Bekleyen Azure Veri Şifrelemesi

Microsoft Azure, verilerinizi şirketinizin güvenlik ve uyumluluk gereksinimlerine göre korumaya yönelik araçlar içerir. Bu makale şu konulara odaklanır:

  • Microsoft Azure genelinde bekleyen veriler nasıl korunur?
  • Veri koruma uygulamasında yer alan çeşitli bileşenleri tartışın,
  • Farklı anahtar yönetimi koruma yaklaşımlarının olumlu ve olumsuz yanlarını gözden geçirme.

Rest'te şifreleme yaygın bir güvenlik gereksinimidir. Azure'da kuruluşlar bekleyen verileri özel anahtar yönetimi çözümünün riski veya maliyeti olmadan şifreleyebilir. Kuruluşlar, Azure'ın Bekleyen Şifrelemeyi tamamen yönetmesine izin verme seçeneğine sahiptir. Ayrıca, kuruluşların şifreleme veya şifreleme anahtarlarını yakından yönetmek için çeşitli seçenekleri vardır.

Bekleyen şifreleme nedir?

Şifreleme, verilerin gizliliğini korumak için kullanılan verilerin güvenli kodlamasıdır. Azure'daki Rest'te Şifreleme tasarımları, basit bir kavramsal modele göre büyük miktarda veriyi hızla şifrelemek ve şifresini çözmek için simetrik şifreleme kullanır:

  • Simetrik şifreleme anahtarı, verileri depolama alanına yazıldıkçe şifrelemek için kullanılır.
  • Bu verilerin şifresini çözmek için bellekte kullanılmak üzere hazır olduğu gibi aynı şifreleme anahtarı kullanılır.
  • Veriler bölümlenebilir ve her bölüm için farklı anahtarlar kullanılabilir.
  • Anahtarlar, kimlik tabanlı erişim denetimi ve denetim ilkeleriyle güvenli bir konumda depolanmalıdır. Güvenli konumların dışında depolanan veri şifreleme anahtarları, güvenli bir konumda tutulan bir anahtar şifreleme anahtarıyla şifrelenir.

Uygulamada, anahtar yönetimi ve denetim senaryolarının yanı sıra ölçek ve kullanılabilirlik güvenceleri ek yapılar gerektirir. Rest'te Microsoft Azure Şifreleme kavramları ve bileşenleri aşağıda açıklanmıştır.

Bekleyen şifrelemenin amacı

Bekleyen şifreleme, depolanan veriler için (bekleyen) veri koruması sağlar. Bekleyen verilere yönelik saldırılar, verilerin depolandığı donanıma fiziksel erişim elde etme ve ardından kapsanan verilerin güvenliğini aşma girişimlerini içerir. Böyle bir saldırıda, bir saldırganın sabit sürücüyü kaldırmasına izin veren bakım sırasında sunucunun sabit sürücüsü yanlış işlenmiş olabilir. Daha sonra saldırgan, verilere erişmeye çalışmak için sabit sürücüyü kendi denetimindeki bir bilgisayara koyar.

Bekleyen şifreleme, diskteyken verilerin şifrelendiğinden emin olarak saldırganın şifrelenmemiş verilere erişmesini engelleyecek şekilde tasarlanmıştır. Bir saldırgan şifrelenmiş verilerle bir sabit sürücü alır ancak şifreleme anahtarlarını ele vermezse, verilerin okunması için saldırganın şifrelemeyi yenmesi gerekir. Bu saldırı, sabit sürücüdeki şifrelenmemiş verilere erişmekten çok daha karmaşık ve kaynak tüketen bir saldırıdır. Bu nedenle bekleyen şifreleme kesinlikle önerilir ve birçok kuruluş için yüksek öncelikli bir gereksinimdir.

Bekleyen şifreleme, bir kuruluşun veri idaresi ve uyumluluk çabalarına olan ihtiyacı için de gerekli olabilir. HIPAA, PCI ve FedRAMP gibi sektör ve kamu düzenlemeleri, veri koruma ve şifreleme gereksinimleriyle ilgili belirli korumalar sağlar. Bekleme durumunda şifreleme, bu düzenlemelerden bazılarıyla uyumluluk için gerekli olan zorunlu bir ölçüdür. Microsoft'un FIPS 140-2 doğrulama yaklaşımı hakkında daha fazla bilgi için bkz . Federal Bilgi İşleme Standardı (FIPS) Yayın 140-2.

