Šifrování dat v Azure DocumentDB

Všechna data spravovaná službou Azure DocumentDB se vždy šifrují v klidovém stavu. Tato data zahrnují všechny systémové a uživatelské databáze, dočasné soubory, protokoly a zálohy.

Šifrování neaktivních uložených dat pomocí klíče spravovaného službou (SMK) nebo klíče spravovaného zákazníkem (CMK)

Azure DocumentDB podporuje dva režimy šifrování neaktivních uložených dat: klíče spravované službou (SMK) a klíče spravované zákazníkem (CMK). Šifrování dat pomocí klíčů spravovaných službou je výchozím režimem azure DocumentDB. V tomto režimu služba automaticky spravuje šifrovací klíče používané k šifrování dat. K povolení ani správě šifrování v tomto režimu nemusíte provádět žádnou akci.

V režimu klíčů spravovaných zákazníkem můžete k šifrování dat použít vlastní šifrovací klíč. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu. Musíte nasadit vlastní službu Azure Key Vault a nakonfigurovat ji tak, aby ukládaly šifrovací klíče používané clusterem Azure DocumentDB.

Režim konfigurace lze vybrat pouze při vytváření clusteru. Po celou dobu života clusteru se nedá změnit z jednoho režimu na jiný.

K zajištění šifrování dat používá Azure DocumentDB šifrování služby Azure Storage na straně serveru pro neaktivní uložená data. Při používání CMK zodpovídáte za poskytování klíčů pro šifrování a dešifrování dat ve službách Azure Storage. Tyto klíče musí být uložené ve službě Azure Key Vault.

Výhody poskytované jednotlivými režimy (SMK nebo CMK)

Šifrování dat pomocí klíčů spravovaných službou pro Azure DocumentDB nabízí následující výhody:

• Služba automaticky a plně řídí přístup k datům.
• Služba automaticky a plně řídí životní cyklus klíče, včetně obměně klíče.
• Nemusíte se starat o správu šifrovacích klíčů dat.
• Šifrování dat založené na klíčích spravovaných službou nemá negativní vliv na výkon vašich úloh.
• Zjednodušuje správu šifrovacích klíčů (včetně jejich pravidelné obměně) a správu identit používaných pro přístup k těmto klíčům.

Šifrování dat s využitím klíčů spravovaných zákazníkem pro Azure DocumentDB přináší následující výhody:

• Plně řídíte přístup k datům. Pokud chcete znepřístupnit databázi, můžete odvolat klíč.
• Životní cyklus klíče plně řídíte tak, aby odpovídal firemním zásadám.
• Všechny šifrovací klíče můžete centrálně spravovat a organizovat ve vlastních instancích služby Azure Key Vault.
• Šifrování dat založené na klíčích spravovaných zákazníkem nemá negativní vliv na výkon vašich úloh.
• Můžete implementovat oddělení povinností mezi bezpečnostními důstojníky, správci databází a správci systému.

Požadavky CMK

U šifrovacího klíče spravovaného zákazníkem převezmete veškerou odpovědnost za údržbu správně nakonfigurovaných komponent potřebných k fungování cmk. Proto musíte nasadit vlastní službu Azure Key Vault a zadat spravovanou identitu přiřazenou uživatelem. Musíte vygenerovat nebo importovat vlastní klíč. Musíte udělit požadovaná oprávnění ke službě Key Vault, aby služba Azure DocumentDB s klíčem prováděla potřebné akce. Musíte se postarat o konfiguraci všech aspektů sítě služby Azure Key Vault, ve které se klíč uchovává, aby vaše instance Azure DocumentDB měla přístup ke klíči. Auditování přístupu ke klíči je také vaší zodpovědností.

Když nakonfigurujete klíče spravované zákazníkem pro cluster Azure DocumentDB for MonogDB, Azure Storage zabalí kořenový šifrovací klíč dat (DEK) pro účet s klíčem spravovaným zákazníkem v přidruženém trezoru klíčů. Ochrana kořenového šifrovacího klíče se změní, ale data ve vašem účtu Azure Storage zůstanou vždy zašifrovaná. Na vaší straně není potřeba žádná další akce, která zajistí, že vaše data zůstanou zašifrovaná. Ochrana pomocí klíčů spravovaných zákazníkem se projeví okamžitě.

Azure Key Vault je cloudový externí systém pro správu klíčů. Je vysoce dostupná a poskytuje škálovatelné zabezpečené úložiště pro kryptografické klíče RSA. Nepovoluje přímý přístup k uloženému klíči, ale poskytuje služby šifrování a dešifrování autorizovaným entitům. Key Vault může klíč vygenerovat, importovat ho nebo ho přijímat z místního zařízení HSM.

