Datakryptering i Azure

Organisationer bör inte utveckla och underhålla sina egna krypteringsalgoritmer. Undvik att använda anpassade krypteringsalgoritmer eller direktkryptografi i din arbetsbelastning. Dessa metoder står sällan upp för verkliga attacker.

Det finns redan säkra standarder på marknaden och bör föredras. Om anpassad implementering krävs bör utvecklare använda väletablerade krypteringsalgoritmer och säkra standarder. Använd Advanced Encryption Standard (AES) som ett symmetriskt blockchiffrering, AES-128, AES-192 och AES-256 är godtagbara.

Utvecklare bör använda kryptografiska API:er som är inbyggda i operativsystem i stället för icke-plattformsoberoende kryptografibibliotek. För .NET följer du .NET-kryptografimodellen.

Vi rekommenderar att du använder standardalgoritmer och rekommenderade krypteringsalgoritmer.

Mer information finns i Välj en algoritm.

Används moderna hashingfunktioner?

Program bör använda SHA-2-familjen med hash-algoritmer (SHA-256, SHA-384, SHA-512).

Vilande data

Alla viktiga data ska klassificeras och krypteras med en krypteringsstandard. Klassificera och skydda alla informationslagringsobjekt. Använd kryptering för att se till att innehållet i filer inte kan nås av obehöriga användare.

Vilodata krypteras som standard i Azure, men klassificeras och taggas dina kritiska data, eller märks de så att de kan granskas?

Dina känsligaste data kan vara företag, ekonomi, sjukvård eller personlig information. Identifiering och klassificering av dessa data kan spela en viktig roll i organisationens metod för informationsskydd. Tjänsten kan fungera som infrastruktur inom följande områden:

• Hjälpa till att uppfylla standarder för datasekretess och krav för regelefterlevnad.
• Olika säkerhetsscenarier, till exempel övervakning (granskning) och aviseringar om avvikande åtkomst till känsliga data.
• Kontrollera åtkomst till och härda säkerheten för databaser som innehåller mycket känsliga data.

Föreslagen åtgärd

Klassificera dina data. Överväg att använda dataidentifieringsklassificering i Azure SQL Database.

Dataklassificering

En viktig första övning för att skydda data är att organisera dem i kategorier baserat på vissa kriterier. Klassificeringskriterierna kan vara dina affärsbehov, efterlevnadskrav och typ av data.

Beroende på kategori kan du skydda den genom att:

• Standardkrypteringsmekanismer.
• Framtvinga säkerhetsstyrning via principer.
• Genomför granskningar för att se till att säkerhetsåtgärder är kompatibla.

Ett sätt att klassificera data är att använda taggar.

Krypterar organisationen virtuella diskfiler för virtuella datorer som är associerade med den här arbetsbelastningen?

Det finns många alternativ för att lagra filer i molnet. Molnbaserade appar använder vanligtvis Azure Storage. Appar som körs på virtuella datorer använder dem för att lagra filer. Virtuella datorer använder virtuella diskfiler som virtuella lagringsvolymer och finns i en bloblagring.

Överväg en hybridlösning. Filer kan flyttas från lokal plats till molnet, från molnet till lokalt eller mellan tjänster som finns i molnet. En strategi är att se till att filerna och deras innehåll inte är tillgängliga för obehöriga användare. Du kan använda autentiseringsbaserade åtkomstkontroller för att förhindra obehörig nedladdning av filer. Det räcker dock inte. Ha en mekanism för säkerhetskopiering för att skydda de virtuella diskfilerna om autentisering och auktorisering eller dess konfiguration komprometteras. Det finns flera metoder. Du kan kryptera de virtuella diskfilerna. Om ett försök görs att montera diskfiler går det inte att komma åt innehållet i filerna på grund av krypteringen.

Vi rekommenderar att du aktiverar kryptering av virtuella diskar. Information om hur du krypterar virtuella Windows-diskar finns i Snabbstart: Skapaoch kryptera en Windows virtuell dator med Azure CLI.

Azure-baserade virtuella diskar lagras som filer i ett Storage konto. Om ingen kryptering tillämpas på en virtuell disk och en angripare lyckas ladda ned en virtuell diskavbildningsfil kan den monteras och inspekteras vid angriparens miljö som om angriparen hade fysisk åtkomst till källdatorn. Kryptering av virtuella diskfiler hjälper till att förhindra att angripare får åtkomst till innehållet i diskfilerna om de skulle kunna ladda ned dem. Beroende på känsligheten för den information som lagras på disken kan okrypterad åtkomst utgöra en kritisk risk för konfidentiella affärsdata (till exempel en SQL-databas) eller identitet (till exempel en AD-domänkontrollant).

Ett exempel på kryptering av virtuella diskar är Azure Disk Encryption.