Uyumluluk ve mevzuat gereksinimlerini karşılamanın yanı sıra bekleyen şifreleme, derinlemesine savunma koruması sağlar. Microsoft Azure hizmetler, uygulamalar ve veriler için uyumlu bir platform sağlar. Ayrıca kapsamlı tesis ve fiziksel güvenlik, veri erişim denetimi ve denetim sağlar. Ancak, diğer güvenlik önlemlerinden birinin başarısız olması ve bekleyen şifrelemenin böyle bir güvenlik önlemi sağlaması durumunda ek "çakışan" güvenlik önlemleri sağlamak önemlidir.

Microsoft, bulut hizmetleri genelinde bekleyen seçeneklerde şifrelemeyi taahhüt ederek müşterilere şifreleme anahtarları ve anahtar kullanımı günlükleri üzerinde denetim sağlar. Ayrıca Microsoft, bekleyen tüm müşteri verilerini varsayılan olarak şifrelemek için çalışmaktadır.

Rest Bileşenlerinde Azure Şifrelemesi

Daha önce açıklandığı gibi bekleyen şifrelemenin amacı, diskte kalıcı olan verilerin gizli bir şifreleme anahtarıyla şifrelenmesidir. Bu hedefe ulaşmak için güvenli anahtar oluşturma, depolama, erişim denetimi ve şifreleme anahtarlarının yönetimi sağlanmalıdır. Ayrıntılar farklılık gösterebilse de, Rest uygulamalarında Azure hizmetleri Şifrelemesi aşağıdaki diyagramda gösterilen şekilde açıklanabilir.

Components

Azure Key Vault

Şifreleme anahtarlarının depolama konumu ve bu anahtarlara erişim denetimi, bekleyen bir şifreleme modelinin merkezindedir. Anahtarların yüksek oranda güvenli olması, ancak belirtilen kullanıcılar tarafından yönetilebilir olması ve belirli hizmetler tarafından kullanılabilir olması gerekir. Azure hizmetleri için Azure Key Vault önerilen anahtar depolama çözümüdür ve hizmetler arasında ortak bir yönetim deneyimi sağlar. Anahtarlar anahtar kasalarında depolanır ve yönetilir ve anahtar kasasına erişim kullanıcılara veya hizmetlere verilebilir. Azure Key Vault, müşteri tarafından yönetilen şifreleme anahtarı senaryolarında kullanılmak üzere anahtarların müşteri tarafından oluşturulmasını veya müşteri anahtarlarının içeri aktarılmasını destekler.

Microsoft Entra ID

Azure Key Vault'ta depolanan anahtarları, Rest şifreleme ve şifre çözme sırasında şifreleme için yönetmek veya bunlara erişmek için kullanma izinleri Microsoft Entra hesaplarına verilebilir.

Anahtar Hiyerarşisi ile Zarf Şifrelemesi

Bekleyen bir şifreleme uygulamasında birden fazla şifreleme anahtarı kullanılır. Şifreleme anahtarını Azure Key Vault'ta depolamak, güvenli anahtar erişimi ve anahtarların merkezi yönetimini sağlar. Ancak şifreleme anahtarlarına yerel hizmet erişimi, toplu şifreleme ve şifre çözme için her veri işlemi için Key Vault ile etkileşime geçmekten daha verimlidir ve daha güçlü şifreleme ve daha iyi performans sağlar. Tek bir şifreleme anahtarının kullanımını sınırlamak anahtarın gizliliğinin tehlikeye atılması riskini ve bir anahtarın değiştirilmesi gerektiğinde yeniden şifreleme maliyetini azaltır. Bekleyen modellerde Azure şifrelemesi, anahtar şifreleme anahtarının veri şifreleme anahtarını şifrelediği zarf şifrelemesini kullanır. Bu model, performans ve güvenlik gereksinimlerini daha iyi karşılayabilen bir anahtar hiyerarşisi oluşturur:

  • Veri Şifreleme Anahtarı (DEK) – Bir veri bölümünü veya veri bloğunu şifrelemek için kullanılan simetrik AES256 anahtarı, bazen yalnızca Veri Anahtarı olarak da adlandırılır. Tek bir kaynağın birçok bölümü ve çok sayıda Veri Şifreleme Anahtarı olabilir. Her veri bloğunun farklı bir anahtarla şifrelenmesi, şifreleme analizi saldırılarını daha zor hale getirir. AYRıCA DEK'lerin yerel olarak hizmette tutulması, verilerin şifrelenmesi ve şifresinin çözülmesi performansı en üst düzeye çıkarır.
  • Anahtar Şifreleme Anahtarı (KEK) – Zarf şifrelemesi kullanarak Veri Şifreleme Anahtarlarını şifrelemek için kullanılan ve sarmalama olarak da adlandırılan bir şifreleme anahtarıdır. Anahtar Kasası'nı hiçbir zaman terk etmeyen bir Anahtar Şifreleme Anahtarının kullanılması, veri şifreleme anahtarlarının şifrelenmesini ve denetlenmesini sağlar. KEK'ye erişimi olan varlık, DEK gerektiren varlıktan farklı olabilir. Bir varlık, her DEK'nin erişimini belirli bir bölümle sınırlamak için DEK erişimine aracılık edebilir. KEK'nin DEK'lerin şifresini çözmesi gerektiğinden müşteriler KEK'yi devre dışı bırakarak DEK'leri ve verileri şifresel olarak silebilir.

Kaynak sağlayıcıları ve uygulama örnekleri şifrelenmiş Veri Şifreleme Anahtarlarını meta veri olarak depolar. Yalnızca Anahtar Şifreleme Anahtarına erişimi olan bir varlık bu Veri Şifreleme Anahtarlarının şifresini çözebilir. Farklı anahtar depolama modelleri desteklenir. Daha fazla bilgi için bkz . Veri şifreleme modelleri.

Microsoft bulut hizmetlerinde bekleyen şifreleme

Microsoft Bulut hizmetleri üç bulut modelinde de kullanılır: IaaS, PaaS, SaaS. Aşağıda bunların her modele nasıl sığdıklarına ilişkin örnekler verilmiştir:

  • Hizmet olarak Yazılım veya Microsoft 365 gibi bulut tarafından sağlanan uygulamalara sahip SaaS olarak adlandırılan yazılım hizmetleri.
  • Müşterilerin uygulamalarında depolama, analiz ve service bus işlevselliği gibi şeyler için bulutu kullandığı platform hizmetleri.
  • Altyapı hizmetleri veya müşterinin bulutta barındırılan işletim sistemlerini ve uygulamaları dağıttığı ve muhtemelen diğer bulut hizmetlerinden yararlandığı Hizmet Olarak Altyapı (IaaS).

SaaS müşterileri için bekleyen şifreleme

Hizmet Olarak Yazılım (SaaS) müşterileri genellikle bekleyen şifrelemeyi etkinleştirmiş veya her hizmette kullanılabilir durumdadır. Microsoft 365'te müşterilerin bekleyen şifrelemeyi doğrulamaları veya etkinleştirmeleri için çeşitli seçenekler vardır. Microsoft 365 hizmetleri hakkında bilgi için bkz . Microsoft 365'te şifreleme.

PaaS müşterileri için bekleyen şifreleme

Hizmet Olarak Platform (PaaS) müşterisinin verileri genellikle Blob Depolama gibi bir depolama hizmetinde bulunur ancak sanal makine gibi uygulama yürütme ortamında önbelleğe alınabilir veya depolanabilir. Kullanabileceğiniz bekleyen seçeneklerde şifrelemeyi görmek için, kullandığınız depolama ve uygulama platformları için Veri şifreleme modelleri: destekleyici hizmetler tablosunu inceleyin.

IaaS müşterileri için bekleyen şifreleme

Hizmet Olarak Altyapı (IaaS) müşterileri, kullanımda olan çeşitli hizmetlere ve uygulamalara sahip olabilir. IaaS hizmetleri, Azure Disk Şifrelemesi kullanarak Azure'da barındırılan sanal makinelerinde ve VHD'lerde bekleyen şifrelemeyi etkinleştirebilir.

