Datenverschlüsselung in Azure DocumentDB

Alle von einer Azure DocumentDB verwalteten Daten werden immer im Ruhezustand verschlüsselt. Diese Daten umfassen alle System- und Benutzerdatenbanken, temporäre Dateien, Protokolle und Sicherungen.

Verschlüsselung ruhender Daten mit durch den Dienst verwalteten Schlüsseln (SMK) oder kundenseitig verwalteten Schlüsseln (CMK)

Azure DocumentDB unterstützt zwei Modi der ruhenden Datenverschlüsselung: dienstverwaltete Schlüssel (SMK) und vom Kunden verwaltete Schlüssel (CMK). Die Datenverschlüsselung mit dienstverwalteten Schlüsseln ist der Standardmodus für Azure DocumentDB. In diesem Modus verwaltet der Dienst automatisch die Verschlüsselungsschlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden. Sie müssen keine Maßnahmen ergreifen, um die Verschlüsselung in diesem Modus zu aktivieren oder zu verwalten.

Bei kundenseitig verwalteten Schlüsseln können Sie Ihren eigenen Verschlüsselungsschlüssel zum Verschlüsseln Ihrer Daten verwenden. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel verwendet, um den Zugriff auf den Schlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. Vom Kunden verwaltete Schlüssel bieten eine größere Flexibilität beim Verwalten von Zugriffssteuerungen. Sie müssen Ihren eigenen Azure Key Vault bereitstellen und konfigurieren, um die von Ihrem Azure DocumentDB-Cluster verwendeten Verschlüsselungsschlüssel zu speichern.

Der Konfigurationsmodus kann nur zum Zeitpunkt der Clustererstellung ausgewählt werden. Der Modus kann für die Lebensdauer des Clusters nicht geändert werden.

Um die Verschlüsselung Ihrer Daten zu erreichen, verwendet Azure DocumentDB serverseitige Verschlüsselung von Azure Storage für ruhende Daten. Bei Verwendung von CMK sind Sie für die Bereitstellung von Schlüsseln zum Verschlüsseln und Entschlüsseln von Daten in Azure Storage-Diensten verantwortlich. Diese Schlüssel müssen in Azure Key Vault gespeichert werden.

Vorteile, die von jedem Modus (SMK oder CMK) bereitgestellt werden

Die Datenverschlüsselung mit dienstverwalteten Schlüsseln für Azure DocumentDB bietet die folgenden Vorteile:

• Der Dienst steuert den Datenzugriff vollständig und automatisch.
• Der Dienst steuert den Lebenszyklus des Schlüssels vollständig und automatisch (einschließlich der Rotation des Schlüssels).
• Sie müssen sich keine Gedanken über das Verwalten von Datenverschlüsselungsschlüsseln machen.
• Die Datenverschlüsselung, die auf durch den Dienst verwalteten Schlüsseln basiert, wirkt sich nicht negativ auf die Leistung Ihrer Workloads aus.
• Sie vereinfacht die Verwaltung von Verschlüsselungsschlüsseln (einschließlich ihrer regelmäßigen Rotation) und die Verwaltung der Identitäten, die für den Zugriff auf diese Schlüssel verwendet werden.

Die Datenverschlüsselung mit vom Kunden verwalteten Schlüsseln für Azure DocumentDB bietet die folgenden Vorteile:

• Sie steuern den Datenzugriff vollständig. Sie können einen Schlüssel widerrufen, um den Zugriff auf eine Datenbank zu ermöglichen.
• Sie steuern den Lebenszyklus eines Schlüssels vollständig, um die Unternehmensrichtlinien zu erfüllen.
• Sie können alle Verschlüsselungsschlüssel zentral in Ihren eigenen Instanzen des Azure Key Vault verwalten und organisieren.
• Die Datenverschlüsselung, die auf kundenseitig verwalteten Schlüsseln basiert, wirkt sich nicht negativ auf die Leistung Ihrer Workloads aus.
• Sie können die Verantwortungsbereiche von Sicherheitsbeauftragten, Datenbankadministratoren und Systemadministratoren trennen.

CMK-Anforderungen

Mit dem kundenseitig verwalteten Verschlüsselungsschlüssel übernehmen Sie die gesamte Verantwortung für die Aufrechterhaltung ordnungsgemäß konfigurierter Komponenten, die für CMK erforderlich sind. Daher müssen Sie Ihren eigenen Azure Key Vault bereitstellen und eine benutzerseitig verwaltete Identität bereitstellen. Sie müssen Ihren eigenen Schlüssel generieren oder importieren. Sie müssen erforderliche Berechtigungen für den Key Vault erteilen, damit Ihre Azure DocumentDB die erforderlichen Aktionen für den Schlüssel ausführen kann. Sie müssen alle Netzwerkaspekte des Azure Key Vault konfigurieren, in dem der Schlüssel aufbewahrt wird, damit Ihre Azure DocumentDB-Instanz auf den Schlüssel zugreifen kann. Auch die Überwachung des Zugriffs auf den Schlüssel liegt in Ihrer Verantwortung.

