Přehled šifrování Azure

Tento článek obsahuje přehled o tom, jak se šifrování používá v Microsoft Azure. Zahrnuje hlavní oblasti šifrování, včetně šifrování neaktivních uložených dat, šifrování v letu a správy klíčů pomocí služby Azure Key Vault. Každý oddíl obsahuje odkazy na podrobnější informace.

Šifrování neaktivních uložených dat

Neaktivní uložená data obsahují informace, které se nacházejí v trvalém úložišti na fyzickém médiu v libovolném digitálním formátu. Médium může obsahovat soubory na magnetickém nebo optickém médiu, archivovaná data a zálohy dat. Microsoft Azure nabízí celou řadu řešení úložiště dat, která vyhovují různým potřebám, včetně souborů, disků, objektů blob a úložiště tabulek. Microsoft také poskytuje šifrování pro ochranu služby Azure SQL Database, Azure Cosmos DB a Azure Data Lake.

Šifrování neaktivních uložených dat je k dispozici pro služby v rámci softwaru jako služby (SaaS), platformy jako služby (PaaS) a cloudových modelů IaaS (infrastruktura jako služba). Tento článek shrnuje a poskytuje zdroje informací, které vám pomůžou používat možnosti šifrování Azure.

Podrobnější informace o šifrování neaktivních uložených dat v Azure najdete v tématu Šifrování neaktivních uložených dat Azure.

Modely šifrování Azure

podpora Azure různé modely šifrování, včetně šifrování na straně serveru, které používá klíče spravované službou, klíče spravované zákazníkem ve službě Key Vault nebo klíče spravované zákazníkem na hardwaru řízeném zákazníkem. Pomocí šifrování na straně klienta můžete spravovat a ukládat klíče místně nebo v jiném zabezpečeném umístění.

Šifrování na straně klienta

Šifrování na straně klienta se provádí mimo Azure. Patří mezi ně:

• Data zašifrovaná aplikací spuštěnou v datacentru zákazníka nebo aplikací služby.
• Data, která jsou už zašifrovaná, když je azure přijímá.

S šifrováním na straně klienta nemají poskytovatelé cloudových služeb přístup k šifrovacím klíčům a nemůžou tato data dešifrovat. Udržujete úplnou kontrolu nad klíči.

Šifrování na straně serveru

Tři modely šifrování na straně serveru nabízejí různé charakteristiky správy klíčů, které si můžete vybrat podle svých požadavků:

• Klíče spravované službou: Poskytuje kombinaci řízení a pohodlí s nízkou režií.

• Klíče spravované zákazníkem: Poskytuje kontrolu nad klíči, včetně podpory ByOK (Bring Your Own Keys), nebo umožňuje vygenerovat nové klíče.

• Klíče spravované službou v hardwaru řízeném zákazníkem: Umožňuje spravovat klíče ve vašem vlastním úložišti mimo kontrolu Microsoftu. Tato charakteristika se nazývá Host Your Own Key (HYOK). Konfigurace je ale složitá a většina služeb Azure tento model nepodporuje.

Šifrování disků Azure

Spravované disky můžete chránit pomocí služby Azure Disk Encryption pro virtuální počítače s Linuxem, které používají DM-Crypt nebo Azure Disk Encryption pro virtuální počítače s Windows, které používají Windows BitLocker, k ochraně disků operačního systému i datových disků pomocí úplného šifrování svazku.

Šifrovací klíče a tajné kódy jsou v předplatném služby Azure Key Vault chráněné. Pomocí služby Azure Backup můžete zálohovat a obnovovat šifrované virtuální počítače, které používají konfiguraci šifrovacího klíče klíče (KEK).

Šifrování služby Azure Storage

Neaktivní uložená data ve službě Azure Blob Storage a sdílených složkách Azure se dají zašifrovat ve scénářích na straně serveru i na straně klienta.

Šifrování služby Azure Storage (SSE) může automaticky šifrovat data před jejich uložením a automaticky dešifruje data při jejich načtení. Proces je pro uživatele zcela transparentní. Šifrování služby Storage používá 256bitové šifrování AES (Advanced Encryption Standard), což je jedna z nejsilnějších dostupných šifr bloků. AES zpracovává šifrování, dešifrování a správu klíčů transparentně.

Šifrování objektů blob Azure na straně klienta

Šifrování objektů blob Azure na straně klienta můžete provádět různými způsoby.

Pomocí klientské knihovny Azure Storage pro balíček NuGet pro .NET můžete šifrovat data v klientských aplikacích před jejich nahráním do úložiště Azure.

Další informace o balíčku NuGet služby Azure Storage a jeho stažení najdete v tématu Windows Azure Storage 8.3.0.

