Neaktivní uložená služba Azure Data Encryption

Microsoft Azure zahrnuje nástroje pro ochranu dat podle potřeb vaší společnosti v oblasti zabezpečení a dodržování předpisů. Tento dokument se zaměřuje na:

• Ochrana neaktivních uložených dat v Microsoft Azure
• Popisuje různé komponenty, které se účastní implementace ochrany dat,
• Kontroluje výhody a nevýhody různých přístupů ochrany správy klíčů.

Šifrování neaktivních uložených dat je běžným požadavkem na zabezpečení. V Azure můžou organizace šifrovat neaktivní uložená data bez rizika nebo nákladů na vlastní řešení správy klíčů. Organizace mají možnost umožnit Azure úplné správě šifrování neaktivních uložených dat. Organizace mají navíc různé možnosti pro úzkou správu šifrovacích nebo šifrovacích klíčů.

Co je šifrování neaktivních uložených dat?

Šifrování je zabezpečené kódování dat používaných k ochraně důvěrnosti dat. Návrhy šifrování neaktivních uložených dat v Azure používají symetrické šifrování k rychlému šifrování a dešifrování velkých objemů dat podle jednoduchého konceptuálního modelu:

• Symetrický šifrovací klíč se používá k šifrování dat při zápisu do úložiště.
• Stejný šifrovací klíč se používá k dešifrování dat, protože se čtou pro použití v paměti.
• Data můžou být rozdělená do oddílů a pro každý oddíl se můžou používat různé klíče.
• Klíče musí být uložené v zabezpečeném umístění se zásadami řízení přístupu na základě identit a auditování. Šifrovací klíče dat, které jsou uložené mimo zabezpečená umístění, se šifrují pomocí šifrovacího klíče klíče uloženého v zabezpečeném umístění.

V praxi vyžadují klíčové scénáře správy a řízení a záruky dostupnosti a škálování další konstrukce. Koncepty a komponenty služby Microsoft Azure Encryption v klidovém stavu jsou popsané níže.

Účel šifrování neaktivních uložených dat

Šifrování neaktivních uložených dat zajišťuje ochranu dat pro uložená data (neaktivní uložená data). Útoky na neaktivní uložená data zahrnují pokusy o získání fyzického přístupu k hardwaru, na kterém jsou uložená data, a poté ohrozit obsažená data. V takovém útoku mohl být pevný disk serveru během údržby nesprávně zpracovaný, což útočníkovi umožňuje odebrat pevný disk. Později by útočník vložil pevný disk do počítače pod jeho kontrolou, aby se pokusil o přístup k datům.

Šifrování neaktivních uložených dat je navržené tak, aby zabránilo útočníkovi v přístupu k nešifrovaným datům tím, že zajistí šifrování dat na disku. Pokud útočník získá pevný disk se zašifrovanými daty, ale ne šifrovacími klíči, musí porazit šifrování za účelem čtení dat. Tento útok je mnohem složitější a spotřeba prostředků než přístup k nešifrovaným datům na pevném disku. Z tohoto důvodu se důrazně doporučuje šifrování neaktivních uložených dat a je to požadavek na vysokou prioritu pro mnoho organizací.

Šifrování neaktivních uložených dat může vyžadovat také potřeba organizace pro zásady správného řízení dat a dodržování předpisů. Oborové a vládní předpisy, jako jsou HIPAA, PCI a FedRAMP, stanoví zvláštní záruky týkající se ochrany dat a požadavků na šifrování. Šifrování neaktivních uložených dat je povinná míra potřebná pro dodržování některých těchto předpisů. Další informace o přístupu Společnosti Microsoft k ověřování FIPS 140-2 naleznete v publikaci FIPS 140-2 (Federal Information Processing Standard).

Kromě splnění požadavků na dodržování předpisů a zákonných požadavků poskytuje šifrování neaktivních uložených dat hloubkovou ochranu. Microsoft Azure poskytuje kompatibilní platformu pro služby, aplikace a data. Poskytuje také komplexní zařízení a fyzické zabezpečení, řízení přístupu k datům a auditování. Je však důležité poskytnout další "překrývající se" bezpečnostní opatření v případě, že některá z ostatních bezpečnostních opatření selže a šifrování neaktivních uložených dat takové bezpečnostní opatření poskytuje.

