Azure Data Encryption -at-rest

Microsoft Azure bevat hulpprogramma's voor het beveiligen van gegevens op basis van de beveiligings- en nalevingsbehoeften van uw bedrijf. Dit artikel richt zich op:

• Hoe data-at-rest wordt beveiligd in Microsoft Azure
• Bespreekt de verschillende onderdelen die deel uitmaken van de implementatie van gegevensbescherming,
• Beoordeelt voor- en nadelen van de verschillende benaderingen voor sleutelbeheerbeveiliging.

Versleuteling-at-rest is een algemene beveiligingsvereiste. In Azure kunnen organisaties data-at-rest versleutelen zonder het risico of de kosten van een aangepaste oplossing voor sleutelbeheer. Organisaties hebben de mogelijkheid om Versleuteling-at-rest volledig te laten beheren in Azure. Daarnaast hebben organisaties verschillende opties om versleutelings- of versleutelingssleutels nauwkeurig te beheren.

Wat is versleuteling-at-rest?

Versleuteling is de veilige codering van gegevens die worden gebruikt om de vertrouwelijkheid van gegevens te beschermen. De versleuteling-at-rest-ontwerpen in Azure gebruiken symmetrische versleuteling om grote hoeveelheden gegevens snel te versleutelen en ontsleutelen op basis van een eenvoudig conceptueel model:

• Een symmetrische versleutelingssleutel wordt gebruikt om gegevens te versleutelen terwijl deze naar de opslag worden geschreven.
• Dezelfde versleutelingssleutel wordt gebruikt om die gegevens te ontsleutelen, aangezien deze direct in het geheugen kunnen worden gebruikt.
• Gegevens kunnen worden gepartitief en er kunnen verschillende sleutels worden gebruikt voor elke partitie.
• Sleutels moeten worden opgeslagen op een veilige locatie met op identiteit gebaseerd toegangsbeheer en controlebeleid. Gegevensversleutelingssleutels die buiten beveiligde locaties worden opgeslagen, worden versleuteld met een sleutelversleutelingssleutel die op een veilige locatie wordt bewaard.

In de praktijk vereisen scenario's voor sleutelbeheer en beheer, evenals schaal- en beschikbaarheidsgaranties, extra constructies. Microsoft Azure Hieronder worden concepten en onderdelen voor versleuteling-at-rest beschreven.

Het doel van versleuteling-at-rest

Versleuteling-at-rest biedt gegevensbeveiliging voor opgeslagen gegevens (at-rest). Aanvallen tegen data-at-rest omvatten pogingen om fysieke toegang te verkrijgen tot de hardware waarop de gegevens zijn opgeslagen en vervolgens de ingesloten gegevens in gevaar te brengen. Bij een dergelijke aanval is de harde schijf van een server mogelijk onjuist gebruikt tijdens onderhoud, waardoor een aanvaller de harde schijf kan verwijderen. Later zou de aanvaller de harde schijf in een computer onder zijn controle zetten om toegang te krijgen tot de gegevens.

Versleuteling-at-rest is ontworpen om te voorkomen dat de aanvaller toegang heeft tot de niet-versleutelde gegevens door ervoor te zorgen dat de gegevens op schijf worden versleuteld. Als een aanvaller een harde schijf met versleutelde gegevens, maar niet de versleutelingssleutels, verkrijgt, moet de aanvaller de versleuteling voor het lezen van de gegevens laten liggen. Deze aanval is veel complexer en verbruikt resources dan het openen van niet-versleutelde gegevens op een harde schijf. Daarom wordt versleuteling-at-rest sterk aanbevolen en is het een hoge prioriteitsvereiste voor veel organisaties.

Versleuteling-at-rest kan ook worden vereist door de behoefte van een organisatie aan gegevensbeheer en nalevingsinspanningen. Regelgeving voor de branche en overheid, zoals HIPAA, PCI en FedRAMP, biedt specifieke veiligheidsmaatregelen met betrekking tot gegevensbescherming en versleutelingsvereisten. Versleuteling-at-rest is een verplichte meting die vereist is om aan sommige van deze voorschriften te voldoen. Zie Federal Information Processing Standard (FIPS) Publication 140-2 (FiPS) Publicatie 140-2voor meer informatie over de fips-validatiemethode van Microsoft.

Versleuteling-at-rest biedt niet alleen nalevings- en regelgevingsvereisten, maar biedt ook diepgaande beveiliging. Microsoft Azure biedt een compatibel platform voor services, toepassingen en gegevens. Het biedt ook uitgebreide faciliteits- en fysieke beveiliging, beheer van gegevenstoegang en controle. Het is echter belangrijk om aanvullende 'overlappende' beveiligingsmaatregelen te bieden voor het geval een van de andere beveiligingsmaatregelen mislukt en versleuteling-at-rest een dergelijke beveiligingsmaatregel biedt.