Azure Disk Encryption hjälper till att skydda dina data så att din verksamhet uppfyller både interna och externa krav och åtaganden. Den använder Bitlocker-funktionen i Windows (eller DM-Crypt på Linux) för att tillhandahålla volymkryptering för operativsystemet och datadiskarna för virtuella Azure-datorer (VM). Den är integrerad med Azure Key Vault som hjälper dig att kontrollera och hantera diskkrypteringsnycklarna och hemligheterna.

Virtuella datorer använder virtuella diskfiler som lagringsvolymer och finns i en molntjänstleverantörs bloblagringssystem. De här filerna kan flyttas från lokala system till molnsystem, från molnsystem till lokala system eller mellan molnsystem. På grund av mobiliteten för dessa filer rekommenderar vi att filerna och innehållet inte är tillgängliga för obehöriga användare.

Använder organisationen identitetsbaserade lagringsåtkomstkontroller för den här arbetsbelastningen?

Det finns många sätt att styra åtkomsten till data: delade nycklar, delade signaturer, anonym åtkomst, identitetsproviderbaserad. Använd Azure Active Directory (Azure AD) och rollbaserad åtkomstkontroll (RBAC) för att bevilja åtkomst. Mer information finns i Överväganden för identitets- och åtkomsthantering.

Skyddar organisationen nycklar i den här arbetsbelastningen med ytterligare en nyckelkrypteringsnyckel (KEK)?

Använd mer än en krypteringsnyckel i en implementering av kryptering i vila. Lagring av en krypteringsnyckel i Azure Key Vault säkerställer säker nyckelåtkomst och central hantering av nycklar.

Använd ytterligare en nyckelkrypteringsnyckel (KEK) för att skydda din datakrypteringsnyckel (DEK).

Föreslagna åtgärder

Identifiera okrypterade virtuella datorer via Microsoft Defender för moln eller skript och kryptera via Azure Disk Encryption. Se till att alla nya virtuella datorer krypteras som standard och regelbundet övervakar oskyddade diskar.

Läs mer

Azure Disk Encryption för virtuella datorer och VM-skalningsuppsättningar

Data under överföring

Data under överföring bör alltid krypteras för att säkerställa dataintegriteten.

Att skydda data under överföring är en viktig del av din dataskyddsstrategi. Eftersom data flyttas fram och tillbaka från många olika platser rekommenderar vi normalt att du alltid använder SSL/TLS-protokoll när du utbyter data mellan olika platser.

Du bör använda lämpliga skydd som HTTPS eller VPN för data som flyttas mellan den lokala infrastrukturen och Azure. När du skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via internet ska du använda en Azure VPN Gateway.

Kommunicerar arbetsbelastningen endast via krypterad nätverkstrafik?

All nätverkskommunikation mellan klient och server där man-in-the-middle-attacker kan ske måste krypteras. All webbplatskommunikation bör använda HTTPS, oavsett den uppfattade känsligheten hos överförda data. Man-in-the-middle-attacker kan ske var som helst på webbplatsen, inte bara inloggningsformulär.

Den här mekanismen kan tillämpas på användningsfall som:

• Webbprogram och API:er för all kommunikation med klienter.
• Data som flyttas över en Service Bus från en lokal plats till molnet och tvärtom, eller under en process för indata/utdata.

I vissa arkitekturformat, till exempel mikrotjänster, måste data krypteras under kommunikationen mellan tjänsterna.

Vilken TLS-version används för arbetsbelastningar?

Du bör använda den senaste versionen av TLS. Alla Azure-tjänster stöder TLS 1.2 på offentliga HTTPS-slutpunkter. Migrera lösningar för att stödja TLS 1.2 och använd den här versionen som standard.

När trafik från klienter som använder äldre versioner av TLS är minimal, eller om det är acceptabelt att misslyckas begäranden som görs med en äldre version av TLS, bör du överväga att framtvinga en lägsta TLS-version. Information om TLS-stöd i Azure Storage finns i Åtgärda säkerhetsrisker med en lägsta version av TLS.

Ibland behöver du isolera hela kommunikationskanalen mellan din lokala infrastruktur och molninfrastrukturen med hjälp av antingen ett virtuellt privat nätverk (VPN) eller ExpressRoute. Mer information finns i de här artiklarna:

• Utöka lokala datalösningar till molnet
• Konfigurera en punkt-till-plats-VPN-anslutning till ett VNet med intern Azure-certifikatautentisering: Azure Portal

Mer information finns i Skydda data under överföring.

Finns det någon del av programmet som inte skyddar data under överföring?

Alla data ska krypteras under överföring med en gemensam krypteringsstandard. Kontrollera om alla komponenter i lösningen använder en konsekvent standard. Det finns tillfällen när kryptering inte är möjligt på grund av tekniska begränsningar, se till att orsaken är tydlig och giltig.