Společnost Microsoft se zavazuje šifrování neaktivních uložených dat napříč cloudovými službami a poskytuje zákazníkům kontrolu nad šifrovacími klíči a protokoly použití klíče. Microsoft navíc ve výchozím nastavení pracuje na šifrování všech neaktivních uložených zákaznických dat.

Azure Encryption at Rest Components

Jak jsme popsali dříve, cílem šifrování neaktivních uložených dat je, že data, která jsou uložená na disku, se šifrují pomocí tajného šifrovacího klíče. Aby bylo možné dosáhnout tohoto cíle bezpečného vytváření klíčů, úložiště, řízení přístupu a správy šifrovacích klíčů, musí být k dispozici. I když se můžou podrobnosti lišit, implementace šifrování neaktivních uložených služeb Azure je možné popsat z hlediska znázornění v následujícím diagramu.

Azure Key Vault

Umístění šifrovacích klíčů a řízení přístupu k těmto klíčům je centrální pro model šifrování neaktivních uložených dat. Klíče musí být vysoce zabezpečené, ale spravovatelné zadanými uživateli a dostupnými pro konkrétní služby. Pro služby Azure je azure Key Vault doporučeným řešením úložiště klíčů a poskytuje společné prostředí pro správu napříč službami. Klíče se ukládají a spravují v trezorech klíčů a přístup k trezoru klíčů je možné dát uživatelům nebo službám. Azure Key Vault podporuje vytváření klíčů zákazníka nebo import klíčů zákazníků pro použití ve scénářích šifrovacích klíčů spravovaných zákazníkem.

Azure Active Directory

Oprávnění k používání klíčů uložených v Azure Key Vault, ať už ke správě nebo přístupu k nim pro šifrování neaktivních uložených šifrování a dešifrování, je možné udělit účtům Azure Active Directory.

Šifrování obálek s hierarchií klíčů

V implementaci šifrování neaktivních uložených dat se používá více než jeden šifrovací klíč. Uložení šifrovacího klíče v Azure Key Vault zajišťuje zabezpečený přístup k klíčům a centrální správu klíčů. Místní přístup k šifrovacím klíčům služby je však efektivnější pro hromadné šifrování a dešifrování než interakci s Key Vault pro každou operaci dat, což umožňuje silnější šifrování a lepší výkon. Omezení použití jednoho šifrovacího klíče snižuje riziko ohrožení klíče a náklady na opětovné šifrování při nahrazení klíče. Modely šifrování neaktivních uložených uložených dat používají šifrování obálek, kde šifrovací klíč klíče šifruje šifrovací klíč dat. Tento model tvoří klíčovou hierarchii, která dokáže lépe řešit požadavky na výkon a zabezpečení:

• Šifrovací klíč dat (DEK) – symetrický klíč AES256 používaný k šifrování oddílu nebo bloku dat, někdy označovaný také jako jednoduše datový klíč. Jeden prostředek může mít mnoho oddílů a mnoho šifrovacích klíčů dat. Šifrování každého bloku dat pomocí jiného klíče ztěžuje útoky kryptografických analýz. Dekce DEK pro službu šifruje a dešifruje data maximalizuje výkon.
• Šifrovací klíč klíče (KEK) – šifrovací klíč použitý k šifrování šifrovacích klíčů dat pomocí šifrování obálky, označovaný také jako obtékání. Použití šifrovacího klíče klíče, který nikdy neopustí Key Vault umožňuje šifrování a řízení samotných šifrovacích klíčů dat. Entita, která má přístup k klíči KEK, se může lišit od entity, která vyžaduje klíč DEK. Entita může zprostředkovat přístup k DEK, aby omezila přístup jednotlivých DEK ke konkrétnímu oddílu. Vzhledem k tomu, že k dešifrování dešifrovaných sad DEK je potřeba klíč KEK, můžou zákazníci kryptograficky vymazat DEK a data zakázáním klíče KEK.

Poskytovatelé prostředků a instance aplikací ukládají šifrované šifrovací klíče dat jako metadata. Tyto šifrovací klíče dat může dešifrovat pouze entita s přístupem k šifrovacímu klíči klíče klíče. Podporují se různé modely úložiště klíčů. Další informace najdete v tématu Modely šifrování dat.

