تشفير البيانات باستخدام مفاتيح يديرها العميل

مقالة
08/15/2024

ينطبق على: Azure Cosmos DB ل PostgreSQL (مدعوم بملحق قاعدة بيانات Citus إلى PostgreSQL)

يتم تشفير البيانات المخزنة في Azure Cosmos DB لنظام مجموعة PostgreSQL تلقائيا وسلاسة باستخدام المفاتيح التي تديرها Microsoft. يشار إلى هذه المفاتيح كمفاتيح مدارة بواسطة الخدمة. يستخدم Azure Cosmos DB ل PostgreSQL تشفير تخزين Azure لتشفير البيانات الثابتة بشكل افتراضي باستخدام المفاتيح المدارة بواسطة الخدمة. يمكنك اختياريا إضافة طبقة إضافية من الأمان عن طريق تمكين التشفير باستخدام المفاتيح التي يديرها العميل.

المفاتيح المدارة بواسطة الخدمة

تستخدم خدمة Azure Cosmos DB ل PostgreSQL وحدة التشفير التي تم التحقق من صحتها FIPS 140-2 لتشفير تخزين البيانات الثابتة. يتم تشفير كافة البيانات بما في ذلك النسخ الاحتياطية والملفات المؤقتة التي تم إنشاؤها أثناء تشغيل الاستعلامات على القرص. تستخدم الخدمة تشفير AES 256 بت المضمن في تشفير تخزين Azure، وتتم إدارة المفاتيح بواسطة النظام. يتم تشغيل تشفير التخزين دائماً ولا يمكن تعطيله.

المفاتيح التي يديرها العميل

تتطلب العديد من المؤسسات التحكم الكامل في الوصول إلى البيانات باستخدام مفتاح مدار من قبل العميل (CMK). يمكنك تشفير البيانات باستخدام مفاتيح يديرها العميل ل Azure Cosmos DB ل PostgreSQL من إحضار مفتاحك الخاص لحماية البيانات الثابتة. كما تمنح المؤسسات القدرة على تنفيذ الفصل بين الواجبات في إدارة المفاتيح والبيانات. باستخدام التشفير الذي يديره العميل، أنت مسؤول عن دورة حياة المفتاح وأذونات الاستخدام وتدقيح العمليات والتحكم فيها بالكامل.

يتم تعيين تشفير البيانات باستخدام مفاتيح يديرها العميل ل Azure Cosmos DB ل PostgreSQL على مستوى الخادم. يتم تشفير البيانات، بما في ذلك النسخ الاحتياطية، على القرص. يتضمن هذا التشفير الملفات المؤقتة التي تم إنشاؤها أثناء تشغيل الاستعلامات. بالنسبة لنظام مجموعة معين، يتم استخدام مفتاح مدار من قبل العميل، يسمى مفتاح تشفير المفتاح (KEK)، لتشفير مفتاح تشفير بيانات الخدمة (DEK). KEK هو مفتاح غير متماثل مخزن في مثيل Azure Key Vault المملوك للعميل والمدار من قبل العميل.

	‏‏الوصف
مفتاح تشفير البيانات (DEK)	مفتاح تشفير البيانات هو مفتاح AES256 متماثل يستخدم لتشفير قسم أو كتلة من البيانات. يؤدي تشفير كل كتلة من البيانات بمفتاح مختلف إلى زيادة صعوبة هجمات تحليل التشفير. يتطلب موفر الموارد أو مثيل التطبيق الذي يقوم بتشفير كتلة معينة وفك تشفيرها الوصول إلى DEKs. عند استبدال DEK بمفتاح جديد، يجب إعادة تشفير البيانات الموجودة في الكتلة المرتبطة به بالمفتاح الجديد فقط.
مفتاح تشفير المفتاح (KEK)	مفتاح تشفير المفتاح هو مفتاح تشفير يستخدم لتشفير DEKs. يسمح KEK الذي لا يترك خزنة مفاتيح ل DEKs نفسها بالتشفير والتحكم فيها. قد يكون الكيان الذي لديه حق الوصول إلى مفتاح تشفير المفاتيح مختلفاً عن الكيان الذي يتطلب مفتاح تشفير. نظرا لأن KEK مطلوب لفك تشفير DEKs، فإن KEK هو بشكل فعال نقطة واحدة ويحذف حذف KEK بشكل فعال DEKs.

‏‏الوصف

مفتاح تشفير البيانات (DEK)

مفتاح تشفير البيانات هو مفتاح AES256 متماثل يستخدم لتشفير قسم أو كتلة من البيانات. يؤدي تشفير كل كتلة من البيانات بمفتاح مختلف إلى زيادة صعوبة هجمات تحليل التشفير. يتطلب موفر الموارد أو مثيل التطبيق الذي يقوم بتشفير كتلة معينة وفك تشفيرها الوصول إلى DEKs. عند استبدال DEK بمفتاح جديد، يجب إعادة تشفير البيانات الموجودة في الكتلة المرتبطة به بالمفتاح الجديد فقط.