Při použití šifrování na straně klienta se službou Key Vault se vaše data šifrují pomocí jednorázového symetrického šifrovacího klíče obsahu (CEK), který generuje klientská sada SDK služby Azure Storage. Klíč CEK je šifrovaný pomocí šifrovacího klíče klíče (KEK), což může být symetrický klíč nebo asymetrický pár klíčů. Můžete ho spravovat místně nebo ho uložit ve službě Key Vault. Zašifrovaná data se pak nahrají do Azure Storage.

Další informace o šifrování na straně klienta se službou Key Vault a začínáme s návody najdete v tématu Kurz: Šifrování a dešifrování objektů blob ve službě Azure Storage pomocí služby Key Vault.

Nakonec můžete použít klientskou knihovnu Azure Storage pro Javu k provedení šifrování na straně klienta před nahráním dat do služby Azure Storage a dešifrování dat při jejich stažení do klienta. Tato knihovna také podporuje integraci se službou Key Vault pro správu klíčů účtu úložiště.

Šifrování neaktivních uložených dat pomocí služby Azure SQL Database

Azure SQL Database je služba relačních databází pro obecné účely v Azure, která podporuje struktury, jako jsou relační data, JSON, prostorové a XML. SQL Database podporuje šifrování na straně serveru prostřednictvím funkce transparentní šifrování dat (TDE) i šifrování na straně klienta prostřednictvím funkce Always Encrypted.

Transparentní šifrování dat

Transparentní šifrování dat se používá k šifrování datových souborů SQL Serveru, Azure SQL Database a Azure Synapse Analytics v reálném čase pomocí šifrovacího klíče databáze (DEK), který je uložený ve spouštěcím záznamu databáze pro zajištění dostupnosti během obnovení.

Transparentní šifrování dat chrání data a soubory protokolů pomocí šifrovacích algoritmů AES a Triple Data Encryption Standard (3DES). Šifrování souboru databáze se provádí na úrovni stránky. Stránky v šifrované databázi se před zápisem na disk zašifrují a dešifrují se při čtení do paměti. Transparentní šifrování dat je teď ve výchozím nastavení povolené u nově vytvořených databází Azure SQL.

Funkce Always Encrypted

Pomocí funkce Always Encrypted v Azure SQL můžete data v klientských aplikacích šifrovat před jejich uložením ve službě Azure SQL Database. Můžete také povolit delegování místní správy databází třetím stranám a zachovat oddělení mezi těmi, kdo vlastní, a zobrazit data a ty, kteří je spravují, ale neměli by k němu mít přístup.

Šifrování na úrovni buněk nebo sloupce

Azure SQL Database umožňuje použít symetrické šifrování u sloupce dat pomocí jazyka Transact-SQL. Tento přístup se nazývá šifrování na úrovni buněk nebo šifrování na úrovni sloupců (CLE), protože ho můžete použít k šifrování konkrétních sloupců nebo dokonce konkrétních buněk dat s různými šifrovacími klíči. Tím získáte podrobnější možnosti šifrování než transparentní šifrování dat, které šifruje data na stránkách.

CLE má integrované funkce, které můžete použít k šifrování dat pomocí symetrických nebo asymetrických klíčů, veřejného klíče certifikátu nebo přístupového hesla pomocí 3DES.

Šifrování databáze Azure Cosmos DB

Azure Cosmos DB je globálně distribuovaná databáze Microsoftu s více modely. Uživatelská data uložená ve službě Azure Cosmos DB v nestálém úložišti (jednotky SSD) se ve výchozím nastavení šifrují. Nejsou k dispozici žádné ovládací prvky, které by bylo možné zapnout nebo vypnout. Šifrování neaktivních uložených dat se implementuje pomocí řady technologií zabezpečení, včetně zabezpečených systémů úložiště klíčů, šifrovaných sítí a kryptografických rozhraní API. Šifrovací klíče spravuje Microsoft a obměňují se podle interních pokynů Microsoftu. Volitelně můžete přidat druhou vrstvu šifrování s klíči, které spravujete pomocí klíčů spravovaných zákazníkem nebo funkce CMK .

Šifrování neaktivních uložených dat v Data Lake

Azure Data Lake je podnikové úložiště všech typů dat shromážděných na jednom místě před formální definicí požadavků nebo schématu. Služba Data Lake Store ve výchozím nastavení podporuje transparentní šifrování neaktivních uložených dat, které se nastavuje při vytváření vašeho účtu. Azure Data Lake Store ve výchozím nastavení spravuje klíče za vás, ale máte možnost je spravovat sami.

