Konfigurace šifrování disků, Azure Disk Encryption (ADE), šifrování jako hostitele a šifrování důvěrných disků

  • 7 min

Šifrování neaktivních uložených dat je běžným požadavkem na zabezpečení. V Azure mohou organizace šifrovat uložená data v nečinnosti bez rizika či nákladů spojených s vlastní správou klíčů. Organizace mají možnost umožnit Azure plně spravovat šifrování dat v klidu. Organizace mají navíc různé možnosti pro úzkou správu šifrování nebo šifrovacích klíčů.

Co je šifrování neaktivních uložených dat?

Šifrování je zabezpečené kódování dat používaných k ochraně důvěrnosti dat. Návrhy šifrování neaktivních dat v Azure používají symetrické šifrování k rychlému šifrování a dešifrování velkých objemů dat na základě jednoduchého konceptuálního modelu.

  • Symetrický šifrovací klíč slouží k šifrování dat při zápisu do úložiště.
  • Stejný šifrovací klíč se používá k dešifrování dat, když jsou připravena pro použití v paměti.
  • Data můžou být rozdělená na oddíly a pro každý oddíl se můžou používat různé klíče.
  • Klíče musí být uložené v zabezpečeném umístění pomocí řízení přístupu na základě identit a zásad auditu. Šifrovací klíče dat, které jsou uloženy mimo zabezpečená umístění, se šifrují pomocí klíče pro šifrování klíčů uloženého v zabezpečeném umístění.

V praxi vyžadují scénáře správy klíčů a řízení i záruky škálování a dostupnosti další konstrukce. Koncepty a komponenty služby Microsoft Azure Encryption v klidovém stavu jsou popsány v další části.

Účel šifrování dat v klidu

Šifrování dat na disku poskytuje ochranu pro uložená data. Mezi útoky na neaktivní uložená data patří pokusy o získání fyzického přístupu k hardwaru, na kterém jsou uložená data, a pak ohrozit obsažená data. V takovém útoku může být pevný disk serveru při údržbě nesprávně ošetřen, což útočníkovi umožňuje odebrat pevný disk. Později by útočník vložil pevný disk do počítače pod jeho kontrolou, aby se pokusil o přístup k datům.

Šifrování neaktivních uložených dat je navržené tak, aby zabránilo útočníkovi v přístupu k nešifrovaným datům tím, že zajistí šifrování dat na disku. Pokud útočník získá pevný disk se zašifrovanými daty, ale ne šifrovacími klíči, musí porazit šifrování pro čtení dat. Tento útok je mnohem složitější a spotřeba prostředků než přístup k nešifrovaným datům na pevném disku. Z tohoto důvodu se důrazně doporučuje šifrování neaktivních uložených dat a je to požadavek na vysokou prioritu pro mnoho organizací.

Šifrování uložených dat může být vyžadováno potřebou organizace k zajištění správy dat a souladu s předpisy. Oborové a vládní předpisy, jako jsou HIPAA, PCI a FedRAMP, stanoví zvláštní bezpečnostní opatření týkající se ochrany dat a požadavků na šifrování. Šifrování neaktivních uložených dat je povinné opatření vyžadované pro dodržování některých těchto předpisů. Další informace o přístupu Společnosti Microsoft k ověřování FIPS 140-2 naleznete v článku Publikace FIPS (Federal Information Processing Standard) 140-2.

Kromě splnění požadavků na dodržování předpisů a zákonných požadavků poskytuje šifrování dat v klidu ochranu v hloubce. Microsoft Azure poskytuje kompatibilní platformu pro služby, aplikace a data. Poskytuje také komplexní zařízení a fyzické zabezpečení, řízení přístupu k datům a auditování. Je však důležité poskytnout další "překrývající se" bezpečnostní opatření v případě, že některé z ostatních bezpečnostních opatření selžou, přičemž šifrování dat v klidu představuje takové bezpečnostní opatření.

