Datensicherheit und -verschlüsselung in Azure Data Manager for Energy

  • Artikel

Dieser Artikel bietet eine Übersicht über Die Sicherheitsfeatures in Azure Data Manager for Energy. Er deckt die wichtigsten Bereiche hinsichtlich der Verschlüsselung ruhender Daten, der Verschlüsselung während der Übertragung, TLS, HTTPS, von Microsoft verwalteter Schlüssel und kundenseitig verwalteter Schlüssel ab.

Verschlüsselung ruhender Daten

Azure Data Manager for Energy verwendet mehrere Speicherressourcen zum Speichern von Metadaten, Benutzerdaten, In-Memory-Daten usw. Die Plattform verwendet die dienstseitige Verschlüsselung, um alle Daten automatisch zu verschlüsseln, wenn sie in der Cloud gespeichert werden. Mit Verschlüsselung ruhender Daten werden Ihre Daten ausreichend geschützt, um den Sicherheits- und Complianceanforderungen Ihrer Organisation gerecht zu werden. Alle Daten in Azure Data Manager for Energy werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Zusätzlich zum von Microsoft verwalteten Schlüssel können Sie ihren eigenen Verschlüsselungsschlüssel verwenden, um die Daten in Azure Data Manager for Energy zu schützen. Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den von Microsoft verwalteten Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden.

Verschlüsseln von Daten während der Übertragung

Azure Data Manager for Energy unterstützt das TLS 1.2-Protokoll (Transport Layer Security), um Daten beim Wechsel zwischen den Clouddiensten und Kunden zu schützen. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität und Algorithmusflexibilität.

Zusätzlich zu TLS erfolgen bei der Interaktion mit Azure Data Manager for Energy alle Transaktionen über HTTPS.

Einrichten von kundenseitig verwalteten Schlüsseln (Customer Managed Keys, CMK) für Azure Data Manager for Energy instance

Wichtig

Sie können CMK-Einstellungen nicht mehr bearbeiten, nachdem der Azure Data Manager for Energy instance erstellt wurde.

Voraussetzungen

Schritt 1: Konfigurieren des Schlüsseltresors

  1. Sie können einen neuen oder vorhandenen Schlüsseltresor verwenden, um kundenseitig verwaltete Schlüssel zu speichern. Weitere Informationen zu Azure Key Vault finden Sie unter Informationen zu Azure Key Vault und Grundlegende Konzepte von Azure Key Vault.

  2. Die Verwendung von kundenseitig verwalteten Schlüsseln mit Azure Data Manager for Energy erfordert, dass sowohl vorläufiges Löschen als auch Löschschutz für den Schlüsseltresor aktiviert sind. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen, und kann nicht deaktiviert werden. Sie können den Löschschutz aktivieren, wenn Sie den Schlüsseltresor erstellen oder nachdem er erstellt wurde.

  3. Informationen zum Erstellen eines Schlüsseltresors über das Azure-Portal finden Sie unter Schnellstart: Erstellen eines Schlüsseltresors über das Azure-Portal. Wenn Sie den Schlüsseltresor erstellen, wählen Sie „Bereinigungsschutz aktivieren“ aus.

    Screenshot: Aktivieren des Bereinigungsschutzes und des vorläufigen Löschens beim Erstellen eines Schlüsseltresors

  4. Führen Sie die folgenden Schritte aus, um den Löschschutz für einen vorhandenen Schlüsseltresor zu aktivieren:

    1. Navigieren Sie im Azure-Portal zu Ihrem Schlüsseltresor.
    2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
    3. Wählen Sie im Abschnitt Bereinigungsschutz die Option Bereinigungsschutz aktivieren aus.

Schritt 2: Hinzufügen eines Schlüssels

  1. Als Nächstes fügen Sie im Schlüsseltresor einen Schlüssel hinzu.
  2. Informationen zum Hinzufügen eines Schlüssels über das Azure-Portal finden Sie unter Schnellstart: Festlegen und Abrufen eines Schlüssels aus Azure Key Vault mit dem Azure-Portal.
  3. Es wird empfohlen, dass die RSA-Schlüsselgröße 3072 beträgt. Weitere Informationen finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für Ihr Azure Cosmos-Konto mit Azure Key Vault | Microsoft Learn.

Schritt 3: Auswählen einer verwalteten Identität zum Autorisieren des Zugriffs auf den Schlüsseltresor

  1. Wenn Sie kundenseitig verwaltete Schlüssel für eine vorhandene Azure Data Manager for Energy instance müssen Sie eine verwaltete Identität angeben, die zum Autorisieren des Zugriffs auf den Schlüsseltresor verwendet wird, der den Schlüssel enthält. Die verwaltete Identität muss über Berechtigungen für den Zugriff auf den Schlüssel im Schlüsseltresor verfügen.
  2. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen.

Konfigurieren von kundenseitig verwalteten Schlüsseln für ein vorhandenes Konto

  1. Erstellen Sie einen Azure Data Manager for Energy instance.
  2. Wählen Sie die Registerkarte Verschlüsselung aus.

Screenshot der Registerkarte

  1. Wählen Sie auf der Registerkarte „Verschlüsselung“ die Option Kundenseitig verwaltete Schlüssel (Customer managed keys, CMK) aus.

  2. Für die Verwendung von CMK müssen Sie den Schlüsseltresor auswählen, in dem der Schlüssel gespeichert ist.

  3. Aktivieren Sie unter „Verschlüsselungsschlüssel“ die Option Key Vault und Schlüssel auswählen.

  4. Wählen Sie anschließend die Option Schlüsseltresor und Schlüssel auswählen aus.

  5. Wählen Sie als Nächstes den Schlüsseltresor und den Schlüssel aus.

    Screenshot: Auswahl von Abonnement, Schlüsseltresor und Schlüssel im rechten Bereich, der nach Auswahl von

  6. Wählen Sie dann die benutzerseitig zugewiesene verwaltete Identität aus, mit der der Zugriff auf den Schlüsseltresor autorisiert wird, der den Schlüssel enthält.

  7. Wählen Sie die Option Benutzeridentität auswählen aus. Wählen Sie die benutzerseitig zugewiesene verwaltete Identität aus, die Sie in den Voraussetzungen erstellt haben.

Screenshot: Schlüsseltresor, Schlüssel, benutzerseitig zugewiesene Identität und CMK auf der Registerkarte „Verschlüsselung“

  1. Diese benutzerseitig zugewiesene Identität muss über die Berechtigungen Schlüssel abrufen, Schlüssel auflisten, Schlüssel packen und Schlüssel entpacken für den Schlüsseltresor verfügen. Weitere Informationen zum Zuweisen von Azure Key Vault-Zugriffsrichtlinien finden Sie unter Zuweisen einer Key Vault-Zugriffsrichtlinie.

    Screenshot: Zugriffsrichtlinie zum Abrufen, Auflisten, Packen und Entpacken von Schlüsseln

  2. Sie können unter „Verschlüsselungsschlüssel“ auch die Option Schlüssel aus URI eingeben aktivieren. Für den Schlüssel müssen vorläufiges Löschen und Bereinigungsschutz aktiviert sein. Sie müssen dies bestätigen, indem Sie das unten gezeigte Kontrollkästchen aktivieren:

    Screenshot: Schlüsseltresor-URI für Verschlüsselung

  3. Wählen Sie als Nächstes Überprüfen und erstellen aus, nachdem Sie die anderen Registerkarten ausgefüllt haben.

  4. Wählen Sie die Schaltfläche Erstellen aus.

  5. Ein Azure Data Manager for Energy instance wird mit kundenseitig verwalteten Schlüsseln erstellt.

  6. Nach dem Aktivieren von CMK wird der Status auf dem Bildschirm Übersicht angezeigt.

    Screenshot: Aktiviertes CMK auf der Übersichtsseite für Azure Data Manager for Energy

  7. Sie können zu Verschlüsselung navigieren. Dort sehen Sie, dass CMK mit benutzerseitig verwalteter Identität aktiviert ist.

    Screenshot: Deaktivierte CMK-Einstellungen nach der Installation von Azure Data Manager for Energy instance

Nächste Schritte

Weitere Informationen zu privaten Verbindungen:

Erstellen eines privaten Endpunkts für Microsoft Energy Data Services