Šifrování neaktivních uložených dat v cloudových službách Microsoftu

Cloudové služby Microsoftu se používají ve všech třech cloudových modelech: IaaS, PaaS, SaaS. Níže najdete příklady toho, jak se hodí pro jednotlivé modely:

• Softwarové služby označované jako Software jako služba nebo SaaS, které mají aplikace poskytované cloudem, jako je Microsoft 365.
• Služby platformy, ve kterých zákazníci používají cloud pro funkce úložiště, analýzy a služby Service Bus ve svých aplikacích.
• Služby infrastruktury nebo infrastruktura jako služba (IaaS), ve kterých zákazník nasazuje operační systémy a aplikace hostované v cloudu a případně využívají další cloudové služby.

Šifrování neaktivních uložených dat pro zákazníky SaaS

Zákazníci se softwarem jako službou (SaaS) obvykle mají šifrování neaktivních uložených dat povolené nebo dostupné v každé službě. Microsoft 365 nabízí zákazníkům několik možností ověření nebo povolení šifrování neaktivních uložených dat. Informace o službách Microsoftu 365 najdete v tématu Šifrování v Microsoftu 365.

Šifrování neaktivních uložených dat pro zákazníky PaaS

Data zákazníka PaaS (Platforma jako služba) se obvykle nacházejí ve službě úložiště, jako je blob Storage, ale můžou se také ukládat do mezipaměti nebo ukládat do spouštěcího prostředí aplikace, jako je například virtuální počítač. Pokud chcete zobrazit dostupné možnosti šifrování neaktivních uložených dat, prozkoumejte modely šifrování dat: tabulku podpůrných služeb pro platformy úložiště a aplikací, které používáte.

Šifrování neaktivních uložených dat pro zákazníky IaaS

Zákazníci typu Infrastruktura jako služba (IaaS) můžou používat celou řadu služeb a aplikací. Služby IaaS můžou pomocí služby Azure Disk Encryption povolit šifrování neaktivních uložených uložených virtuálních počítačů a virtuálních pevných disků v Azure.

Šifrované úložiště

Podobně jako PaaS můžou řešení IaaS využívat další služby Azure, které ukládají neaktivní uložená data zašifrovaná. V těchto případech můžete povolit podporu šifrování v klidovém stavu, jak poskytuje každá spotřebovaná služba Azure. Modely šifrování dat: tabulka podpůrných služeb uvádí hlavní platformy úložiště, služby a aplikační platformy a model šifrování v klidovém stavu.

Šifrované výpočetní prostředky

Všechny Spravované disky, snímky a image se šifrují pomocí šifrování služby Storage pomocí klíče spravovaného službou. Ucelenější řešení Šifrování v klidovém stavu zajišťuje, že data se nikdy neuchovávají v nezašifrované podobě. Při zpracování dat na virtuálním počítači je možné data uchovávat ve stránkovacím souboru Windows nebo linuxovém prohození souboru, výpisu stavu systému Nebo do protokolu aplikace. K zajištění šifrování neaktivních uložených dat můžou aplikace IaaS používat Azure Disk Encryption na virtuálním počítači Azure IaaS (Windows nebo Linux) a virtuálním disku.

Vlastní šifrování neaktivních uložených dat

Kdykoli je to možné, aplikace IaaS využívají službu Azure Disk Encryption a šifrování neaktivních uložených služeb, které poskytují všechny spotřebované služby Azure. V některých případech, jako jsou nepravidelné požadavky na šifrování nebo úložiště založené na Azure, může vývojář aplikace IaaS potřebovat implementovat šifrování v klidovém stavu sami. Vývojáři řešení IaaS můžou lépe integrovat se správou Azure a očekáváním zákazníků s využitím určitých komponent Azure. Vývojáři by konkrétně měli využít službu Azure Key Vault k zajištění zabezpečeného úložiště klíčů a poskytovat svým zákazníkům konzistentní možnosti správy klíčů s využitím většiny služeb platformy Azure. Kromě toho by vlastní řešení měla používat identity služby Azure-Managed k povolení přístupu k šifrovacím klíčům účtům služeb. Informace o vývojářích v Azure Key Vault a identitách spravovaných služeb najdete v příslušných sadách SDK.

