Bekleyen Azure veri şifrelemesi

Microsoft Azure, şirketinizin güvenlik ve uyumluluk ihtiyaçlarına göre verileri korumaya yönelik araçlar içerir. Bu kağıdın odakları:

• Veriler Microsoft Azure arasında Rest 'ten nasıl korunur
• Veri koruma uygulamasında bir bölümü alan çeşitli bileşenleri açıklar,
• Farklı temel yönetim koruması yaklaşımlarının avantajlarını ve dezavantajlarını inceler.

Bekleyen şifreleme ortak bir güvenlik gereksinimidir. Azure 'da kuruluşlar, bekleyen verileri bir özel anahtar yönetimi çözümünün riski veya maliyeti olmadan şifreleyebilir. Kuruluşların, bekleyen bir şekilde Azure 'un şifrelemeyi tamamen yönetmesine izin verme seçeneği vardır. Ayrıca kuruluşlar, şifrelemeyi veya şifreleme anahtarlarını yakından yönetmek için çeşitli seçeneklere sahiptir.

Bekleyen şifreleme nedir?

Şifreleme, verilerin gizliliğini korumak için kullanılan verilerin güvenli kodlamasıdır. Azure 'daki Rest tasarımlarındaki şifreleme, basit bir kavramsal modele göre büyük miktarlarda verileri şifrelemek ve şifrelerini çözmek için simetrik şifrelemeyi kullanır:

• Verileri depolamaya yazıldığı şekilde şifrelemek için bir simetrik şifreleme anahtarı kullanılır.
• Aynı şifreleme anahtarı, bellekte kullanım için yeniden kullanıma hazır olduğundan bu verilerin şifresini çözmek için kullanılır.
• Veriler bölümlenebilir ve her bölüm için farklı anahtarlar kullanılabilir.
• Anahtarlar kimlik tabanlı erişim denetimi ve denetim ilkeleriyle güvenli bir yerde depolanmalıdır. Güvenli konumlar dışında depolanan veri şifreleme anahtarları, güvenli bir konumda tutulan bir anahtar şifreleme anahtarıyla şifrelenir.

Uygulamada, önemli yönetim ve denetim senaryolarında, ölçek ve kullanılabilirlik açısından ek yapılar gerekir. Microsoft Azure Rest kavramlarını ve bileşenlerini şifreleme aşağıda açıklanmıştır.

Bekleyen şifreleme amacı

Rest 'de şifreleme, depolanan veriler (bekleyen) için veri koruması sağlar. Rest verilerine yönelik saldırılar, verilerin depolandığı donanıma fiziksel erişimi alma girişimlerini ve ardından içerilen verilerin güvenliğini sağlar. Böyle bir saldırıya karşı, bir saldırganın sabit sürücüyü kaldırmasına izin veren bakım sırasında bir sunucunun sabit sürücüsü hatalı işlenmiş olabilir. Daha sonra saldırgan, verilere erişmeyi denemek için sabit sürücüyü kendi denetimindeki bir bilgisayara yerleştirir.

Bekleyen şifreleme, verilerin disk üzerinde şifrelendiğinden emin olmak için, saldırganın şifrelenmemiş verilere erişmesini engellemek üzere tasarlanmıştır. Bir saldırgan şifrelenmiş verileri olan ancak şifreleme anahtarları olmayan bir sabit sürücü alırsa, verileri okumak için saldırganın şifrelemeyi ertelemeniz gerekir. Bu saldırı, sabit bir sürücüdeki şifrelenmemiş verilere erişenden çok daha karmaşık ve kaynak kullanıyor. Bu nedenle, bekleyen şifreleme son derece önerilir ve birçok kuruluş için yüksek öncelikli bir gereksinimdir.

Bekleyen şifreleme, bir kuruluşun veri idare ve uyumluluk çabalarına ihtiyacı olarak da gerekli olabilir. HIPAA, PCI ve Fedratin gibi sektör ve kamu düzenlemeleri, veri koruma ve şifreleme gereksinimleriyle ilgili belirli korumaları düzenleyin. Bekleyen şifreleme, bu düzenlemelerle uyumluluk için gerekli olan zorunlu bir ölçüdür. Microsoft 'un FIPS 140-2 doğrulamasına yaklaşımı hakkında daha fazla bilgi için bkz. Federal bilgi Işleme standardı (FIPS) yayını 140-2.