Společnost Microsoft se zavazuje šifrování neaktivních uložených dat napříč cloudovými službami a poskytuje zákazníkům kontrolu nad šifrovacími klíči a protokoly použití klíče. Kromě toho Microsoft ve výchozím nastavení pracuje na šifrování všech neaktivních uložených dat zákazníků.

Komponenty služby Azure Encryption at Rest

Jak jsme popsali dříve, cílem šifrování neaktivních uložených dat je, že data, která jsou uložená na disku, jsou šifrovaná pomocí tajného šifrovacího klíče. Aby bylo možné dosáhnout tohoto cíle, musí být k dispozici zabezpečené vytvoření klíče, úložiště, řízení přístupu a správa šifrovacích klíčů. I když se podrobnosti můžou lišit, implementace služby Azure Services Encryption v klidovém stavu je možné popsat z hlediska znázornění v následujícím diagramu.

Diagram znázorňující příklad komponent šifrování Azure pro ukládání v klidovém stavu.

Azure Key Vault

Umístění šifrovacích klíčů a řízení přístupu k těmto klíčům je klíčové pro model šifrování dat v klidu. Klíče musí být vysoce zabezpečené, ale spravovatelné zadanými uživateli a dostupné pro konkrétní služby. Pro služby Azure je doporučeným řešením úložiště klíčů Azure Key Vault a poskytuje společné prostředí pro správu napříč službami. Klíče se ukládají a spravují v trezorech klíčů a přístup k trezoru klíčů je možné uživatelům nebo službám přidělit. Azure Key Vault podporuje vytváření klíčů zákazníka nebo import klíčů zákazníků pro použití ve scénářích šifrovacích klíčů spravovaných zákazníkem.

Microsoft Entra ID

Oprávnění k používání klíčů uložených ve službě Azure Key Vault, ať už pro jejich správu nebo přístup k šifrování a dešifrování dat v klidu, lze udělit účtům Microsoft Entra.

Šifrování obálek s hierarchií klíčů

V implementaci šifrování uložených dat se používá více šifrovacích klíčů. Uložení šifrovacího klíče ve službě Azure Key Vault zajišťuje zabezpečený přístup ke klíčům a centrální správu klíčů. Místní přístup k šifrovacím klíčům služby je ale efektivnější pro hromadné šifrování a dešifrování než interakce se službou Key Vault pro každou operaci dat, což umožňuje silnější šifrování a lepší výkon. Omezení použití jednoho šifrovacího klíče snižuje riziko ohrožení klíče a náklady na opětovné šifrování, když je nutné klíč nahradit. Modely šifrování dat v klidu v Azure používají šifrování obálkou, kde klíč pro šifrování klíčů šifruje šifrovací klíč dat. Tento model tvoří klíčovou hierarchii, která je lépe schopná řešit požadavky na výkon a zabezpečení:

  • Šifrovací klíč dat (DEK) – symetrický klíč AES256 používaný k šifrování oddílu nebo bloku dat, někdy označovaný také jako jednoduchý datový klíč. Jeden prostředek může mít mnoho oddílů a mnoho klíčů pro šifrování dat. Šifrování každého bloku dat pomocí jiného klíče ztěžuje útoky kryptografických analýz. A zachování místních DEK pro službu šifrování a dešifrování dat maximalizuje výkon.
  • Klíč pro šifrování klíčů (KEK) – šifrovací klíč používaný k šifrování datových šifrovacích klíčů pomocí obálkového šifrování, také známý jako zabalení. Použití šifrovacího klíče Key Encryption Key, který nikdy neopustí úložiště klíčů (Key Vault), umožňuje šifrování a řízení samotných datových šifrovacích klíčů. Entita, která má přístup k klíči KEK, se může lišit od entity, která vyžaduje klíč DEK. Entita může zprostředkovat přístup ke klíči DEK, aby omezila přístup každého jednotlivého DEK na konkrétní oddíl. Vzhledem k tomu, že se KEK vyžaduje k dešifrování DEK, můžou zákazníci kryptograficky vymazat DEK a data zakázáním KEK.