Podpora modelu šifrování poskytovatelů prostředků Azure

Služby Microsoft Azure podporují jeden nebo více modelů neaktivních uložených šifrování. U některých služeb ale nemusí být jeden nebo více šifrovacích modelů použitelné. U služeb, které podporují scénáře klíče spravované zákazníkem, můžou podporovat pouze podmnožinu typů klíčů, které Azure Key Vault podporuje pro šifrovací klíče klíčů. Kromě toho mohou služby vydávat podporu pro tyto scénáře a typy klíčů v různých plánech. Tato část popisuje podporu šifrování neaktivních uložených uložených dat v době tohoto zápisu pro každou z hlavních služeb úložiště dat Azure.

Šifrování disků Azure

Každý zákazník, který používá funkce Azure Infrastructure as a Service (IaaS), může prostřednictvím služby Azure Disk Encryption dosáhnout šifrování neaktivních uložených virtuálních počítačů a disků IaaS. Další informace o šifrování disků Azure najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem nebo Azure Disk Encryption pro virtuální počítače s Windows.

Azure Storage

Všechny služby Azure Storage (Blob Storage, Queue Storage, Table Storage a Azure Files) podporují neaktivní neaktivní šifrování na straně serveru. Některé služby navíc podporují klíče spravované zákazníky a šifrování na straně klienta.

• Na straně serveru: Všechny služby Azure Storage ve výchozím nastavení umožňují šifrování na straně serveru pomocí klíčů spravovaných službou, což je pro aplikaci transparentní. Další informace najdete v tématu Šifrování služby Azure Storage pro neaktivní uložená data. Azure Blob Storage a Azure Files také podporují 2048bitové klíče spravované zákazníkem v Azure Key Vault. Další informace najdete v tématu Šifrování služby Storage pomocí klíčů spravovaných zákazníkem v Azure Key Vault.
• Na straně klienta: Objekty blob, tabulky a fronty Azure podporují šifrování na straně klienta. Při použití šifrování na straně klienta zákazníci data zašifrují a nahrají data jako šifrovaný objekt blob. Správa klíčů provádí zákazník. Další informace najdete v tématu Šifrování na straně klienta a Azure Key Vault pro Microsoft Azure Storage.

Azure SQL Database

Azure SQL Database v současné době podporuje šifrování neaktivních uložených uložených dat pro scénáře šifrování na straně microsoftu a šifrování na straně klienta.

Podpora šifrování serveru je aktuálně poskytována prostřednictvím funkce SQL s názvem Transparentní šifrování dat. Jakmile zákazník databáze Azure SQL povolí klíč transparentního šifrování dat, automaticky se pro ně vytvoří a spravuje. Šifrování neaktivních uložených dat je možné povolit na úrovni databáze a serveru. Od června 2017 je transparentní šifrování dat (TDE) ve výchozím nastavení povolené u nově vytvořených databází. Azure SQL Database podporuje 2048bitové klíče spravované zákazníkem v Azure Key Vault. Další informace najdete v tématu Transparentní šifrování dat s podporou funkce Přineste si vlastní klíč pro Azure SQL Database a Data Warehouse.

Šifrování dat Azure SQL databáze na straně klienta je podporováno prostřednictvím funkce Always Encrypted. Always Encrypted používá klíč vytvořený a uložený klientem. Zákazníci můžou hlavní klíč uložit do úložiště certifikátů Windows, Azure Key Vault nebo místního modulu hardwarového zabezpečení. Pomocí SQL Server Management Studio si uživatelé SQL vyberou, jaký klíč chtějí použít k šifrování sloupce.

Závěr

Ochrana zákaznických dat uložených ve službách Azure má pro Microsoft zásadní význam. Všechny hostované služby Azure se zavazuje poskytovat možnosti šifrování v klidovém stavu. Služby Azure podporují klíče spravované službou, klíče spravované zákazníkem nebo šifrování na straně klienta. Služby Azure výrazně vylepšují dostupnost šifrování v klidovém stavu a v nadcházejících měsících se plánují nové možnosti pro verzi Preview a obecnou dostupnost.

Další kroky

• Další informace o klíčích spravovaných službou a klíčích spravovaných zákazníkem najdete v modelech šifrování dat .
• Zjistěte, jak Azure používá dvojité šifrování ke zmírnění hrozeb, které jsou dodávány se šifrováním dat.
• Zjistěte, co Microsoft dělá, aby zajistil integritu platformy a zabezpečení hostitelů procházejících kanály sestavení hardwaru a firmwaru, integrace, zprovoznění a opravy.