Microsoft zet zich in voor versleuteling-at-rest-opties in cloudservices en geeft klanten controle over versleutelingssleutels en logboeken van sleutelgebruik. Daarnaast werkt Microsoft aan het standaard versleutelen van alle data-at-rest van klanten.

Azure Encryption at Rest Components

Zoals eerder beschreven, is het doel van versleuteling-at-rest dat gegevens die op de schijf worden opgeslagen, worden versleuteld met een geheime versleutelingssleutel. Om dit doel te bereiken, moet u de versleutelingssleutels veilig maken, opslaan, toegangsbeheer en beheren. Hoewel de details kunnen variëren, kunnen versleuteling-at-rest-implementaties van Azure-services worden beschreven in termen die worden geïllustreerd in het volgende diagram.

Azure Key Vault

De opslaglocatie van de versleutelingssleutels en het toegangsbeheer tot deze sleutels staan centraal in een versleuteling-at-rest-model. De sleutels moeten uiterst beveiligd, maar beheerbaar zijn voor opgegeven gebruikers en beschikbaar zijn voor specifieke services. Voor Azure-services is Azure Key Vault de aanbevolen oplossing voor sleutelopslag en biedt het een algemene beheerervaring voor alle services. Sleutels worden opgeslagen en beheerd in sleutelkluizen en toegang tot een sleutelkluis kan worden gegeven aan gebruikers of services. Azure Key Vault biedt ondersteuning voor het maken van sleutels van klanten of het importeren van klantsleutels voor gebruik in scenario's met door de klant beheerde versleutelingssleutels.

Azure Active Directory

Machtigingen voor het gebruik van de sleutels die zijn opgeslagen in Azure Key Vault, om ze te beheren of te openen voor versleuteling en ontsleuteling van versleuteling en ontsleuteling in rust, kunnen worden verleend aan Azure Active Directory-accounts.

Envelopversleuteling met een sleutelhiërarchie

Er wordt meer dan één versleutelingssleutel gebruikt in een versleuteling-at-rest-implementatie. Het opslaan van een versleutelingssleutel in Azure Key Vault veilige sleuteltoegang en centraal beheer van sleutels. Lokale toegang tot versleutelingssleutels in de service is echter efficiënter voor bulkversleuteling en ontsleuteling dan interactie met Key Vault voor elke gegevensbewerking, waardoor betere versleuteling en betere prestaties mogelijk zijn. Door het gebruik van één versleutelingssleutel te beperken, vermindert u het risico dat de sleutel wordt gecompromitteerd en worden de kosten voor het opnieuw versleutelen wanneer een sleutel moet worden vervangen, verkleind. Azure-modellen voor versleuteling in rust maken gebruik van envelopversleuteling, waarbij een versleutelingssleutel van een sleutel een versleutelingssleutel versleutelt. Dit model vormt een belangrijke hiërarchie die beter in staat is om te voldoen aan prestatie- en beveiligingsvereisten:

• Data Encryption Key (DEK) : een symmetrische AES256-sleutel die wordt gebruikt voor het versleutelen van een partitie of blok met gegevens, ook wel gewoon een gegevenssleutel genoemd. Eén resource kan veel partities en veel gegevensversleutelingssleutels hebben. Het versleutelen van elk gegevensblok met een andere sleutel maakt crypto-analyseaanvallen moeilijker. En het lokaal houden van DEK's voor de service voor het versleutelen en ontsleutelen van gegevens maximaliseert de prestaties.
• Key Encryption Key (KEK) : een versleutelingssleutel die wordt gebruikt voor het versleutelen van de gegevensversleutelingssleutels met behulp van envelopversleuteling, ook wel wrapping genoemd. Met het gebruik van een sleutelversleutelingssleutel die nooit Key Vault kunnen de gegevensversleutelingssleutels zelf worden versleuteld en beheerd. De entiteit die toegang heeft tot de KEK kan anders zijn dan de entiteit die de DEK vereist. Een entiteit kan toegang tot de DEK verlenen om de toegang van elke DEK tot een specifieke partitie te beperken. Omdat de KEK is vereist voor het ontsleutelen van de DEK's, kunnen klanten deK's en gegevens cryptografisch wissen door de KEK uit te stellen.

Resourceproviders en toepassings instances slaan de versleutelde gegevensversleutelingssleutels op als metagegevens. Alleen een entiteit met toegang tot de sleutelversleutelingssleutel kan deze gegevensversleutelingssleutels ontsleutelen. Er worden verschillende modellen voor sleutelopslag ondersteund. Zie Gegevensversleutelingsmodellen voor meer informatie.