Poskytovatelé prostředků a instance aplikací ukládají šifrované šifrovací klíče dat jako metadata. Pouze entita s přístupem k klíči ke šifrování klíče může dešifrovat tyto klíče pro šifrování dat. Podporují se různé modely úložiště klíčů.

Šifrování neaktivních uložených dat v cloudových službách Microsoftu

Cloudové služby Microsoftu se používají ve všech třech cloudových modelech: IaaS, PaaS, SaaS. Níže najdete příklady toho, jak se vejdou do jednotlivých modelů:

  • Softwarové služby označované jako Software jako služba nebo SaaS, které mají aplikace poskytované cloudem, jako je Microsoft 365.
  • Platformní služby, ve kterých zákazníci využívají cloud ke skladování dat, analytice a pro funkce servisní sběrnice ve svých aplikacích.
  • Služby infrastruktury nebo infrastruktura jako služba (IaaS), ve kterých zákazník nasazuje operační systémy a aplikace hostované v cloudu a případně používají jiné cloudové služby.

Šifrování neaktivních uložených dat pro zákazníky SaaS

Zákazníci se softwarem jako službou (SaaS) obvykle mají šifrování neaktivních uložených dat povolené nebo dostupné v každé službě. Microsoft 365 nabízí zákazníkům několik možností, jak ověřit nebo povolit šifrování neaktivních uložených dat. Informace o službách Microsoftu 365 najdete v tématu Šifrování v Microsoftu 365.

Šifrování dat v klidu pro zákazníky PaaS

Data zákazníka typu Platforma jako služba (PaaS) se obvykle nacházejí ve službě úložiště, jako je blob Storage, ale můžou být uložená v mezipaměti nebo v prostředí spouštění aplikací, jako je například virtuální počítač. Pokud chcete zobrazit dostupné možnosti šifrování neaktivních uložených dat, projděte si modely šifrování dat: tabulka podpůrných služeb pro platformy úložiště a aplikací, které používáte.

Šifrování dat v klidu pro zákazníky IaaS

Zákazníci typu Infrastruktura jako služba (IaaS) můžou používat různé služby a aplikace. Služby IaaS můžou povolit šifrování neaktivních uložených virtuálních počítačů a virtuálních pevných disků Azure pomocí služby Azure Disk Encryption.

Šifrované úložiště

Podobně jako PaaS, mohou řešení IaaS využívat jiné služby Azure, které ukládají data v klidu zašifrovaná. V těchto případech můžete povolit podporu šifrování dat při nečinnosti, jak poskytuje každá spotřebovaná služba Azure. Modely šifrování dat: tabulka podporovaných služeb obsahuje výčet hlavních platforem úložiště, služeb a aplikací a podporovaný model šifrování dat v klidu.

Šifrované výpočetní prostředky

Všechny spravované disky, snímky a image se šifrují pomocí šifrování služby Storage pomocí klíče spravovaného službou. Ucelenější řešení šifrování neaktivních uložených dat zajišťuje, že se data nikdy neuchovávají v nezašifrované podobě. Při zpracování dat na virtuálním počítači mohou být data uchována ve stránkovacím souboru Windows, v linuxovém odkládacím prostoru, ve výpisu po pádu nebo v protokolu aplikace. Aby se zajistilo šifrování neaktivních uložených dat, můžou aplikace IaaS používat Službu Azure Disk Encryption na virtuálním počítači Azure IaaS (Windows nebo Linux) a virtuálním disku.

