Možnosti šifrování pro ochranu virtuálních počítačů s Windows a Linuxem
Předpokládejme, že obchodní partneři vaší společnosti mají zásady zabezpečení, které vyžadují, aby jejich obchodní data byla chráněna silným šifrováním. Používáte aplikaci B2B, která běží na serverech s Windows a ukládá data na datovém disku serveru. Teď když přecházíte do cloudu, musíte vašim obchodním partnerům ukázat, že k datům uloženým na vašich virtuálních počítačích Azure nemají přístup neoprávnění uživatelé, zařízení ani aplikace. Musíte rozhodnout, jakou strategii zvolit pro implementaci šifrování vašich dat B2B.
Vaše požadavky na audit určují, že vaše šifrovací klíče se musí spravovat interně a nemůže je spravovat žádná třetí strana. Také chcete zajistit, aby se zachoval výkon a možnosti správy serverů založených na Azure. Proto před implementací šifrování chcete mít jistotu, že to neovlivní výkon.
Co je šifrování?
Šifrování je převedení smysluplných informací na něco, co vypadá nesmyslně, jako je například náhodná posloupnost písmen a číslic. Proces šifrování využívá jako součást algoritmu, který vytváří šifrovaná data, určitou formu klíče. Klíč je také zapotřebí k dešifrování. Klíče můžou být symetrické, kde se stejný klíč používá pro šifrování a dešifrování nebo asymetrický, kde se používají různé klíče. Příkladem posledně jmenovaných klíčů je pár veřejného a privátního klíče používaný v digitálních certifikátech.
Symetrické šifrování
Algoritmy, které používají symetrické klíče, jako je AES (Advanced Encryption Standard), jsou obvykle rychlejší než algoritmy veřejného klíče a často se používají k ochraně velkých úložišť dat. Vzhledem k tomu, že se používá jenom jeden klíč, musí být nastavené postupy, které zabraňují tomu, aby tento klíč byl veřejně známý.
Asymetrické šifrování
U asymetrických algoritmů stačí z příslušného páru zabezpečit jenom privátní klíč. Veřejný klíč, jak jeho označení napovídá, může být přístupný komukoli, aniž by to ohrožovalo šifrovaná data. Nevýhodou algoritmů veřejných klíčů je, že jsou mnohem pomalejší než symetrické algoritmy a nedají se použít k šifrování velkých objemů dat.
Správa klíčů
V Azure může Microsoft nebo zákazník spravovat vaše šifrovací klíče. Často poptávka po klíčích spravovaných zákazníkem pochází z organizací, které potřebují prokázat dodržování předpisů HIPAA nebo jiných předpisů. Takové dodržování předpisů může vyžadovat, aby se protokoloval přístup ke klíčům a aby se provedly a zaznamenávaly běžné změny klíčů.
Technologie šifrování disků Azure
Hlavní technologie ochrany disků založené na šifrování pro virtuální počítače Azure jsou tyto:
- Šifrování služby Azure Storage (SSE)
- Azure Disk Encryption (ADE)
Služba SSE se provádí na fyzických discích v datovém centru. Pokud by někdo měl přímý přístup k fyzickému disku, data by se zašifrovala. Při přístupu k datům z disku se dešifrují a načtou do paměti.
ADE šifruje virtuální pevné disky virtuálního počítače (VHD). Pokud je virtuální pevný disk chráněný pomocí ADE, je image disku přístupná pouze virtuálním počítačem, který disk vlastní.
K ochraně dat můžete využít obě služby.
Šifrování služby Storage
SSE je šifrovací služba integrovaná do Azure, která slouží k ochraně neaktivních uložených dat. Platforma úložiště Azure automaticky šifruje data předtím, než je uloží do několika služeb úložiště, včetně služby Spravované disky Azure. Šifrování se standardně provádí pomocí 256bitového šifrování AES a spravuje ho správce účtu úložiště.
Služba SSE je povolená pro všechny nové a existující účty úložiště a nedá se zakázat. Vaše data jsou ve výchozím nastavení zabezpečená. abyste mohli využívat výhod SSE, nemusíte upravovat kód ani aplikace.
SSE nemá vliv na výkon služeb úložiště Azure.
Azure Disk Encryption
Vlastník virtuálního počítače spravuje ADE. Řídí šifrování disků virtuálních počítačů s Windows a Linuxem pomocí nástroje BitLocker na virtuálních počítačích s Windows a nástroje DM-Crypt na virtuálních počítačích s Linuxem. BitLocker Drive Encryption je funkce ochrany dat, která se integruje s operačním systémem a řeší hrozby krádeže nebo vystavení dat ztraceným, odcizeným nebo nevhodným vyřazeným počítačům. Podobně v Linuxu šifruje DM-Crypt neaktivní uložená data před zápisem do úložiště.
ADE zajišťuje, aby všechna neaktivní uložená data na discích virtuálních počítačů byla zašifrovaná v úložišti Azure a vyžaduje se pro virtuální počítače zálohované do trezoru služby Site Recovery.
Při použití ADE se virtuální počítače spouštějí v rámci zásad a klíčů řízených zákazníkem. Služba ADE je integrovaná se službou Azure Key Vault pro správu těchto klíčů a tajných kódů pro šifrování disků.
Poznámka:
ADE nepodporuje šifrování virtuálních počítačů úrovně Basic a nemůžete použít místní Služba správy klíčů (Služba správy klíčů) s ADE.
Kdy použít šifrování
Počítačová data jsou ohrožená během přenosu (napříč internetem nebo jinou sítí) a když jsou neaktivní (uložená v úložném zařízení). Při ochraně dat na discích virtuálních počítačů Azure jsou nejdůležitějším faktorem scénáře pro neaktivní data. Někdo si například může stáhnout soubor virtuálního pevného disku (VHD) přidružený k virtuálnímu počítači Azure a uložit ho na svůj přenosný počítač. Pokud tento disk VHD není zašifrovaný, je jeho obsah potenciálně přístupný komukoli, kdo si může soubor VHD připojit ke svému počítači.
U disků s operačním systémem se data, jako jsou hesla, šifrují automaticky, takže i když samotný virtuální pevný disk není šifrovaný, není k těmto informacím snadný přístup. Aplikace můžou také automaticky šifrovat vlastní data. I když ale někdo se zlými úmysly získá přístup k datovému disku a samotný disk nebyl šifrovaný, může být schopen zneužít všechny známé slabiny v ochraně dat dané aplikace. Díky šifrování disků není možné takové zneužití využít.
Služba SSE je součástí samotného Azure a při použití SSE by neměla mít výrazný dopad na výkon na vstupně-výstupní operace disku virtuálního počítače. Spravované disky s Šifrováním služby Storage jsou teď standardem a není žádný důvod to měnit. ADE využívá nástroje operačního systému virtuálního počítače (BitLocker a DM-Crypt), takže samotný virtuální počítač musí při šifrování nebo dešifrování disků virtuálních počítačů provádět nějakou práci. Vliv této další aktivity procesoru virtuálního počítače je s výjimkou určitých situací obvykle zanedbatelný. Pokud máte například aplikaci náročnou na procesor, může dojít k tomu, že disk s operačním systémem necháte nešifrovaný, aby se maximalizoval výkon. V takovém případě můžete ukládat data aplikací na samostatný šifrovaný datový disk, který vám dává potřebný výkon, aniž byste museli ohrozit zabezpečení.
Azure poskytuje dvě komplementární technologie šifrování, které se používají k zabezpečení disků virtuálních počítačů Azure. Tyto technologie (SSE a ADE) se šifrují v různých vrstvách a slouží různým účelům. Obě využívají 256bitové šifrování AES. Použití obou technologií zajišťuje důkladnou ochranu proti neoprávněnému přístupu k vašemu úložišti Azure a konkrétním virtuálním pevným diskům.