Uyumluluk ve mevzuat gereksinimlerinin karşılamalarının yanı sıra, bekleyen şifreleme da derinlemesine savunma koruması sağlar. Microsoft Azure, hizmetler, uygulamalar ve veriler için uyumlu bir platform sağlar. Ayrıca kapsamlı tesis ve fiziksel güvenlik, veri erişim denetimi ve denetim sağlar. Ancak, diğer güvenlik ölçülerinden biri başarısız olduğunda ve bekleyen şifreleme bu tür bir güvenlik ölçüsü sağladığından, ek "çakışan" güvenlik önlemleri sağlanması önemlidir.

Microsoft, bulut hizmetlerinde Rest seçeneklerinde şifrelemeye ve müşterilerin şifreleme anahtarları ve anahtar kullanımı günlüklerinin denetimini yapmasına kararlıdır. Ayrıca, Microsoft, bekleyen tüm müşteri verilerini varsayılan olarak şifrelemek için de çalışmaktadır.

Rest bileşenlerinde Azure şifrelemesi

Daha önce açıklandığı gibi, şifreleme hedefi, diskte kalıcı olan verilerin gizli bir şifreleme anahtarıyla şifrelenmesini sağlamaktır. Bu hedefin güvenli anahtar oluşturma, depolama, erişim denetimi ve şifreleme anahtarlarının yönetimine ulaşmak için sağlanmalıdır. Ayrıntılar farklılık gösterebilir, ancak Rest uygulamalarındaki Azure hizmetleri şifrelemesi, aşağıdaki diyagramda gösterilen koşullarda açıklanabilir.

Azure Key Vault

Şifreleme anahtarlarının depolama konumu ve bu anahtarlara erişim denetimi, bekleyen modeldeki bir şifrelemeye göre yapılır. Anahtarların yüksek oranda güvenli olması gerekir, ancak belirtilen kullanıcılar tarafından yönetilebilir ve belirli hizmetler için kullanılabilir. Azure hizmetleri için Azure Key Vault önerilen anahtar depolama çözümüdür ve hizmetler arasında ortak bir yönetim deneyimi sağlar. Anahtarlar, anahtar kasalarında depolanır ve yönetilir ve bir anahtar kasasına erişim, kullanıcılara veya hizmetlere verilebilir. Azure Key Vault, müşteri tarafından yönetilen şifreleme anahtarı senaryolarında kullanılmak üzere anahtar oluşturulmasını veya müşteri anahtarlarının içeri aktarılacağını destekler.

Azure Active Directory

Azure Key Vault ' de depolanan anahtarları kullanarak, bekleyen şifreleme ve şifre çözme sırasında şifrelemeyi yönetmek ya da bunlara erişmek için, Azure Active Directory hesaplara verilebilir.

Anahtar hiyerarşisi ile zarf şifreleme

Rest uygulamasında bir şifrelemede birden fazla şifreleme anahtarı kullanılıyor. Bir şifreleme anahtarının Azure Key Vault, anahtarların güvenli anahtar erişimini ve merkezi yönetimini sağlar. Ancak, şifreleme anahtarlarına hizmet yerel erişimi, her veri işlemi için Key Vault etkileşimde bulunarak, daha güçlü şifreleme ve daha iyi performans sağlayan toplu şifreleme ve şifre çözme işlemleri için daha verimlidir. Tek bir şifreleme anahtarının kullanımını kısıtlamak, anahtarın tehlikeye girdiği riski azaltır ve bir anahtarın değiştirilebilmesi için yeniden şifrelemenin maliyeti azalır. Rest modellerinde Azure şifrelemesi, bir anahtar şifreleme anahtarının bir veri şifreleme anahtarını şifrelediği zarf şifrelemesini kullanır. Bu model, performans ve güvenlik gereksinimlerini karşılamak için daha iyi bir anahtar hiyerarşisi oluşturur:

• Veri şifreleme anahtarı (dek) – bazen yalnızca bir veri anahtarı olarak da adlandırılan bir bölümü veya veri bloğunu şifrelemek için kullanılan SIMETRIK bir AES256 anahtarı. Tek bir kaynakta birçok bölüm ve birçok veri şifreleme anahtarı olabilir. Farklı bir anahtarla her bir veri bloğunu şifrelemek, şifre çözümleme saldırılarını daha zor hale getirir. Ve verileri şifrelemek ve şifrelerini çözmek için yerel olarak hizmetin performansını en üst düzeye çıkarır.
• Anahtar şifreleme anahtarı (kek) : sarmalama olarak da adlandırılan, zarf şifrelemesi kullanılarak veri şifreleme anahtarlarını şifrelemek için kullanılan bir şifreleme anahtarı. Key Vault hiçbir şekilde ayrılmayacak anahtar şifreleme anahtarının kullanımı, veri şifreleme anahtarlarının kendilerine şifreli ve denetimli olmasını sağlar. KEK 'e erişimi olan varlık, DEK gerektiren varlıktan farklı olabilir. Bir varlık her bir DEK ' ın erişimini belirli bir bölüme sınırlamak için DEK aracı erişimi sağlayabilir. KEK, DEKs 'in şifresini çözmek için gerekli olduğundan, müşteriler, KEK 'yi devre dışı bırakarak, ve verilerini şifreli olarak silebilir.

Kaynak sağlayıcıları ve uygulama örnekleri, şifreli veri şifreleme anahtarlarını meta veriler olarak depolar. Yalnızca anahtar şifreleme anahtarına erişimi olan bir varlık, bu veri şifreleme anahtarlarının şifresini çözebilir. Farklı anahtar depolama modelleri desteklenir. Daha fazla bilgi için bkz. veri şifreleme modelleri.

Microsoft bulut hizmetlerinde bekleyen şifreleme

Microsoft Bulut Hizmetleri üç bulut modelinde kullanılır: IaaS, PaaS, SaaS. Aşağıda her bir modele nasıl uydukları hakkında örnek verilmiştir:

• Microsoft 365 gibi bulut tarafından sağlanmış uygulamalar içeren, sunucu veya SaaS olarak yazılım olarak adlandırılan yazılım hizmetleri.
• Müşterilerin bulutlarını uygulamalarında depolama, analiz ve Service Bus işlevselliği gibi şeyler için kullanması gereken platform hizmetleri.
• Müşterinin bulutta barındırılan işletim sistemlerini ve uygulamaları dağıttığı ve muhtemelen diğer bulut hizmetlerini kullandığı altyapı hizmetleri veya hizmet olarak altyapı (IaaS).

SaaS müşterileri için bekleyen şifreleme

Hizmet olarak yazılım (SaaS) müşterileri, genellikle bekleyen veya her hizmette kullanılabilir olan şifrelemeye sahiptir. Microsoft 365, müşterilerin bekleyen şifrelemeyi doğrulaması veya etkinleştirmesi için çeşitli seçeneklere sahiptir. Microsoft 365 hizmetleri hakkında bilgi için bkz. Microsoft 365 'de şifreleme.

PaaS müşterileri için bekleyen şifreleme

hizmet olarak Platform (paas) müşterinin verileri genellikle Blob Depolama gibi bir depolama hizmetinde bulunur, ancak ayrıca, bir sanal makine gibi uygulama yürütme ortamında önbelleğe alınabilir veya depolanabilir. Bekleyen Rest seçeneklerinde şifrelemeyi görmek için, veri şifreleme modelleri: kullandığınız depolama ve uygulama platformları için destekleyici hizmetler tablosu ' nu inceleyin.

IaaS müşterileri için bekleyen şifreleme

Hizmet olarak altyapı (IaaS) müşterileri, kullanımda olan çeşitli hizmet ve uygulamalara sahip olabilir. IaaS Hizmetleri, Azure disk şifrelemesi 'ni kullanarak Azure 'da barındırılan sanal makinelerde ve VHD 'lerde bekleyen şifrelemeyi etkinleştirebilir.