Şifrelenmiş depolama

PaaS gibi IaaS çözümleri de bekleyen verileri depolayan diğer Azure hizmetlerinden yararlanabilir. Bu gibi durumlarda, tüketilen her Azure hizmeti tarafından sağlanan Bekleyen Şifreleme desteğini etkinleştirebilirsiniz. Veri şifreleme modelleri: destekleyici hizmetler tablosu, ana depolama, hizmetler ve uygulama platformlarını ve desteklenen Bekleyen Şifreleme modelini numaralandırır.

Şifrelenmiş işlem

Tüm Yönetilen Diskler, Anlık Görüntüler ve Görüntüler, hizmet tarafından yönetilen bir anahtar kullanılarak Depolama Hizmet Şifrelemesi kullanılarak şifrelenir. Daha eksiksiz bir Rest'te Şifreleme çözümü, verilerin hiçbir zaman şifrelenmemiş biçimde kalıcı olmamasını sağlar. Veriler sanal makinede işlenirken, veriler Windows sayfa dosyasında veya Linux takas dosyasında, kilitlenme bilgi dökümünde veya uygulama günlüğünde kalıcı hale gelebilir. Bu verilerin bekleme sırasında şifrelendiğinden emin olmak için IaaS uygulamaları azure IaaS sanal makinesinde (Windows veya Linux) ve sanal diskte Azure Disk Şifrelemesi kullanabilir.

Bekleyen özel şifreleme

Mümkün olduğunda IaaS uygulamalarının, tüketilen Tüm Azure hizmetleri tarafından sağlanan Azure Disk Şifrelemesi ve Rest'te Şifreleme seçeneklerinden yararlanması önerilir. Düzensiz şifreleme gereksinimleri veya Azure tabanlı olmayan depolama gibi bazı durumlarda, bir IaaS uygulamasının geliştiricisinin bekleyen şifrelemeyi kendi kendine uygulaması gerekebilir. IaaS çözümlerinin geliştiricileri, belirli Azure bileşenlerinden yararlanarak Azure yönetimi ve müşteri beklentileriyle daha iyi tümleştirilebilir. Geliştiriciler özellikle güvenli anahtar depolama alanı sağlamak ve müşterilerine çoğu Azure platform hizmetiyle tutarlı anahtar yönetimi seçenekleri sağlamak için Azure Key Vault hizmetini kullanmalıdır. Ayrıca özel çözümler, hizmet hesaplarının şifreleme anahtarlarına erişmesini sağlamak için Azure yönetilen hizmet kimliklerini kullanmalıdır. Azure Key Vault ve Yönetilen Hizmet Kimlikleri hakkında geliştirici bilgileri için ilgili SDK'larına bakın.

Azure kaynak sağlayıcıları şifreleme modeli desteği

Microsoft Azure Hizmetleri'nin her biri bekleyen modellerde bir veya daha fazla şifrelemeyi destekler. Ancak bazı hizmetler için şifreleme modellerinden biri veya daha fazlası geçerli olmayabilir. Müşteri tarafından yönetilen anahtar senaryolarını destekleyen hizmetler, Azure Key Vault'un anahtar şifreleme anahtarları için desteklediği anahtar türlerinin yalnızca bir alt kümesini desteklemektedir. Ayrıca, hizmetler bu senaryolar ve anahtar türleri için farklı zamanlamalarda destek yayınlayabilir. Bu bölümde, ana Azure veri depolama hizmetlerinin her biri için bu yazma sırasında bekleyen şifreleme desteği açıklanmaktadır.

Azure disk şifrelemesi

Hizmet Olarak Azure Altyapısı (IaaS) özelliklerini kullanan tüm müşteriler, Azure Disk Şifrelemesi aracılığıyla IaaS VM'leri ve diskleri için bekleyen şifreleme elde edebilir. Azure Disk şifrelemesi hakkında daha fazla bilgi için bkz. Linux VM'leri için Azure Disk Şifrelemesi veya Windows VM'leri için Azure Disk Şifrelemesi.