Wenn Sie vom Kunden verwaltete Schlüssel für einen Azure DocumentDB für MonogDB-Cluster konfigurieren, umschließt Azure Storage den Stammdatenverschlüsselungsschlüssel (ROOT Data Encryption Key, DEK) für das Konto mit dem vom Kunden verwalteten Schlüssel im zugeordneten Schlüsseltresor. Der Schutz des Verschlüsselungsschlüssels für Stammdaten ändert sich, aber die Daten in Ihrem Azure Storage-Konto bleiben immer verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten verschlüsselt bleiben. Der Schutz durch kundenseitig verwaltete Schlüssel wird sofort wirksam.

Der Azure Key Vault ist ein cloudbasiertes, externes Schlüsselverwaltungssystem. Er ist hochverfügbar und bietet einen skalierbaren, sicheren Speicher für RSA-Kryptografieschlüssel. Dabei wird kein direkter Zugriff auf einen gespeicherten Schlüssel zugelassen, sondern Verschlüsselungs- und Entschlüsselungsdienste werden für die autorisierten Entitäten bereitgestellt. Key Vault kann den Schlüssel generieren, importieren oder ihn von einem lokalen HSM-Gerät übertragen erhalten.

Es folgt die Liste der Anforderungen und Empfehlungen für die Datenverschlüsselungskonfiguration für Azure DocumentDB:

Schlüsseltresor

Der für die CMK-Einrichtung verwendete Schlüsseltresor muss die folgenden Anforderungen erfüllen:

• Der Schlüsseltresor und Azure DocumentDB müssen demselben Microsoft Entra-Mandanten angehören.
• Empfehlung: Setzen Sie die Einstellung Aufbewahrungsdauer für gelöschte Tresore in Tagen für den Schlüsseltresor auf 90 Tage. Diese Konfigurationseinstellung kann nur zum Zeitpunkt der Erstellung des Schlüsseltresors definiert werden. Nachdem eine Instanz erstellt wurde, ist es nicht möglich, diese Einstellung zu ändern.
• Aktivieren Sie das soft-delete Feature im Schlüsseltresor, um Datenverlust vorzubeugen, falls ein Schlüssel oder eine Instanz des Schlüsseltresors versehentlich gelöscht wird. Der Schlüsseltresor speichert vorläufig gelöschte Ressourcen 90 Tage lang, es sei denn, der Benutzer löscht diese in der Zwischenzeit oder stellt sie wieder her. Die Wiederherstellen- und Löschaktionen verfügen über eigene Berechtigungen, die einem Schlüsseltresor, einer rollenbasierten Zugriffssteuerung (RBAC) oder einer Zugriffsrichtlinienberechtigung zugeordnet sind. Das Feature "Vorläufig gelöscht" ist standardmäßig aktiviert. Wenn Sie einen Schlüsseltresor haben, der vor langer Zeit bereitgestellt wurde, ist er möglicherweise trotzdem vorläufig gelöscht. In diesem Fall können Sie ihn aktivieren.
• Aktivieren Sie den Löschschutz, um einen obligatorischen Aufbewahrungszeitraum für gelöschte Tresore und Tresorobjekte zu erzwingen.
• Konfigurieren Sie den Netzwerkzugriff, damit Ihr Cluster auf den Verschlüsselungsschlüssel im Schlüsseltresor zugreifen kann. Verwenden Sie eine der folgenden Konfigurationsoptionen:
  • Der öffentliche Zugriff über alle Netzwerke ermöglicht allen Hosts im Internet den Zugriff auf den Schlüsseltresor.
  • Wählen Sie Öffentlichen Zugriff deaktivieren und Vertrauenswürdige Microsoft-Dienste zulassen aus, um diese Firewall zu umgehen und den gesamten öffentlichen Zugriff zu deaktivieren, aber Ihrem Cluster den Zugriff auf den Schlüsseltresor zu ermöglichen.

Verschlüsselungsschlüssel

Der für die CMK-Konfiguration ausgewählte Verschlüsselungsschlüssel muss die folgenden Anforderungen erfüllen:

• Der Schlüssel, der zum Verschlüsseln des Datenverschlüsselungsschlüssels verwendet wird, kann nur ein asymmetrischer Schlüssel, ein RSA-Schlüssel oder ein RSA-HSM sein. Schlüsselgrößen von 2.048, 3.072 und 4.096 werden unterstützt.
  • Empfehlung: Verwenden Sie einen 4.096-Bit-Schlüssel für eine bessere Sicherheit.
• Das Datum und die Uhrzeit für die Schlüsselaktivierung (sofern festgelegt) müssen in der Vergangenheit liegen. Das Datum und die Uhrzeit für den Ablauf (sofern festgelegt) müssen in der Zukunft liegen.
• Der Schlüssel muss den Status Aktiviert aufweisen.
• Wenn Sie einen vorhandenen Schlüssel in Azure Key Vault importieren, stellen Sie ihn in den unterstützten Dateiformaten bereit (.pfx, .byok oder .backup).

