Zabezpečení a šifrování dat v Azure Data Manageru pro energii

Tento článek obsahuje přehled funkcí zabezpečení v Azure Data Manageru pro energii. Zahrnuje hlavní oblasti šifrování neaktivních uložených dat, šifrování při přenosu, TLS, https, klíče spravované microsoftem a klíč spravovaný zákazníkem.

Šifrování neaktivních uložených dat

Azure Data Manager pro energii používá několik prostředků úložiště k ukládání metadat, uživatelských dat, dat v paměti atd. Platforma používá šifrování na straně služby k automatickému šifrování všech dat, když jsou trvale uložená v cloudu. Šifrování neaktivních uložených dat chrání vaše data, aby vám pomohlo splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Všechna data v Azure Data Manageru pro energii se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Kromě klíče spravovaného Microsoftem můžete k ochraně dat v Azure Data Manageru pro energii použít vlastní šifrovací klíč. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu k klíči spravovanému Microsoftem, který šifruje vaše data.

Šifrování přenášených dat

Azure Data Manager pro energii podporuje protokol TLS 1.2 (Transport Layer Security), který chrání data při přenosu mezi cloudovými službami a zákazníky. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu a flexibilitu algoritmů.

Kromě protokolu TLS se při interakci s Azure Data Managerem pro energii provádí všechny transakce přes HTTPS.

Nastavení klíčů spravovaných zákazníkem (CMK) pro instanci Azure Data Manageru pro energii

Důležité

Po vytvoření instance Azure Data Manageru pro energii není možné upravit nastavení CMK.

Požadavky

Krok 1: Konfigurace trezoru klíčů

1. K ukládání klíčů spravovaných zákazníkem můžete použít nový nebo existující trezor klíčů. Další informace o službě Azure Key Vault najdete v tématu Přehled služby Azure Key Vault a co je Azure Key Vault?

2. Použití klíčů spravovaných zákazníkem s Azure Data Managerem pro energii vyžaduje povolení obnovitelného odstranění a ochrany před vymazáním pro trezor klíčů. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů a nedá se zakázat. Ochranu před vymazáním můžete povolit buď při vytváření trezoru klíčů, nebo po jeho vytvoření.

3. Informace o vytvoření trezoru klíčů pomocí webu Azure Portal najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí webu Azure Portal. Při vytváření trezoru klíčů vyberte Povolit ochranu před vymazáním.

   

4. Pokud chcete u existujícího trezoru klíčů povolit ochranu před vymazáním, postupujte takto:

   1. Na webu Azure Portal přejděte ke svému trezoru klíčů.
   2. V části Nastavení zvolte Vlastnosti.
   3. V části Ochrana před vyprázdněním zvolte Povolit ochranu před vymazáním.

Krok 2: Přidání klíče

1. Dále přidejte klíč do trezoru klíčů.
2. Informace o tom, jak přidat klíč pomocí webu Azure Portal, najdete v tématu Rychlý start: Nastavení a načtení klíče ze služby Azure Key Vault pomocí webu Azure Portal.
3. Doporučuje se, aby velikost klíče RSA byla 3072, viz Konfigurace klíčů spravovaných zákazníkem pro váš účet služby Azure Cosmos DB | Microsoft Learn.

Krok 3: Volba spravované identity pro autorizaci přístupu k trezoru klíčů

1. Když povolíte klíče spravované zákazníkem pro existující instanci Azure Data Manageru pro energii, musíte zadat spravovanou identitu, která se použije k autorizaci přístupu k trezoru klíčů, který tento klíč obsahuje. Spravovaná identita musí mít oprávnění pro přístup k klíči v trezoru klíčů.
2. Můžete vytvořit spravovanou identitu přiřazenou uživatelem.

Konfigurace klíčů spravovaných zákazníkem pro existující účet

1. Vytvořte instanci Azure Data Manageru pro energii .
2. Vyberte kartu Šifrování.

3. Na kartě šifrování vyberte klíče spravované zákazníkem (CMK).

4. Pro použití CMK musíte vybrat trezor klíčů, ve kterém je klíč uložený.

5. Jako šifrovací klíč vyberte "Vybrat trezor klíčů a klíč".

6. Pak vyberte "Vybrat trezor klíčů a klíč".

7. Dále vyberte trezor klíčů a klíč.

   

8. Dále vyberte spravovanou identitu přiřazenou uživatelem, která se použije k autorizaci přístupu k trezoru klíčů, který tento klíč obsahuje.

9. Vyberte "Vybrat identitu uživatele". Vyberte spravovanou identitu přiřazenou uživatelem, kterou jste vytvořili v požadovaných krocích.

10. Tato identita přiřazená uživatelem musí mít oprávnění k získání klíče, výpisu klíče, zabalení klíče a rozbalení klíče v trezoru klíčů. Další informace o přiřazování zásad přístupu ke službě Azure Key Vault najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.

    

11. Šifrovací klíč můžete také vybrat jako Enter key from URI (Zadat klíč z identifikátoru URI). Je povinné, aby klíč měl povoleno obnovitelné odstranění a ochranu před vymazáním. To budete muset potvrdit zaškrtnutím políčka uvedeného níže.

    

12. Potom po dokončení dalších karet vyberte Review+Create (Zkontrolovat a vytvořit).

13. Vyberte tlačítko Vytvořit.

14. Instance Azure Data Manageru pro energii se vytvoří s klíči spravovanými zákazníkem.

15. Po povolení cmk se na obrazovce Přehled zobrazí jeho stav.

    

16. Můžete přejít na šifrování a zjistit, že CMK je povolený s identitou spravovanou uživatelem.

    

Další kroky

Další informace o službě Private Links.

Jak nastavit privátní propojení