Şifrelenmiş depolama

PaaS gibi IaaS çözümleri, bekleyen verileri depolayan diğer Azure hizmetlerinden yararlanabilir. Bu durumlarda, kullanılan her Azure hizmeti tarafından sağlandığı gibi, bekleyen destek için şifrelemeyi etkinleştirebilirsiniz. Veri şifreleme modelleri: destekleme hizmetleri tablosu , büyük depolama, hizmet ve uygulama platformlarını ve bekleyen desteklenen şifreleme modelini sıralar.

Şifrelenmiş işlem

tüm yönetilen diskler, anlık görüntüler ve görüntüler, hizmet tarafından yönetilen anahtar kullanılarak Depolama Hizmeti Şifrelemesi kullanılarak şifrelenir. Rest çözümünde daha kapsamlı bir şifreleme, verilerin şifresiz biçimde kalıcı olmamasını sağlar. verileri bir sanal makinede işlerken, veriler Windows sayfa dosyasında veya Linux takas dosyasında, kilitlenme dökümünde veya bir uygulama günlüğünde kalıcı hale getirilir. bu verilerin bekleyen bir şekilde şifrelendiğinden emin olmak için ıaas uygulamaları, azure ıaas sanal makinesi (Windows veya Linux) ve sanal disk üzerinde azure Disk şifrelemesi kullanabilir.

Bekleyen özel şifreleme

IaaS uygulamalarının mümkün olduğunda, tüketilen tüm Azure Azure Disk Şifrelemesi Tarafından sağlanan Beklemede Şifreleme ve Şifreleme seçeneklerine sahip olduğu önerilir. Düzensiz şifreleme gereksinimleri veya Azure tabanlı olmayan depolama gibi bazı durumlarda, bir IaaS uygulamasının geliştiricisi kendi beklemede şifreleme uygulamalıdır. IaaS çözümleri geliştiricileri, belirli Azure bileşenlerinden yararlanarak Azure yönetimi ve müşteri beklentileriyle daha iyi tümleşebilirsiniz. Özellikle geliştiricilerin güvenli anahtar Azure Key Vault sağlamak ve müşterilerine çoğu Azure platformu hizmetiyle tutarlı anahtar yönetimi seçenekleri sağlamak için Azure Key Vault hizmetini kullanmaları gerekir. Ayrıca, özel çözümler hizmet Azure-Managed şifreleme anahtarlarına erişmelerini sağlamak için Hizmet Kimlikleri'nin kullanımını da etkinleştirmektedir. Yönetilen Hizmet Kimlikleri Azure Key Vault geliştirici bilgileri için ilgili SDK'lerine bakın.

Azure kaynak sağlayıcıları şifreleme modeli desteği

Microsoft Azure Hizmetlerin her biri, bekleme modellerinde bir veya daha fazla şifrelemeyi destekler. Ancak bazı hizmetler için şifreleme modellerinden biri veya daha fazlası uygulanamaz. Müşteri tarafından yönetilen anahtar senaryolarını destekleyen hizmetler, anahtar şifreleme anahtarları için desteklenen anahtar türlerinin yalnızca Azure Key Vault bir alt kümesini desteklemektedir. Ayrıca, hizmetler farklı zamanlamalarda bu senaryolar ve anahtar türleri için destek yayımlar. Bu bölümde, büyük Azure veri depolama hizmetlerinin her biri için bu makalenin yaz olduğu sırada beklemede şifreleme desteği açıkmektedir.

Azure disk şifrelemesi

Azure Hizmet Olarak Altyapı (IaaS) özelliklerini kullanan tüm müşteriler, IaaS VM'leri ve diskleri için beklemede şifreleme elde Azure Disk Şifrelemesi. Azure Disk şifrelemesi hakkında daha fazla bilgi için Azure Disk Şifrelemesi bakın.

