Ochrona danych magazynowanych

  • 7 min

Platforma Azure oferuje rozbudowane opcje szyfrowania danych magazynowanych , aby pomóc klientom chronić swoje dane i spełniać wymagania dotyczące zgodności przy użyciu kluczy szyfrowania zarządzanych przez firmę Microsoft i kluczy szyfrowania zarządzanych przez klienta. Ten proces opiera się na wielu kluczach szyfrowania i usługach, takich jak Azure Key Vault i Microsoft Entra ID, w celu zapewnienia bezpiecznego dostępu do klucza i scentralizowanego zarządzania kluczami. Ogólnie rzecz biorąc, kontrolowanie dostępu do kluczy i zapewnienie wydajnego szyfrowania zbiorczego i odszyfrowywania danych odbywa się przy użyciu następujących typów kluczy szyfrowania:

  • Klucz szyfrowania danych (DEK) to symetryczny klucz AES-256 używany do szyfrowania zbiorczego i odszyfrowywania partycji lub bloku danych. Dostawca zasobów lub wystąpienie aplikacji odpowiedzialne za szyfrowanie i odszyfrowywanie określonego bloku danych wymaga dostępu do usługi DEKs. Pojedynczy zasób może mieć wiele partycji i wiele świadczeń operacyjnego. Gdy klucz szyfrowania danych jest zastępowany nowym kluczem, tylko dane w skojarzonym bloku muszą zostać ponownie zaszyfrowane przy użyciu nowego klucza. Klucz szyfrowania plików jest szyfrowany za pomocą klucza szyfrowania kluczy (KEK) i nigdy nie jest przechowywany niezaszyfrowany.
  • Klucz szyfrowania kluczy (KEK) to asymetryczny klucz RSA-2048, który jest opcjonalnie udostępniany przez klienta. Ten klucz służy do szyfrowania klucza szyfrowania danych (DEK) przy użyciu usługi Azure Key Vault i istnieje tylko w usłudze Azure Key Vault. Klucz KEK nigdy nie jest udostępniany bezpośrednio dostawcy zasobów lub innym usługom. Uprawnienia w usłudze Azure Key Vault kontrolują dostęp do klucza KEK i dostęp do usługi Azure Key Vault muszą być uwierzytelniane za pośrednictwem identyfikatora Entra firmy Microsoft. Uprawnienia można odwołać, aby zablokować dostęp do tego klucza i przez rozszerzenie dane zaszyfrowane przy użyciu tego klucza jako katalogu głównego łańcucha kluczy.

Szczegółowe informacje na temat różnych modeli szyfrowania i specyfiki zarządzania kluczami dla szerokiej gamy usług platformy Azure są dostępne w dokumentacji online. Ponadto niektóre usługi platformy Azure oferują więcej modeli szyfrowania, w tym szyfrowania po stronie klienta, aby dodatkowo szyfrować swoje dane przy użyciu bardziej szczegółowych kontrolek.

W pozostałej części tej sekcji opisano implementację szyfrowania dla kluczowych scenariuszy, w tym szyfrowanie usługi Storage, szyfrowanie dysków platformy Azure i przezroczyste szyfrowanie danych usługi Azure SQL Database (TDE).

Upewnij się, że dane są automatycznie szyfrowane

Szyfrowanie usługi Azure Storage dla danych magazynowanych gwarantuje, że dane są automatycznie szyfrowane przed utrwalone w usłudze Azure Storage i odszyfrowane przed pobraniem. Wszystkie dane zapisane w usłudze Azure Storage są szyfrowane za pośrednictwem szyfrowania AES zweryfikowanego 256-bitowego standardu FIPS 140-2. Obsługa szyfrowania, odszyfrowywania i zarządzania kluczami w szyfrowaniu usługi Azure Storage jest niewidoczna dla klientów. Domyślnie firma Microsoft kontroluje klucze szyfrowania i odpowiada za rotację, użycie i dostęp. Klucze są bezpiecznie przechowywane i chronione w magazynie kluczy firmy Microsoft. Ta opcja zapewnia klientom największą wygodę, biorąc pod uwagę, że wszystkie usługi Azure Storage są obsługiwane.

Jednak klienci mogą również zdecydować się na zarządzanie szyfrowaniem przy użyciu własnych kluczy, określając:

  • Klucz zarządzany przez klienta na potrzeby zarządzania szyfrowaniem usługi Azure Storage, w którym klucz jest przechowywany w usłudze Azure Key Vault. Ta opcja zapewnia klientom dużą elastyczność tworzenia, obracania, wyłączania i odwoływanie dostępu do kluczy zarządzanych przez klienta. Klienci muszą używać usługi Azure Key Vault do przechowywania kluczy zarządzanych przez klienta. Obsługiwane są zarówno magazyny kluczy, jak i zarządzane moduły HSM.
  • Klucz dostarczony przez klienta do szyfrowania i odszyfrowywania usługi Blob Storage tylko wtedy, gdy klucz może być przechowywany w usłudze Azure Key Vault lub w innym magazynie kluczy w środowisku lokalnym, aby spełnić wymagania zgodności z przepisami. Klucze udostępniane przez klienta umożliwiają klientom przekazywanie klucza szyfrowania do usługi Azure Storage przy użyciu interfejsów API obiektów blob w ramach operacji odczytu lub zapisu.