Při šifrování a dešifrování dat se používají tři typy klíčů: hlavní šifrovací klíč (MEK), šifrovací klíč dat (DEK) a blokový šifrovací klíč (BEK). Klíč MEK slouží k šifrování klíče DEK, který je uložený na trvalém médiu, a BEK se odvozuje z DEK a datového bloku. Pokud spravujete vlastní klíče, můžete klíč MEK otočit.

Šifrování dat při přenosu

Azure nabízí mnoho mechanismů pro zachování soukromí dat při přesunu z jednoho umístění do jiného.

Šifrování vrstvy propojení dat v Azure

Pokaždé, když se provoz zákazníka Azure pohybuje mezi datovými centry – mimo fyzické hranice, které neřídí Microsoft (nebo jménem Microsoftu) – metoda šifrování vrstvy datového propojení pomocí standardů zabezpečení MAC IEEE 802.1AE (označovaných také jako MACsec) se použije z bodu do bodu napříč základním síťovým hardwarem. Pakety se před odesláním zašifrují na zařízeních, což brání fyzickým útokům typu "man-in-the-middle" nebo snooping/wiretapping. Vzhledem k tomu, že tato technologie je integrovaná do samotného síťového hardwaru, poskytuje šifrování přenosové rychlosti síťového hardwaru bez měřitelného zvýšení latence propojení. Toto šifrování MACsec je ve výchozím nastavení zapnuté pro veškerý provoz Azure, který cestuje v rámci oblasti nebo mezi oblastmi, a není potřeba provádět žádnou akci na straně zákazníků, aby bylo možné povolit.

Šifrování TLS v Azure

Microsoft poskytuje zákazníkům možnost používat protokol TLS (Transport Layer Security ) k ochraně dat při přenosu mezi cloudovými službami a zákazníky. Datacentra Microsoftu vyjednávají připojení TLS s klientskými systémy, které se připojují ke službám Azure. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.

Perfect Forward Secrecy (PFS) chrání propojení mezi klientskými systémy zákazníků a cloudovými službami Microsoftu jedinečnými klíči. Připojení iony také používají 2 048bitové délky šifrovacího klíče založeného na RSA. Tato kombinace znesnadňuje, aby někdo zachytil a získal přístup k datům, která jsou přenášena.

Transakce Azure Storage

Když komunikujete se službou Azure Storage prostřednictvím webu Azure Portal, probíhají všechny transakce přes PROTOKOL HTTPS. K interakci se službou Azure Storage můžete také použít rozhraní REST API služby Storage přes HTTPS. Použití PROTOKOLU HTTPS můžete vynutit při volání rozhraní REST API pro přístup k objektům v účtech úložiště povolením zabezpečeného přenosu požadovaného pro účet úložiště.

Sdílené přístupové podpisy (SAS), které je možné použít k delegování přístupu k objektům Azure Storage, zahrnují možnost určit, že se při použití sdílených přístupových podpisů dá použít jenom protokol HTTPS. Tento přístup zajišťuje, aby každý, kdo odesílá odkazy s tokeny SAS, používal správný protokol.

PROTOKOL SMB 3.0, který se používá pro přístup ke sdíleným složkám Azure Files, podporuje šifrování a je k dispozici ve Windows Serveru 2012 R2, Windows 8, Windows 8.1 a Windows 10. Umožňuje přístup mezi oblastmi a dokonce i přístup na ploše.

Šifrování na straně klienta šifruje data před odesláním do instance služby Azure Storage, aby byla šifrovaná při cestě po síti.

Šifrování SMB přes virtuální sítě Azure

Pomocí protokolu SMB 3.0 ve virtuálních počítačích se systémem Windows Server 2012 nebo novějším můžete zajistit přenosy dat šifrováním přenášených dat přes virtuální sítě Azure. Šifrováním dat pomáháte chránit před útoky na manipulaci a odposlouchávání. Správa istrátory můžou povolit šifrování SMB pro celý server nebo jenom konkrétní sdílené složky.

Po zapnutí šifrování protokolu SMB pro sdílenou složku nebo server mají přístup k šifrovaným sdíleným složkám ve výchozím nastavení jenom klienti SMB 3.0.

Šifrování přenášených dat ve virtuálních počítačích

Data přenášená do, z a mezi virtuálními počítači, na kterých běží Windows, se dají šifrovat mnoha způsoby v závislosti na povaze připojení.

Relace protokolu RDP

K virtuálnímu počítači se můžete připojit a přihlásit se pomocí protokolu RDP (Remote Desktop Protocol) z klientského počítače s Windows nebo z Počítače Mac s nainstalovaným klientem RDP. Data přenášená přes síť v relacích RDP můžou být chráněná protokolem TLS.