Versleuteling-at-rest in Microsoft-cloudservices

Microsoft Cloud-services worden gebruikt in alle drie cloudmodellen: IaaS, PaaS, SaaS. Hieronder ziet u voorbeelden van hoe ze op elk model passen:

• Softwareservices, aangeduid als Software als een Server of SaaS, die toepassingen hebben die worden geleverd door de cloud, zoals Microsoft 365.
• Platformservices waarin klanten de cloud gebruiken voor zaken als opslag, analyses en Service Bus-functionaliteit in hun toepassingen.
• Infrastructuurservices of IaaS (Infrastructure as a Service) waarin de klant besturingssystemen en toepassingen implementeert die worden gehost in de cloud en mogelijk gebruikmaken van andere cloudservices.

Versleuteling-at-rest voor SaaS-klanten

SaaS-klanten (Software as a Service) hebben doorgaans versleuteling in rust ingeschakeld of beschikbaar in elke service. Microsoft 365 heeft verschillende opties voor klanten om versleuteling in rust te controleren of in te stellen. Zie Versleuteling in Microsoft 365 voor meer informatie over Microsoft 365.

Versleuteling-at-rest voor PaaS-klanten

De gegevens van paaS-klanten (Platform as a Service) bevinden zich doorgaans in een opslagservice zoals Blob Storage, maar kunnen ook in de cache worden opgeslagen of opgeslagen in de uitvoeringsomgeving van de toepassing, zoals een virtuele machine. Als u de beschikbare opties voor versleuteling-at-rest wilt bekijken, bekijkt u de tabel Gegevensversleutelingsmodellen: ondersteunende services voor de opslag- en toepassingsplatforms die u gebruikt.

Versleuteling-at-rest voor IaaS-klanten

IaaS-klanten (Infrastructure as a Service) kunnen diverse services en toepassingen in gebruik hebben. IaaS-services kunnen versleuteling-at-rest inschakelen in hun door Azure gehoste virtuele machines en VHD's met behulp van Azure Disk Encryption.

Versleutelde opslag

Net als PaaS kunnen IaaS-oplossingen gebruikmaken van andere Azure-services die gegevens opslaan die at-rest zijn versleuteld. In dergelijke gevallen kunt u de versleuteling-at-rest-ondersteuning inschakelen zoals geleverd door elke verbruikte Azure-service. In de tabel Gegevensversleutelingsmodellen: ondersteunende services worden de belangrijkste opslag-, services- en toepassingsplatformen en het model van Encryption at Rest ondersteund.

Versleutelde rekenkracht

Alle Managed Disks, momentopnamen en afbeeldingen worden versleuteld met behulp van Storage Service Encryption met behulp van een door de service beheerde sleutel. Een completere versleuteling-at-rest-oplossing zorgt ervoor dat de gegevens nooit in niet-versleutelde vorm worden opgeslagen. Tijdens het verwerken van de gegevens op een virtuele machine kunnen gegevens worden opgeslagen in het Windows-wisselbestand of Linux-wisselbestand, een crashdump of in een toepassingslogboek. Om ervoor te zorgen dat deze gegevens at-rest worden versleuteld, kunnen IaaS-toepassingen Azure Disk Encryption gebruiken op een virtuele Azure IaaS-machine (Windows of Linux) en virtuele schijf.

Aangepaste versleuteling -at-rest

Het wordt aanbevolen om waar mogelijk IaaS-toepassingen gebruik te maken van Azure Disk Encryption en opties voor versleuteling in rust die worden geboden door alle verbruikte Azure-services. In sommige gevallen, zoals onregelmatige versleutelingsvereisten of niet-Azure-opslag, moet een ontwikkelaar van een IaaS-toepassing versleuteling-at-rest mogelijk zelf implementeren. Ontwikkelaars van IaaS-oplossingen kunnen beter integreren met Azure-beheer en klantverwachtingen door gebruik te maken van bepaalde Azure-onderdelen. Ontwikkelaars moeten met name de Azure Key Vault-service gebruiken om beveiligde sleutelopslag te bieden en hun klanten consistente opties voor sleutelbeheer te bieden met die van de meeste Azure-platformservices. Daarnaast moeten aangepaste oplossingen gebruikmaken van Azure-Managed service-identiteiten om serviceaccounts toegang te geven tot versleutelingssleutels. Zie de respectieve SDK'Azure Key Vault informatie voor ontwikkelaars over identiteiten en managed service-identiteiten.