Erlaubnisse

Gewähren Sie dem Verschlüsselungsschlüssel den von Azure DocumentDB benutzerseitig zugewiesenen verwalteten Identitätszugriff:

• Bevorzugt: Der Azure Key Vault sollte mit dem RBAC-Berechtigungsmodell konfiguriert werden, und der verwalteten Identität sollte die Benutzerrolle Kryptografiedienstsverschlüsselung für Schlüsseltresore zugewiesen werden.
• Legacy: Wenn Azure Key Vault mit einem Berechtigungsmodell für Zugriffsrichtlinien konfiguriert ist, erteilen Sie den verwalteten Identitäten die folgenden Berechtigungen:
  • get: Abrufen der Eigenschaften und des öffentlichen Teils des Schlüssels im Schlüsseltresor.
  • list:: Auflisten und Durchlaufen der im Schlüsseltresor gespeicherten Schlüssel.
  • wrapKey: Um den Datenverschlüsselungsschlüssel zu verschlüsseln.
  • unwrapKey: Entschlüsseln des Datenverschlüsselungsschlüssels

Aktualisierungen der CMK-Schlüsselversionen

CMK in Azure DocumentDB unterstützt automatische Versionsupdates, auch als Versionslose Schlüssel bezeichnet. Der Azure DocumentDB-Dienst nimmt automatisch die neue Schlüsselversion auf und verschlüsselt den Datenverschlüsselungsschlüssel erneut. Diese Funktion kann mit dem Autorotation-Feature von Azure Key Vault kombiniert werden.

Überlegungen

Wenn Sie einen kundenseitig verwalteten Schlüssel für die Datenverschlüsselung verwenden, befolgen Sie die folgenden Empfehlungen zum Konfigurieren von Key Vault:

• Um das versehentliche oder nicht autorisierte Löschen dieser kritischen Ressource zu verhindern, legen Sie eine Azure-Ressourcensperre im Schlüsseltresor fest.
• Überprüfen und aktivieren Sie die Verfügbarkeits- und Redundanzoptionen von Azure Key Vault.
• Aktivieren Sie die Protokollierung und Benachrichtigung in der Azure Key Vault-Instanz, die zum Speichern von Schlüsseln verwendet wird. Key Vault stellt Protokolle bereit, die einfach in andere SIEM-Tools (Security Information and Event Management) eingefügt werden können. Azure Monitor Logs ist ein Beispiel für einen bereits integrierten Dienst.
• Aktivieren Sie die Autorotation des Schlüssels. Der Azure DocumentDB-Dienst nimmt immer die neueste Version des ausgewählten Schlüssels auf.
• Sperren Sie den Zugriff auf öffentliche Netzwerke in Key Vault, indem Sie den öffentlichen Zugriff deaktivieren und vertrauenswürdige Microsoft-Dienste aktivieren, um diese Firewall zu umgehen.

Hinweis

Nachdem Sie den öffentlichen Zugriff deaktiviert und vertrauenswürdige Microsoft-Dienste zum Umgehen dieser Firewall zugelassen haben, wird möglicherweise eine Fehlermeldung angezeigt, wenn Sie versuchen, den öffentlichen Zugriff zum Verwalten von Key Vault über das Portal zu verwenden: „Sie haben die Netzwerkzugriffskontrolle aktiviert. Nur zulässige Netzwerke haben Zugriff auf diesen Schlüsseltresor.“ Dieser Fehler schließt nicht die Möglichkeit aus, Schlüssel während des Setups von kundenseitig verwalteten Schlüsseln bereitzustellen oder Schlüssel aus Key Vault während Clustervorgängen abzurufen.

• Bewahren Sie eine Kopie des kundenseitig verwalteten Schlüssels an einem sicheren Ort auf, oder hinterlegen Sie ihn in einen Escrow-Dienst.
• Wenn Key Vault den Schlüssel generiert, erstellen Sie eine Schlüsselsicherung, bevor Sie den Schlüssel zum ersten Mal verwenden. Sie können nur die Sicherung in Key Vault wiederherstellen.

Verwandte Inhalte

• Führen Sie die folgenden Schritte aus, um die ruhende Datenverschlüsselung mit vom Kunden verwaltetem Schlüssel in Azure DocumentDB zu aktivieren
• Problembehandlung beim CMK-Setup
• