Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Šifrování ve službě Azure Data Lake Storage Gen1 pomáhá chránit vaše data, implementovat podnikové zásady zabezpečení a splňovat zákonné požadavky na dodržování předpisů. Tento článek obsahuje přehled návrhu a popisuje některé technické aspekty implementace.
Data Lake Storage Gen1 podporuje šifrování dat uložených v klidu i při přenosu. Pro data ve stavu klidu Data Lake Storage Gen1 podporuje transparentní šifrování, které je automaticky aktivováno. Tady jsou tyto pojmy trochu podrobněji:
- Zapnuto ve výchozím nastavení: Když vytvoříte nový účet Data Lake Storage Gen1, výchozí nastavení povolí šifrování. Potom se data uložená v Data Lake Storage Gen1 vždy šifrují před uložením na trvalé médium. Toto je chování pro všechna data a po vytvoření účtu je nelze změnit.
- transparentní: Data Lake Storage Gen1 automaticky šifruje data před uložením a dešifruje data před načtením. Šifrování se konfiguruje a spravuje na úrovni účtu Data Lake Storage Gen1 správcem. V rozhraních API pro přístup k datům se neprovedou žádné změny. V aplikacích a službách, které kvůli šifrování interagují s Data Lake Storage Gen1, se proto nevyžadují žádné změny.
Přenášená data (označovaná také jako data v pohybu) se také vždy šifrují ve službě Data Lake Storage Gen1. Kromě šifrování dat před uložením na trvalé médium jsou data také vždy zabezpečená při přenosu pomocí protokolu HTTPS. HTTPS je jediný protokol, který je podporovaný pro rozhraní REST Data Lake Storage Gen1. Následující diagram ukazuje, jak se data v Data Lake Storage Gen1 šifrují:
Data Lake Storage Gen1
Nastavení šifrování s využitím Data Lake Storage Gen1
Šifrování pro Data Lake Storage Gen1 se nastavuje při vytváření účtu a ve výchozím nastavení je vždy povolené. Klíče můžete spravovat sami, nebo povolit, aby je data Lake Storage Gen1 spravovala za vás (toto je výchozí nastavení).
Další informace naleznete v tématu Začínáme.
Jak funguje šifrování ve službě Data Lake Storage Gen1
Následující informace popisují, jak spravovat hlavní šifrovací klíče a vysvětluje tři různé typy klíčů, které můžete použít při šifrování dat pro Data Lake Storage Gen1.
Hlavní šifrovací klíče
Data Lake Storage Gen1 poskytuje dva režimy pro správu hlavních šifrovacích klíčů (MEK). Prozatím předpokládejme, že hlavním šifrovacím klíčem je klíč nejvyšší úrovně. Přístup k hlavnímu šifrovacímu klíči se vyžaduje k dešifrování všech dat uložených v Data Lake Storage Gen1.
Dva režimy správy hlavního šifrovacího klíče jsou následující:
- Klíče spravované službou
- Klíče spravované zákazníkem
V obou režimech je hlavní šifrovací klíč zabezpečený jeho uložením ve službě Azure Key Vault. Key Vault je plně spravovaná vysoce zabezpečená služba v Azure, kterou je možné použít k ochraně kryptografických klíčů. Další informace najdete v tématu Key Vault.
Tady je stručné porovnání možností poskytovaných těmi dvěma režimy správy MEK.
| Otázka | Klíče spravované službou | Klíče spravované zákazníkem |
|---|---|---|
| Jak se data ukládají? | Před uložením je vždy zašifrováno. | Před uložením je vždy zašifrováno. |
| Kde je uložený hlavní šifrovací klíč? | Úložiště klíčů (Key Vault) | Úložiště klíčů (Key Vault) |
| Jsou nějaké šifrovací klíče uložené v nezašifrované podobě mimo službu Key Vault? | Ne | Ne |
| Může ten Key Vault načíst MEK? | Ne. Jakmile je klíč MEK uložený ve službě Key Vault, můžete ho použít pouze k šifrování a dešifrování. | Ne. Jakmile je klíč MEK uložený ve službě Key Vault, můžete ho použít pouze k šifrování a dešifrování. |
| Kdo vlastní instanci služby Key Vault a šifrovací klíč MEK? | Služba Data Lake Storage Gen1 | Vlastníte instanci služby Key Vault, která patří do vlastního předplatného Azure. Klíč MEK ve službě Key Vault je možné spravovat softwarem nebo hardwarem. |
| Můžete odvolat přístup k MEK pro službu Data Lake Storage Gen1? | Ne | Ano. Seznamy řízení přístupu můžete spravovat ve službě Key Vault a odebírat položky řízení přístupu k identitě služby pro službu Data Lake Storage Gen1. |
| Můžete trvale odstranit MEK? | Ne | Ano. Pokud odstraníte klíč MEK ze služby Key Vault, nemůžou data v účtu Data Lake Storage Gen1 dešifrovat nikdo, včetně služby Data Lake Storage Gen1. Pokud jste MEK před odstraněním ze služby Key Vault explicitně zálohovali, může být klíč MEK obnoven, a následně lze obnovit data. Pokud jste ale ještě před odstraněním ze služby Key Vault nezazálohovali MEK, data v účtu Data Lake Storage Gen1 se po něm nikdy nedají dešifrovat. |
Kromě toho, kdo spravuje MEK a instanci služby Key Vault, ve které se nachází, je zbytek návrhu stejný pro oba režimy.
Při výběru režimu hlavních šifrovacích klíčů je důležité si zapamatovat následující skutečnosti:
- Při zřizování účtu Data Lake Storage Gen1 můžete zvolit, jestli se mají používat klíče spravované zákazníkem nebo klíče spravované službou.
- Po zřízení účtu Data Lake Storage Gen1 se režim nedá změnit.
Šifrování a dešifrování dat
Existují tři typy klíčů, které se používají při návrhu šifrování dat. Následující tabulka obsahuje souhrn:
| Klíč | Zkratka | Související s | Umístění úložiště | Typ | Poznámky |
|---|---|---|---|---|---|
| Hlavní šifrovací klíč | MEK | Jeden účet Data Lake Storage Gen1 | Úložiště klíčů (Key Vault) | Asymetrický | Může ho spravovat Data Lake Storage Gen1 nebo vy. |
| Šifrovací klíč dat | DEK | Jeden účet Data Lake Storage Gen1 | Trvalé úložiště spravované službou Data Lake Storage Gen1 | Symetrický | Klíč DEK je šifrovaný klíčem MEK. Šifrovaný klíč DEK je uložený na trvalém médiu. |
| Blokovat šifrovací klíč | BEK | Blok dat | Žádný | Symetrický | BEK je odvozen z DEK a datového bloku. |
Následující diagram znázorňuje tyto koncepty:
klíče 
Pseudoalgoritmus pro dešifrování souboru:
- Zkontrolujte, jestli je klíč DEK pro účet Data Lake Storage Gen1 uložený v mezipaměti a připravený k použití.
- Pokud ne, přečtěte si šifrovaný klíč DEK z trvalého úložiště a odešlete ho do služby Key Vault, aby se dešifroval. Uložení dešifrovaného klíče DEK do mezipaměti Teď je připravený k použití.
- Pro každý blok dat v souboru:
- Čtení šifrovaného bloku dat z trvalého úložiště
- Vygenerujte BEK z DEK a šifrovaného bloku dat.
- K dešifrování dat použijte BEK.
Pseudokód algoritmu pro šifrování bloku dat:
- Zkontrolujte, jestli je klíč DEK pro účet Data Lake Storage Gen1 uložený v mezipaměti a připravený k použití.
- Pokud ne, přečtěte si šifrovaný klíč DEK z trvalého úložiště a odešlete ho do služby Key Vault, aby se dešifroval. Uložení dešifrovaného klíče DEK do mezipaměti Teď je připravený k použití.
- Vygenerujte jedinečný klíč BEK pro blok dat z DEK.
- Zašifrujte datový blok pomocí BEK a použijte AES-256.
- Ukládejte šifrovaný datový blok dat do trvalého úložiště.
Poznámka:
Klíč DEK je vždy uložen zašifrovaný pomocí MEK, ať už na trvalém médiu nebo v mezipaměti.
Obměna klíčů
Pokud používáte klíče spravované zákazníkem, můžete klíč MEK otočit. Informace o nastavení účtu Data Lake Storage Gen1 s klíči spravovanými zákazníkem najdete v tématu Začínáme.
Požadavky
Při nastavování účtu Data Lake Storage Gen1 jste se rozhodli použít vlastní klíče. Tuto možnost nelze po vytvoření účtu změnit. Následující kroky předpokládají, že používáte klíče spravované zákazníkem (to znamená, že jste zvolili vlastní klíče ze služby Key Vault).
Mějte na paměti, že pokud používáte výchozí možnosti šifrování, data se vždy šifrují pomocí klíčů spravovaných službou Data Lake Storage Gen1. V této možnosti nemůžete obměňovat klíče, protože je spravuje Data Lake Storage Gen1.
Jak otočit MEK v Data Lake Storage Gen1
Přihlaste se do Azure Portalu.
Přejděte k instanci služby Key Vault, která ukládá vaše klíče přidružené k vašemu účtu Data Lake Storage Gen1. Vyberte klíče.
snímek obrazovky
Vyberte klíč přidružený k vašemu účtu Data Lake Storage Gen1 a vytvořte novou verzi tohoto klíče. Data Lake Storage Gen1 v současné době podporuje obměnu klíčů pouze na novou verzi klíče. Nepodporuje otáčení na jiný klíč.
Přejděte na účet Data Lake Storage Gen1 a vyberte Šifrování.
Zpráva vás upozorní, že je k dispozici nová verze klíče. Kliknutím na Otočit klíč aktualizujte klíč na novou verzi.
Tato operace by měla trvat méně než dvě minuty a kvůli obměně klíčů se neočekává žádný výpadek. Po dokončení operace se použije nová verze klíče.
Důležité
Po dokončení operace obměně klíčů se stará verze klíče už aktivně nepoužívá k šifrování nových dat. Při přístupu ke starším datům ale může být potřeba starý klíč. Pokud chcete umožnit čtení těchto starších dat, neodstraňovat starý klíč