مفتاح تشفير المفتاح (KEK)

مفتاح تشفير المفتاح هو مفتاح تشفير يستخدم لتشفير DEKs. يسمح KEK الذي لا يترك خزنة مفاتيح ل DEKs نفسها بالتشفير والتحكم فيها. قد يكون الكيان الذي لديه حق الوصول إلى مفتاح تشفير المفاتيح مختلفاً عن الكيان الذي يتطلب مفتاح تشفير. نظرا لأن KEK مطلوب لفك تشفير DEKs، فإن KEK هو بشكل فعال نقطة واحدة ويحذف حذف KEK بشكل فعال DEKs.

إشعار

Azure Key Vault هو نظام إدارة مفاتيح مستند إلى السحابة. إنه متوفر بشكل كبير ويوفر تخزينا آمنا وقابلا للتطوير لمفاتيح التشفير RSA، مدعوما اختياريا بوحدات أمان الأجهزة التي تم التحقق من صحتها FIPS 140 (HSMs). لا يسمح مخزن المفاتيح بالوصول المباشر إلى مفتاح مخزن ولكنه يوفر خدمات التشفير وفك التشفير للكيانات المعتمدة. يمكن لمخزن المفاتيح إنشاء المفتاح أو استيراده أو نقله من جهاز HSM محلي.

يتم تخزين مفاتيح التشفير المشفرة باستخدام مفاتيح تشفير المفاتيح بشكل منفصل. يمكن فقط للكيان الذي له حق الوصول إلى مفتاح تشفير المفاتيح فك تشفير مفاتيح التشفير هذه. لمزيد من المعلومات، راجع الأمان في التشفير في حالة الثبات.

كيفية عمل تشفير البيانات باستخدام مفتاح يديره العميل

لكي يستخدم نظام المجموعة المفاتيح التي يديرها العميل المخزنة في Key Vault لتشفير DEK، يمنح مسؤول Key Vault حقوق الوصول التالية إلى الخادم:

	‏‏الوصف
get	تمكين استرداد الجزء العام وخصائص المفتاح في مخزن المفاتيح.
مفتاح الالتفاف	تمكين تشفير DEK. يتم تخزين DEK المشفرة في Azure Cosmos DB ل PostgreSQL.
unwrapKey	تمكين فك تشفير DEK. يتطلب Azure Cosmos DB ل PostgreSQL فك تشفير DEK لتشفير/فك تشفير البيانات.

يمكن لمسؤول key vault كذلك تمكين تسجيل أحداث تدقيق Key Vault، بحيث يمكن تدقيقها لاحقاً. عند تكوين Azure Cosmos DB لنظام مجموعة PostgreSQL لاستخدام المفتاح المدار من قبل العميل المخزن في مخزن المفاتيح، يرسل نظام المجموعة DEK إلى خزنة المفاتيح للتشفير. تقوم Key Vault بإرجاع مفتاح التشفير المشفر، والذي يتم تخزينه بعد ذلك في قاعدة بيانات المستخدم. وبالمثل، عند الحاجة، يرسل الخادم مفتاح التشفير المحمي إلى key vault لفك التشفير. يمكن للمدققين استخدام Azure Monitor لمراجعة سجلات أحداث تدقيق Key Vault، إذا تم تمكين التسجيل.

المزايا

يوفر تشفير البيانات باستخدام مفاتيح يديرها العميل ل Azure Cosmos DB ل PostgreSQL المزايا التالية:

يمكنك التحكم الكامل في الوصول إلى البيانات مع القدرة على إزالة المفتاح وجعل قاعدة البيانات غير قابلة للوصول.
التحكم الكامل في دورة حياة المفتاح، بما في ذلك تدوير المفتاح للتوافق مع نهج الشركة المحددة.
الإدارة المركزية وتنظيم المفاتيح في Azure Key Vault.
القدرة على تنفيذ فصل المهام بين مسؤولي الأمن ومسؤولي قاعدة البيانات ومسؤولي النظام.
لا يكون لتمكين التشفير أي تأثير أداء إضافي باستخدام المفاتيح التي يديرها العميل أو بدونها. يعتمد Azure Cosmos DB ل PostgreSQL على تخزين Azure لتشفير البيانات في كل من السيناريوهات الرئيسية المدارة من قبل العميل والمدارة بواسطة الخدمة.

الخطوات التالية

تمكين التشفير باستخدام المفاتيح التي يديرها العميل

مشاركة عبر