Ondersteuning voor versleutelingsmodel van Azure-resourceproviders

Microsoft Azure Services ondersteunen elk een of meer van de versleuteling-at-rest-modellen. Voor sommige services zijn echter een of meer van de versleutelingsmodellen mogelijk niet van toepassing. Voor services die ondersteuning bieden voor door de klant beheerde sleutelscenario's, ondersteunen ze mogelijk slechts een subset van de sleuteltypen die Azure Key Vault voor sleutelversleutelingssleutels. Daarnaast kunnen services ondersteuning bieden voor deze scenario's en sleuteltypen op verschillende schema's. In deze sectie wordt de ondersteuning voor versleuteling-at-rest beschreven op het moment van schrijven voor elk van de belangrijkste Azure-services voor gegevensopslag.

Azure-schijfversleuteling

Elke klant die Gebruikmaakt van Azure IaaS-functies (Infrastructure as a Service) kan versleuteling in rust voor hun IaaS-VM's en schijven bereiken via Azure Disk Encryption. Zie de documentatie over azure-schijfversleuteling voor Azure Disk Encryption informatie.

Azure Storage

Alle Azure Storage services (Blob Storage, Queue Storage, Table Storage en Azure Files) ondersteunen versleuteling in rust aan serverzijde; Sommige services ondersteunen ook door de klant beheerde sleutels en versleuteling aan de clientzijde.

• Serverzijde: alle Azure Storage-services maken standaard versleuteling aan de serverzijde mogelijk met behulp van door de service beheerde sleutels, wat transparant is voor de toepassing. Zie Azure Storage Service Encryption voor data-at-rest. Azure Blob Storage en Azure Files ook RSA 2048-bits door de klant beheerde sleutels in Azure Key Vault. Zie Service Encryption gebruiken Storage door de klant beheerde sleutels in Azure Key Vault voor meer Azure Key Vault.
• Clientzijde: Azure Blobs, Tables en Queues ondersteunen versleuteling aan de clientzijde. Wanneer klanten versleuteling aan de clientzijde gebruiken, versleutelen ze de gegevens en uploaden ze deze als een versleutelde blob. Sleutelbeheer wordt uitgevoerd door de klant. Zie Client-Side Encryption (Versleuteling aande clientzijde) Azure Key Vault voor Microsoft Azure Storage .

Azure SQL Database

Azure SQL Database biedt momenteel ondersteuning voor versleuteling -at-rest voor door Microsoft beheerde servicezijde en versleutelingsscenario's aan de clientzijde.

Ondersteuning voor serverversleuteling wordt momenteel geboden via de SQL functie met de naam Transparent Data Encryption. Zodra een Azure SQL Database wordt de TDE-sleutel automatisch gemaakt en beheerd. Versleuteling in rust kan worden ingeschakeld op database- en serverniveau. Vanaf juni 2017 is Transparent Data Encryption (TDE) standaard ingeschakeld voor nieuw gemaakte databases. Azure SQL Database ondersteunt RSA 2048-bits door de klant beheerde sleutels in Azure Key Vault. Zie Transparent Data Encryption with Bring Your Own Key support for Azure SQL Database and Data Warehouse (Ondersteuning voor Azure SQL Database en Data Warehouse) voor meer informatie.

Clientversleuteling van Azure SQL Database gegevens wordt ondersteund via de Always Encrypted functie. Always Encrypted gebruikt een sleutel die is gemaakt en opgeslagen door de client. Klanten kunnen de hoofdsleutel opslaan in een Windows-certificaatopslag, Azure Key Vault of een lokale Hardware Security Module. Met SQL Server Management Studio kunnen SQL kiezen welke sleutel ze willen gebruiken om welke kolom te versleutelen.

Conclusie

De beveiliging van klantgegevens die zijn opgeslagen in Azure Services is van cruciaal belang voor Microsoft. Alle door Azure gehoste services worden gebruikt om versleuteling-at-rest-opties te bieden. Azure-services ondersteunen door de service beheerde sleutels, door de klant beheerde sleutels of versleuteling aan de clientzijde. Azure-services verbeteren de versleuteling-at-rest-beschikbaarheid breed en er zijn nieuwe opties gepland voor preview en algemene beschikbaarheid in de komende maanden.

Volgende stappen

• Zie Gegevensversleutelingsmodellen voor meer informatie over door de service beheerde sleutels en door de klant beheerde sleutels.
• Meer informatie over hoe Azure dubbele versleuteling gebruikt om bedreigingen met versleuteling van gegevens te beperken.
• Meer informatie over wat Microsoft doet om de platformintegriteit en beveiliging te waarborgen van hosts die de hardware- en firmware-build-out, integratie, operationalisatie en reparatiepijplijnen doorlopen.