K připojení k virtuálnímu počítači s Linuxem v Azure můžete použít také Vzdálenou plochu.

Zabezpečený přístup k virtuálním počítačům s Linuxem pomocí SSH

Pro vzdálenou správu můžete použít Secure Shell (SSH) pro připojení k virtuálním počítačům s Linuxem spuštěným v Azure. SSH je šifrovaný protokol připojení, který umožňuje zabezpečené přihlašování přes nezabezpečená připojení. Jedná se o výchozí protokol připojení pro virtuální počítače s Linuxem hostované v Azure. Pomocí klíčů SSH pro ověřování eliminujete nutnost přihlášení pomocí hesel. SSH k ověřování používá pár veřejného a privátního klíče (asymetrické šifrování).

Šifrování Azure VPN

K Azure se můžete připojit prostřednictvím virtuální privátní sítě, která vytvoří zabezpečený tunel pro ochranu soukromí dat odesílaných přes síť.

Brány VPN Azure

Bránu Azure VPN můžete použít k odesílání šifrovaného provozu mezi vaší virtuální sítí a místním umístěním přes veřejné připojení nebo k odesílání provozu mezi virtuálními sítěmi.

Sítě VPN typu Site-to-Site používají protokol IPsec k šifrování přenosu. Brány Azure VPN Gateway používají sadu výchozích návrhů. Brány Azure VPN můžete nakonfigurovat tak, aby místo výchozích sad zásad Azure používaly vlastní zásady IPsec/IKE s konkrétními kryptografickými algoritmy a sílami klíčů.

Sítě VPN typu Point-to-Site

Sítě VPN typu Point-to-Site umožňují jednotlivým klientským počítačům přístup k virtuální síti Azure. K vytvoření tunelu VPN se používá protokol SSTP (Secure Socket Tunneling Protocol). Může procházet brány firewall (tunel se zobrazí jako připojení HTTPS). Pro připojení typu point-to-site můžete použít vlastní kořenovou certifikační autoritu infrastruktury veřejných klíčů (PKI).

Připojení VPN typu point-to-site k virtuální síti můžete nakonfigurovat pomocí webu Azure Portal s ověřováním certifikátů nebo PowerShellem.

Další informace o připojení vpn typu point-to-site k virtuálním sítím Azure najdete tady:

Konfigurace připojení typu point-to-site k virtuální síti pomocí ověřování certifikace: Azure Portal

Konfigurace připojení typu point-to-site k virtuální síti pomocí ověřování certifikátů: PowerShell

Sítě VPN typu Site-to-Site

Připojení brány VPN typu site-to-site můžete použít k připojení místní sítě k virtuální síti Azure přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou externí veřejnou IP adresu.

Připojení VPN typu site-to-site k virtuální síti můžete nakonfigurovat pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Další informace naleznete v tématu:

Vytvoření připojení typu site-to-site na webu Azure Portal

Vytvoření připojení typu site-to-site v PowerShellu

Vytvoření virtuální sítě s připojením VPN typu site-to-site pomocí rozhraní příkazového řádku

Šifrování přenášených dat ve službě Data Lake

Přenášená data se ve službě Data Lake Store také vždy šifrují. Kromě šifrování dat před uložením do trvalého média jsou data také vždy zabezpečená při přenosu pomocí protokolu HTTPS. HTTPS je jediný protokol, který se podporuje v rozhraních REST služby Data Lake Store.

Další informace o šifrování přenášených dat v Data Lake najdete v tématu Šifrování dat ve službě Data Lake Store.

Správa klíčů pomocí služby Key Vault

Bez správné ochrany a správy klíčů se šifrování vykresluje bez zbytečného použití. Key Vault je řešení doporučené Microsoftem pro správu a řízení přístupu k šifrovacím klíčům používaným cloudovými službami. Oprávnění pro přístup ke klíčům je možné přiřadit službám nebo uživatelům prostřednictvím účtů Microsoft Entra.

Díky Key Vaultu organizace nemusí konfigurovat, opravovat a udržovat moduly hardwarového zabezpečení (HSM) a software pro správu klíčů. Když používáte Key Vault, udržujete kontrolu. Microsoft vaše klíče nikdy neuvidí a aplikace k nim nemají přímý přístup. V modulech HSM můžete také importovat nebo generovat klíče.

Další kroky

• Přehled zabezpečení Azure
• Přehled zabezpečení sítě Azure
• Přehled zabezpečení databází Azure
• Přehled zabezpečení virtuálních počítačů Azure
• Šifrování dat v klidovém stavu
• Osvědčené postupy šifrování a zabezpečení dat