Föreslagna åtgärder

Identifiera arbetsbelastningar med okrypterade sessioner och konfigurera tjänsten så att den kräver kryptering.

Läs mer

• Kryptera data under överföring
• Översikt över Azure-kryptering

Nästa steg

Även om det är viktigt att skydda data via kryptering, är det lika viktigt att skydda de nycklar som ger åtkomst till data.

Relaterade länkar

Identitets- och åtkomsthanteringstjänster autentiserar och beviljar behörighet till användare, partner, kunder, program, tjänster och andra entiteter. Säkerhetsöverväganden finns i Överväganden för identitets- och åtkomsthantering i Azure.

Tillbaka till huvudartikeln: Dataskydd

Data kan kategoriseras efter dess tillstånd:

• Vilodata. Alla informationslagringsobjekt, containrar och typer som finns statiskt på fysiska medier, oavsett om de är magnetiska eller optiska diskar.

• Data under överföring. Data som överförs mellan komponenter, platser eller program.

I en molnlösning kan en enda affärstransaktion leda till flera dataåtgärder där data flyttas från ett lagringsmedium till ett annat. För att ge fullständigt dataskydd måste det krypteras på lagringsvolymer och medan det överförs från en punkt till en annan.

Huvudpunkter

• Använda identitetsbaserade åtkomstkontroller för lagring.
• Använd standardkrypteringsalgoritmer och rekommenderade krypteringsalgoritmer.
• Använd endast säkra hash-algoritmer (SHA-2-familj).
• Klassificera dina vilodata och använd kryptering.
• Kryptera virtuella diskar.
• Använd ytterligare en nyckelkrypteringsnyckel (KEK) för att skydda din datakrypteringsnyckel (DEK).
• Skydda data under överföring via krypterade nätverkskanaler (TLS/HTTPS) för all klient-/serverkommunikation. Använd TLS 1.2 på Azure.

Krypteringsfunktioner i Azure

Azure tillhandahåller inbyggda funktioner för datakryptering i många lager som deltar i databearbetning. Vi rekommenderar att du aktiverar krypteringsfunktionerna för varje tjänst. Krypteringen hanteras automatiskt med hjälp av Azure-hanterade nycklar. Detta kräver nästan ingen användarinteraktion.

Vi rekommenderar att du implementerar identitetsbaserade åtkomstkontroller för lagring. Autentisering med en delad nyckel (t.ex. en signatur för delad åtkomst) tillåter inte samma flexibilitet och kontroll som identitetsbaserad åtkomstkontroll. Läckan av en delad nyckel kan tillåta obegränsad åtkomst till en resurs, medan en rollbaserad åtkomstkontroll kan identifieras och autentiseras mer starkt.

Storage i en molntjänst som Azure är skapad och implementeras på ett helt annat sätt än lokala lösningar för att möjliggöra massiv skalning, modern åtkomst via REST API:er och isolering mellan klienter. Molntjänstleverantörer gör flera metoder för åtkomstkontroll över lagringsresurser tillgängliga. Exempel är delade nycklar, delade signaturer, anonym åtkomst och identitetsproviderbaserade metoder.

Överväg några inbyggda funktioner i Azure Storage:

• Identitetsbaserad åtkomst. Stöder åtkomst via Azure Active Directory (Azure AD) och nyckelbaserade autentiseringsmekanismer, till exempel autentisering med symmetrisk delad nyckel eller signatur för delad åtkomst (SAS).
• Inbyggd kryptering. Alla lagrade data krypteras av Azure Storage. Data kan inte läsas av en klientorganisation om den inte har skrivits av den klientorganisationen. Den här funktionen ger kontroll över dataläckage mellan klientorganisationen.
• Regionsbaserade kontroller. Data finns bara kvar i den valda regionen och tre synkrona kopior av data bevaras inom den regionen. Azure Storage tillhandahåller detaljerad aktivitetsloggning som är tillgänglig om du väljer att göra det.
• Brandväggsfunktioner. Brandväggen ger ett extra lager av åtkomstkontroll och skydd mot lagringshot för att identifiera avvikande åtkomst och aktiviteter.

En fullständig uppsättning funktioner finns i Azure Storage-tjänstens kryptering.

Föreslagen åtgärd

Identifiera providermetoder för autentisering och auktorisering som är minst sannolika att komprometteras, och aktivera mer begränsade rollbaserade åtkomstkontroller över lagringsresurser.

Läs mer

Mer information finns i Auktorisera åtkomst till blobar med hjälp av Azure Active Directory.

Standardkrypteringsalgoritmer

Använder organisationen branschstandardkrypteringsalgoritmer i stället för att skapa egna?