Následuje seznam požadavků a doporučení pro konfiguraci šifrování dat pro Azure DocumentDB:

Úložiště klíčů

Trezor klíčů používaný pro instalaci CMK musí splňovat následující požadavky:

• Trezor klíčů a Azure DocumentDB musí patřit do stejného tenanta Microsoft Entra.
• Doporučení: Nastavte dny pro uchovávání odstraněných trezorů pro Službu Key Vault na 90 dnů. Toto nastavení konfigurace lze definovat pouze při vytváření trezoru klíčů. Po vytvoření instance není možné toto nastavení změnit.
• Povolte funkci v trezoru soft-delete klíčů, která vám pomůže s ochranou před ztrátou dat, pokud dojde k náhodnému odstranění klíče nebo instance trezoru klíčů. Trezor klíčů uchovává měkce smazané prostředky po dobu 90 dnů, pokud je uživatel během této doby neobnoví nebo nevyčistí. Akce obnovení a vymazání mají svá vlastní oprávnění přidružená k trezoru klíčů, roli řízení přístupu na základě role (RBAC) nebo oprávnění zásad přístupu. Funkce dočasného odstranění je ve výchozím nastavení zapnutá. Pokud máte úložiště klíčů, které bylo nasazeno před delší dobou, může mít stále zakázáno obnovitelné odstranění. V takovém případě ho můžete zapnout.
• Povolením ochrany před vymazáním vynucujte povinnou dobu uchovávání pro odstraněné trezory a objekty trezoru.
• Nakonfigurujte síťový přístup, abyste clusteru umožnili přístup k šifrovacímu klíči v trezoru klíčů. Použijte jednu z následujících možností konfigurace:
  • Povolit veřejný přístup ze všech sítí umožňuje všem hostitelům na internetu přístup k trezoru klíčů.
  • Vyberte Zakázat veřejný přístup a Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall a zakázat veškerý veřejný přístup, ale povolit clusteru přístup k trezoru klíčů.

Šifrovací klíč

Šifrovací klíč vybraný pro konfiguraci CMK musí splňovat následující požadavky:

• Klíč použitý k šifrování šifrovacího klíče dat může být pouze asymetrický, RSA nebo RSA-HSM. Podporují se velikosti klíčů 2 048, 3 072 a 4 096.
  • Doporučení: K lepšímu zabezpečení použijte 4 096bitový klíč.
• Datum a čas aktivace klíče (pokud je nastavená) musí být v minulosti. Datum a čas vypršení platnosti (pokud je nastaveno) musí být v budoucnu.
• Klíč musí být ve stavu Povoleno .
• Pokud importujete existující klíč do služby Azure Key Vault, zadejte ho v podporovaných formátech souborů (.pfx.byoknebo.backup).

Povolení

Udělte spravované identitě přiřazené uživatelem Azure DocumentDB přístup k šifrovacímu klíči:

• Preferováno: Služba Azure Key Vault by měla být nakonfigurovaná s modelemoprávnění RBAC a spravovaná identita by měla mít přiřazenou roli uživatele šifrování šifrovací služby Key Vault.
• Starší verze: Pokud je služba Azure Key Vault nakonfigurovaná s modelem oprávnění zásad přístupu, udělte spravované identitě následující oprávnění:
  • get: Načtení vlastností a veřejné části klíče z trezoru klíčů.
  • list: Seznam a procházení klíčů uložených v trezoru klíčů.
  • wrapKey: Šifrování šifrovacího klíče dat.
  • unwrapKey: Dešifrování šifrovacího klíče dat.

Aktualizace verze klíče CMK

CMK v Azure DocumentDB podporuje automatické aktualizace verzí klíčů, označované také jako klíče bez verze. Služba Azure DocumentDB automaticky převezme novou verzi klíče a znovu zašifruje šifrovací klíč dat. Tuto funkci je možné kombinovat s funkcí automatického rotování služby Azure Key Vault.

Úvahy

Při použití klíče spravovaného zákazníkem pro šifrování dat postupujte podle těchto doporučení ke konfiguraci služby Key Vault:

• Pokud chcete zabránit náhodnému nebo neoprávněnému odstranění tohoto kritického prostředku, nastavte zámek prostředku Azure v trezoru klíčů.
• Zkontrolujte a povolte možnosti dostupnosti a redundance služby Azure Key Vault.
• Povolte protokolování a upozorňování na instanci služby Azure Key Vault, která se používá k ukládání klíčů. Key Vault poskytuje protokoly, které se dají snadno vložit do jiných nástrojů pro správu událostí a informací o zabezpečení (SIEM). Protokoly služby Azure Monitor jsou jedním z příkladů služby, která je už integrovaná.
• Povolení automatického zápisu klíče Služba Azure DocumentDB vždy přebírá nejnovější verzi vybraného klíče.
• Uzamkněte veřejný síťový přístup ke službě Key Vault výběrem možnosti Zakázat veřejný přístup a Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall.

Poznámka:

Když vyberete Možnost Zakázat veřejný přístup a Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall, může se při pokusu o správu služby Key Vault přes portál zobrazit chyba podobná následující: "Povolili jste řízení přístupu k síti. K tomuto trezoru klíčů mají přístup pouze povolené sítě." Tato chyba nebrání možnosti poskytovat klíče během nastavení klíče spravovaného zákazníkem nebo načítání klíčů ze služby Key Vault během operací clusteru.

• Uchovávejte kopii klíče spravovaného zákazníkem na bezpečném místě nebo ji uložte do služby escrow.
• Pokud Key Vault tento klíč vygeneruje, vytvořte zálohu klíče před prvním použitím klíče. Zálohu můžete obnovit jenom do služby Key Vault.

Související obsah

• Pokud chcete povolit šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v Azure DocumentDB, postupujte podle těchto kroků.
• Řešení potíží s nastavením CMK
• Migrace dat do Azure DocumentDB