Azure depolama

Tüm Azure Depolama hizmetleri (Blob depolama, Kuyruk depolama, Tablo depolama ve Azure Dosyalar) bekleyen sunucu tarafı şifrelemeyi destekler; bazı hizmetler ayrıca müşteri tarafından yönetilen anahtarları ve istemci tarafı şifrelemeyi destekler.

• Sunucu tarafı: Tüm Azure Depolama Hizmetleri, uygulama için saydam olan hizmet tarafından yönetilen anahtarları kullanarak varsayılan olarak sunucu tarafı şifrelemeyi etkinleştirir. Daha fazla bilgi için bkz. Depolama için Azure Hizmet Şifrelemesi. Azure Blob depolama Azure Dosyalar RSA 2048 bit müşteri tarafından yönetilen anahtarları da Azure Key Vault. Daha fazla bilgi için bkz. Depolama yönetilen anahtarları kullanarak Hizmet Şifrelemesi Azure Key Vault.
• İstemci tarafı: Azure Blobları, Tablolar ve Kuyruklar istemci tarafı şifrelemeyi destekler. İstemci tarafı şifrelemesi kullanılırken müşteriler verileri şifreler ve verileri şifrelenmiş blob olarak karşıya yükler. Anahtar yönetimi müşteri tarafından yapılır. Daha fazla bilgi için bkz. İstemci Tarafı Şifrelemesi ve Azure Key Vault için Microsoft Azure Depolama.

Azure SQL Veritabanı

Azure SQL Veritabanı microsoft tarafından yönetilen hizmet tarafı ve istemci tarafı şifreleme senaryoları için beklemede şifrelemeyi desteklemektedir.

Sunucu şifreleme desteği şu anda SQL adlı Saydam Veri Şifrelemesi. Müşteri Azure SQL Veritabanı TDE anahtarının otomatik olarak oluşturularak bunlar için yönetiliyor. Beklemede şifreleme veritabanı ve sunucu düzeylerinde etkinleştirilebilir. Haziran 2017'den Saydam Veri Şifrelemesi (TDE) yeni oluşturulan veritabanlarında varsayılan olarak etkindir. Azure SQL Veritabanı, RSA 2048 bit müşteri tarafından yönetilen anahtarları Azure Key Vault. Daha fazla bilgi için bkz. Saydam Veri Şifrelemesi ve Kendi Anahtarını Getir için Azure SQL Veritabanı desteği Data Warehouse.

Veri depolama Azure SQL Veritabanı istemci tarafında şifreleme özelliği Always Encrypted desteklenir. Always Encrypted tarafından oluşturulan ve depolanan bir anahtar kullanır. Müşteriler ana anahtarı bir sertifika depolama Windows, Azure Key Vault veya yerel bir Donanım Güvenlik Modülünde depolar. Kullanıcılar SQL Server Management Studio SQL hangi sütunu şifrelemek istediğini seçer.

Sonuç

Azure Hizmetleri'nin içinde depolanan müşteri verilerini koruma, Microsoft için son derece önemlidir. Azure'da barındırılan tüm hizmetler, Beklemede Şifreleme seçenekleri sağlamayı taahhüt etmiştir. Azure hizmetleri hizmet tarafından yönetilen anahtarları, müşteri tarafından yönetilen anahtarları veya istemci tarafı şifrelemeyi destekler. Azure hizmetleri Rest kullanılabilirlik sırasında Şifrelemeyi geniş bir şekilde geliştirmektedir ve yeni seçeneklerin önümüzdeki aylarda önizleme ve genel kullanılabilirlik için planlanmaktadır.

Sonraki adımlar

• Hizmet tarafından yönetilen anahtarlar ve müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi edinmek için bkz. veri şifreleme modelleri.
• Azure'ın verileri şifrelemeyle birlikte gelen tehditleri azaltmak için çift şifrelemeyi nasıl kullandığını öğrenin.
• Microsoft'un donanım ve üretici yazılımı derleme, tümleştirme, işletimselleştirme ve onarım işlem hatlarını geçen konakların platform bütünlüğünü ve güvenliğini sağlamak için ne yaptığını öğrenin.