Opslag, gegevens en versleuteling

Het beveiligen van data-at-rest is vereist voor het handhaven van vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor alle workloads. Opslag in een cloudservice zoals Azure is ontworpen en op een andere manier geïmplementeerd dan on-premises oplossingen om grootschalige schaalaanpassing, moderne toegang via REST API's en isolatie tussen tenants mogelijk te maken.

Het verlenen van toegang tot Azure Storage is mogelijk via Azure Active Directory (Azure AD) en verificatiemechanismen op basis van sleutels (Symmetric Shared Key Authentication of Shared Access Signature (SAS))

Opslag in Azure bevat een aantal systeemeigen beveiligingsontwerpkenmerken

  • Alle gegevens worden versleuteld door de service

  • Gegevens in het opslagsysteem kunnen niet worden gelezen door een tenant als ze niet door die tenant zijn geschreven (om het risico op gegevenslekken tussen tenants te beperken)

  • Gegevens blijven alleen aanwezig in de regio die u kiest

  • Het systeem onderhoudt drie synchrone kopieën van gegevens in de regio die u kiest.

  • Gedetailleerde activiteitenlogboekregistratie is beschikbaar op opt-in basis.

Aanvullende beveiligingsfuncties kunnen worden geconfigureerd, zoals een opslagfirewall, om een extra laag toegangsbeheer en beveiliging tegen opslagrisico's te bieden om afwijkende toegang en activiteiten te detecteren.

Versleuteling is een krachtig hulpprogramma voor beveiliging, maar het is essentieel om inzicht te krijgen in de limieten voor het beveiligen van gegevens. Net als bij een veilige versleuteling wordt de toegang beperkt tot alleen personen met een klein item (een wiskundige sleutel). Hoewel het gemakkelijker is om het bezit van sleutels te beschermen dan grotere gegevenssets, is het noodzakelijk dat u de juiste beveiliging voor de sleutels biedt. Het beveiligen van cryptografische sleutels is geen natuurlijk intuïtief menselijk proces (vooral omdat elektronische gegevens zoals sleutels perfect kunnen worden gekopieerd zonder een forensisch bewijspad), dus het wordt vaak over het hoofd gezien of slecht geïmplementeerd.

Hoewel versleuteling beschikbaar is in veel lagen in Azure (en vaak standaard ingeschakeld), hebben we vastgesteld welke lagen het belangrijkst zijn om te implementeren (hoog potentieel voor gegevens om naar een ander opslagmedium te gaan) en het eenvoudigst te implementeren (bijna nul overhead).

Toegangsbeheer voor op identiteit gebaseerde opslag gebruiken

Cloudserviceproviders maken meerdere methoden voor toegangsbeheer over opslagresources beschikbaar. Voorbeelden hiervan zijn gedeelde sleutels, gedeelde handtekeningen, anonieme toegang en methoden op basis van id-providers.

Identificeer providermethoden voor verificatie en autorisatie zijn het minst aansprakelijk om inbreuk te maken en meer verfijnde op rollen gebaseerde toegangsbeheer voor opslagresources mogelijk te maken.

U wordt aangeraden een op identiteit gebaseerde optie te gebruiken voor toegangsbeheer voor opslag.

Een voorbeeld hiervan is Azure Active Directory-verificatie voor Azure-blob- en wachtrijservices.

Bestanden van virtuele schijven versleutelen

Virtuele machines gebruiken virtuele schijfbestanden als virtuele opslagvolumes en bestaan in het blobopslagsysteem van een cloudserviceprovider. Deze bestanden kunnen worden verplaatst van on-premises naar cloudsystemen, van cloudsystemen naar on-premises of tussen cloudsystemen. Vanwege de mobiliteit van deze bestanden moet u ervoor zorgen dat de bestanden en hun inhoud niet toegankelijk zijn voor onbevoegde gebruikers.

Op verificatie gebaseerde toegangsbeheer moet aanwezig zijn om te voorkomen dat potentiële aanvallers de bestanden naar hun eigen systemen downloaden. In het geval van een fout in het verificatie- en autorisatiesysteem of de configuratie ervan, wilt u een back-upmechanisme hebben om de virtuele schijfbestanden te beveiligen.

U kunt de bestanden van de virtuele schijf versleutelen om te voorkomen dat aanvallers toegang krijgen tot de inhoud van de schijfbestanden in het geval dat een aanvaller de bestanden kan downloaden. Wanneer aanvallers proberen een versleuteld schijfbestand te koppelen, kunnen ze dit niet vanwege de versleuteling.

U wordt aangeraden versleuteling van virtuele schijven in te schakelen.

Een voorbeeld van versleuteling van virtuele schijven is Azure Disk Encryption.

Platformversleutelingsservices inschakelen

Alle openbare cloudserviceproviders maken versleuteling mogelijk die automatisch wordt uitgevoerd met behulp van door de provider beheerde sleutels op hun platform. In veel gevallen wordt dit gedaan voor de klant en is er geen gebruikersinteractie vereist. In andere gevallen maakt de provider dit een optie die de klant kan gebruiken of niet.

Er is bijna geen overhead bij het inschakelen van dit type versleuteling omdat deze wordt beheerd door de cloudserviceprovider.

We raden u aan voor elke service die ondersteuning biedt voor versleuteling van serviceproviders die u die optie inschakelt.

Een voorbeeld van servicespecifieke versleuteling van serviceproviders is Azure Storage Service-versleuteling.

Volgende stappen

Zie de beveiligingsdocumentatie van Microsoft voor aanvullende beveiligingsrichtlijnen van Microsoft.