Szyfrowanie usługi Storage jest domyślnie włączone dla wszystkich nowych i istniejących kont magazynu i nie można go wyłączyć. Proces szyfrowania używa dwóch oddzielnych kluczy zgodnie z opisem wcześniej: symetryczny klucz AES-256 DEK i asymetryczny KLUCZ RSA-2048 KEK.

Szyfrowanie dysków dla maszyn wirtualnych

Szyfrowanie usługi Azure Storage szyfruje stronicowe obiekty blob, które przechowują dyski maszyn wirtualnych platformy Azure. Ponadto usługa Azure Disk Encryption może być opcjonalnie używana do szyfrowania dysków maszyn wirtualnych IaaS platformy Azure z systemem Windows i Linux w celu zwiększenia izolacji magazynu i zapewnienia pewności kryptograficznych danych klientów przechowywanych na platformie Azure. To szyfrowanie obejmuje dyski zarządzane. Szyfrowanie dysków platformy Azure używa standardowej w branży funkcji BitLocker systemu Windows i funkcji DM-Crypt systemu Linux w celu zapewnienia szyfrowania woluminów dla dysków systemu operacyjnego i danych używanych przez maszynę wirtualną IaaS. Rozwiązanie jest zintegrowane z usługą Azure Key Vault, aby ułatwić klientom kontrolowanie kluczy szyfrowania dysków i zarządzanie nimi. Usługa Azure Key Vault obsługuje scenariusze bring your own key (BYOK), dzięki czemu klienci mogą dostarczać własne klucze szyfrowania, które są chronione w usłudze Azure Key Vault. Usługa Azure Disk Encryption opiera się na dwóch kluczach szyfrowania zgodnie z wcześniejszym opisem: 1) symetryczny klucz szyfrowania AES-256 DEK używany do szyfrowania woluminów systemu operacyjnego i danych oraz 2) asymetryczny klucz RSA-2048 KEK używany do szyfrowania plików I przechowywanych w usłudze Azure Key Vault pod kontrolą klienta.

Usługa Azure Disk Encryption nie jest obsługiwana przez zarządzane moduły HSM ani lokalną usługę zarządzania kluczami. Tylko magazyny kluczy zarządzane przez usługę Azure Key Vault mogą służyć do ochrony kluczy szyfrowania zarządzanych przez klienta na potrzeby szyfrowania dysków platformy Azure.

Przezroczyste szyfrowanie danych w usłudze Azure SQL Database

Usługa Azure SQL Database domyślnie zapewnia przezroczyste szyfrowanie danych (TDE) magazynowane. Funkcja TDE wykonuje operacje szyfrowania i odszyfrowywania w czasie rzeczywistym na danych i plikach dziennika. Klucz szyfrowania bazy danych (DEK) to klucz symetryczny przechowywany w rekordzie rozruchowym bazy danych w celu zapewnienia dostępności podczas odzyskiwania. Jest ona zabezpieczona za pośrednictwem certyfikatu przechowywanego w bazie danych master serwera. Lub za pomocą klucza asymetrycznego o nazwie TDE Protector przechowywanego pod kontrolą klienta w usłudze Azure Key Vault. Usługa Key Vault obsługuje używanie własnego klucza (BYOK), co umożliwia klientom przechowywanie funkcji ochrony TDE w usłudze Key Vault i kontrolowanie zadań zarządzania kluczami. W tym uprawnienia klucza, rotacja, usuwanie, włączanie inspekcji/raportowania dla wszystkich funkcji ochrony TDE itd. Klucz może być generowany przez usługę Key Vault, zaimportowaną lub przeniesioną do usługi Key Vault z lokalnego urządzenia HSM. Klienci mogą również używać funkcji Always Encrypted usługi Azure SQL Database, zaprojektowanej specjalnie w celu ochrony poufnych danych. Umożliwia ona klientom szyfrowanie danych wewnątrz aplikacji klienckich i nigdy nie ujawnia kluczy szyfrowania aparatowi bazy danych. Dzięki temu funkcja Always Encrypted zapewnia separację między użytkownikami, którzy są właścicielami danych (i mogą je wyświetlać) oraz użytkownikami, którzy zarządzają danymi (ale nie powinni mieć dostępu).

Następnie dowiesz się, jak platforma Azure może chronić dane, gdy są używane.