Azure depolama alanı

Tüm Azure Depolama hizmetleri (Blob depolama, Kuyruk depolama, Tablo depolama ve Azure Dosyalar) bekleyen sunucu tarafı şifrelemeyi destekler; bazı hizmetler ayrıca müşteri tarafından yönetilen anahtarları ve istemci tarafı şifrelemeyi de destekler.

  • Sunucu tarafı: Tüm Azure Depolama Hizmetleri, uygulama için saydam olan hizmet tarafından yönetilen anahtarları kullanarak sunucu tarafı şifrelemeyi varsayılan olarak etkinleştirir. Daha fazla bilgi için bkz. Bekleyen Veriler için Azure Depolama Hizmeti Şifrelemesi. Azure Blob depolama ve Azure Dosyalar, Azure Key Vault'ta RSA 2048 bit müşteri tarafından yönetilen anahtarları da destekler. Daha fazla bilgi için bkz. Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak Hizmet Şifrelemesi Depolama.
  • İstemci tarafı: Azure Blobları, Tablolar ve Kuyruklar istemci tarafı şifrelemeyi destekler. müşteriler, istemci tarafı şifreleme kullanırken verileri şifreler ve verileri şifrelenmiş blob olarak karşıya yükler. Anahtar yönetimi müşteri tarafından gerçekleştirilir. Daha fazla bilgi için bkz. Microsoft Azure Depolama için İstemci Tarafı Şifrelemesi ve Azure Key Vault.

Azure SQL Veritabanı

Azure SQL Veritabanı şu anda Microsoft tarafından yönetilen hizmet tarafı ve istemci tarafı şifreleme senaryoları için bekleyen şifrelemeyi desteklemektedir.

Sunucu şifreleme desteği şu anda Saydam Veri Şifrelemesi adlı SQL özelliği aracılığıyla sağlanır. bir Azure SQL Veritabanı müşterisi TDE'yi etkinleştirdikten sonra anahtarlar otomatik olarak oluşturulur ve bunlar için yönetilir. Bekleyen şifreleme veritabanı ve sunucu düzeylerinde etkinleştirilebilir. Haziran 2017 itibarıyla, yeni oluşturulan veritabanlarında Saydam Veri Şifrelemesi (TDE) varsayılan olarak etkindir. Azure SQL Veritabanı, Azure Key Vault'ta RSA 2048 bit müşteri tarafından yönetilen anahtarları destekler. Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Veri Ambarı için Kendi Anahtarını Getir desteğiyle Saydam Veri Şifrelemesi.

Azure SQL Veritabanı verilerin istemci tarafı şifrelemesi Always Encrypted özelliği aracılığıyla desteklenir. Always Encrypted, istemci tarafından oluşturulan ve depolanan bir anahtar kullanır. Müşteriler ana anahtarı bir Windows sertifika deposunda, Azure Key Vault'ta veya yerel donanım güvenlik modülünde depolayabilir. SQL Server Management Studio'yu kullanarak, SQL kullanıcıları hangi sütunu şifrelemek için kullanmak istedikleri anahtarı seçer.

Sonuç

Azure Hizmetleri'nin içinde depolanan müşteri verilerinin korunması Microsoft için çok önemlidir. Azure'da barındırılan tüm hizmetler, Rest seçeneklerinde Şifreleme sağlamaya kararlıdır. Azure hizmetleri hizmet tarafından yönetilen anahtarları, müşteri tarafından yönetilen anahtarları veya istemci tarafı şifrelemeyi destekler. Azure hizmetleri, Rest kullanılabilirlik düzeyinde şifrelemeyi geniş ölçüde geliştirmektedir ve önümüzdeki aylarda önizleme ve genel kullanılabilirlik için yeni seçenekler planlanmaktadır.

Sonraki adımlar

  • Hizmet tarafından yönetilen anahtarlar ve müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi edinmek için bkz . veri şifreleme modelleri .
  • Azure'ın şifreleme verileriyle birlikte gelen tehditleri azaltmak için çift şifrelemeyi nasıl kullandığını öğrenin.
  • Microsoft'un donanım ve üretici yazılımı derlemesi, tümleştirme, işletimselleştirme ve onarım işlem hatlarında geçiş yapan konakların platform bütünlüğünü ve güvenliğini sağlamak için neler yaptığını öğrenin.