organisatie voldoet. Het maakt gebruik van de Bitlocker-functie van Windows (of DM-Crypt in Linux) om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven van virtuele Azure-machines (VM's). Het is geïntegreerd met Azure Key Vault u de schijfversleutelingssleutels en -geheimen kunt beheren en beheren.

Virtuele machines gebruiken virtuele schijfbestanden als opslagvolumes en bestaan in het blobopslagsysteem van een cloudserviceprovider. Deze bestanden kunnen worden verplaatst van on-premises naar cloudsystemen, van cloudsystemen naar on-premises of tussen cloudsystemen. Vanwege de mobiliteit van deze bestanden is het raadzaam dat de bestanden en de inhoud niet toegankelijk zijn voor onbevoegde gebruikers.

Gebruikt de organisatie toegangsbesturingselementen voor opslag op basis van identiteit voor deze workload?

Er zijn veel manieren om de toegang tot gegevens te controleren: gedeelde sleutels, gedeelde handtekeningen, anonieme toegang, op basis van identiteitsproviders. Gebruik Azure Active Directory (Azure AD) en op rollen gebaseerd toegangsbeheer (RBAC) om toegang te verlenen. Zie Overwegingen voor identiteits- en toegangsbeheer voor meer informatie.

Bebeveiligen de organisatie sleutels in deze workload met een extra sleutelversleutelingssleutel (KEK)?

Gebruik meer dan één versleutelingssleutel in een versleuteling-at-rest-implementatie. Het opslaan van een versleutelingssleutel in Azure Key Vault zorgt voor beveiligde sleuteltoegang en centraal beheer van sleutels.

Gebruik een extra sleutelversleutelingssleutel (KEK) om uw gegevensversleutelingssleutel (DEK) te beveiligen.

Voorgestelde acties

Identificeer niet-versleutelde virtuele machines via Azure Security Center of script en versleutelen via Azure Disk Encryption. Zorg ervoor dat alle nieuwe virtuele machines standaard zijn versleuteld en regelmatig worden gecontroleerd op niet-beveiligde schijven.

Meer informatie

Azure Disk Encryption voor virtuele machines en virtuele-machineschaalsets

Actieve gegevens

Gegevens die worden verzonden, moeten op alle punten worden versleuteld om gegevensintegriteit te garanderen.

Het beschermen van gegevens tijdens de overdracht moet een essentieel onderdeel zijn van uw strategie om gegevens te beschermen. Omdat gegevens tussen veel locaties worden verplaatst, adviseren we over het algemeen om SSL-/TLS-protocollen te gebruiken om gegevens tussen verschillende locaties uit te wisselen.

U kunt gepaste beschermingsmaatregelen gebruiken, zoals HTTPS of VPN, voor gegevens die worden verplaatst tussen uw lokale infrastructuur en Azure. Gebruik Azure VPN Gateway om versleuteld verkeer te verzenden tussen een virtueel Azure-netwerk en een lokale omgeving.

Communiceert de workload alleen via versleuteld netwerkverkeer?

Netwerkcommunicatie tussen client en server waarbij man-in-the-middle-aanvallen kunnen optreden, moet worden versleuteld. Alle websitecommunicatie moet HTTPS gebruiken, ongeacht de waargenomen gevoeligheid van overgedragen gegevens. Man-in-the-middle-aanvallen kunnen overal op de site plaatsvinden, niet alleen aanmeldingsformulieren.

Dit mechanisme kan worden toegepast op gebruiksgevallen zoals:

• Webtoepassingen en API's voor alle communicatie met clients.
• Gegevens die via een servicebus worden verplaatst van on-premises naar de cloud en andersom, of tijdens een invoer-/uitvoerproces.

In bepaalde architectuurstijlen, zoals microservices, moeten gegevens worden versleuteld tijdens de communicatie tussen de services.

Welke TLS-versie wordt gebruikt voor alle workloads?

Het gebruik van de nieuwste versie van TLS heeft de voorkeur. Alle Azure-services ondersteunen TLS 1.2 op openbare HTTPS-eindpunten. Migreert oplossingen ter ondersteuning van TLS 1.2 en gebruikt deze versie standaard.

Als het verkeer van clients die oudere versies van TLS gebruiken minimaal is of als het acceptabel is om aanvragen te laten mislukken die zijn gedaan met een oudere versie van TLS, kunt u overwegen om een minimale TLS-versie af te afdwingen. Zie Beveiligingsrisico's herstellen met een minimale versie van TLS voor meer informatie over TLS-ondersteuningin Azure Storage.

Soms moet u uw hele communicatiekanaal tussen uw on-premises infrastructuur en de cloudinfrastructuur isoleren met behulp van een virtueel particulier netwerk (VPN) of ExpressRoute. Zie de volgende artikelen voor meer informatie:

• On-premises gegevensoplossingen uitbreiden naar de cloud
• Een punt-naar-site-VPN-verbinding met een VNet configureren met behulp van systeemeigen Azure-certificaatverificatie: Azure Portal

Zie Gegevens tijdens overdracht beveiligen voor meer informatie.

Is er een deel van de toepassing dat geen gegevens tijdens de overdracht beveiligt?

Alle gegevens moeten tijdens de overdracht worden versleuteld met behulp van een algemene versleutelingsstandaard. Bepaal of alle onderdelen in de oplossing een consistente standaard gebruiken. Er zijn momenten waarop versleuteling niet mogelijk is vanwege technische beperkingen. Zorg ervoor dat de reden duidelijk en geldig is.

Voorgestelde acties

Identificeer workloads met niet-versleutelde sessies en configureer de service om versleuteling te vereisen.

Lees meer

• Actieve gegevens versleutelen
• Overzicht van Azure-versleuteling

Volgende stappen

Hoewel het belangrijk is om gegevens te beveiligen met versleuteling, is het net zo belangrijk om de sleutels te beveiligen die toegang tot de gegevens bieden.

Verwante koppelingen

Identiteits- en toegangsbeheerservices verifiëren en verlenen machtigingen aan gebruikers, partners, klanten, toepassingen, services en andere entiteiten. Zie Overwegingen voor Identiteits- en toegangsbeheer van Azure voor beveiligingsoverwegingen.

Terug naar het hoofdartikel: Gegevensbeveiliging