Vlastní šifrování neaktivních uložených dat

Doporučujeme, aby kdykoli je to možné, aplikace IaaS používaly možnosti Azure Disk Encryption a Šifrování neaktivních uložených dat poskytované všemi spotřebovanými službami Azure. V některých případech, jako jsou nestandardní požadavky na šifrování nebo úložiště mimo Azure, může vývojář aplikace IaaS potřebovat implementovat šifrování dat v klidu. Vývojáři řešení IaaS můžou lépe integrovat se správou Azure a očekáváními zákazníků pomocí určitých komponent Azure. Konkrétně by vývojáři měli použít službu Azure Key Vault k zajištění zabezpečeného úložiště klíčů a poskytnout svým zákazníkům konzistentní možnosti správy klíčů s využitím většiny služeb platformy Azure. Kromě toho by vlastní řešení měla používat identity spravovaných služeb Azure k povolení přístupu k šifrovacím klíčům účtům služeb. Pro vývojářské informace o službě Azure Key Vault a Spravovaných identitách služeb naleznete jejich příslušné sady SDK.

Podpora modelu šifrování poskytovatelů prostředků Azure

Služby Microsoft Azure podporují jeden nebo více modelů šifrování dat v klidu. U některých služeb ale nemusí být možné použít jeden nebo více modelů šifrování. U služeb, které podporují scénáře klíčů spravovaných zákazníkem, můžou podporovat pouze podmnožinu typů klíčů, které Azure Key Vault podporuje pro šifrovací klíče klíčů. Kromě toho mohou služby vydávat podporu pro tyto scénáře a klíčové typy v různých plánech. Tato část popisuje podporu šifrování neaktivních uložených dat v době psaní tohoto zápisu pro každou z hlavních služeb úložiště dat Azure.

služby Azure Disk Encryption

Každý zákazník, který používá funkce Azure Infrastructure as a Service (IaaS), může prostřednictvím služby Azure Disk Encryption dosáhnout šifrování neaktivních uložených virtuálních počítačů a disků IaaS. Další informace o službě Azure Disk Encryption najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem nebo Azure Disk Encryption pro virtuální počítače s Windows.

Azure Storage

Všechny služby Azure Storage (Blob Storage, Queue Storage, Table Storage a Azure Files) podporují šifrování neaktivních uložených dat na straně serveru; některé služby navíc podporují klíče spravované zákazníkem a šifrování na straně klienta.

Azure SQL databáze

Azure SQL Database v současné době podporuje šifrování neaktivních uložených dat pro scénáře šifrování na straně služby spravované Microsoftem a šifrování na straně klienta.

Podpora šifrování serveru je aktuálně poskytována prostřednictvím funkce SQL s názvem Transparentní šifrování dat. Jakmile zákazník Azure SQL Database povolí transparentní šifrování dat (TDE), klíče se pro ně automaticky vytvoří a spravují. Šifrování neaktivních uložených dat je možné povolit na úrovni databáze a serveru. Od června 2017 je transparentní šifrování dat ve výchozím nastavení povolené u nově vytvořených databází. Azure SQL Database podporuje v Azure Key Vaultu 2048bitové klíče spravované zákazníkem RSA. Další informace najdete v tématu Transparentní šifrování dat s podporou funkce Přineste si vlastní klíč pro Azure SQL Database a Data Warehouse.

Šifrování dat Azure SQL Database na straně klienta se podporuje prostřednictvím funkce Always Encrypted . Funkce Always Encrypted používá klíč vytvořený a uložený klientem. Zákazníci můžou nadřazený klíč uložit v úložišti certifikátů Windows, ve službě Azure Key Vault nebo v místním modulu hardwarového zabezpečení. Pomocí aplikace SQL Server Management Studio si uživatelé SQL vyberou, jaký klíč by chtěli použít k šifrování sloupce.

Závěr

Ochrana zákaznických dat uložených ve službách Azure má pro Microsoft zásadní význam. Všechny hostované služby Azure se zavázaly poskytovat možnosti šifrování neaktivních uložených dat. Služby Azure podporují klíče spravované službou, klíče spravované zákazníkem nebo šifrování na straně klienta. Služby Azure široce vylepšují dostupnost šifrování v klidovém stavu a v nadcházejících měsících se plánují nové možnosti pro verzi Preview a obecnou dostupnost.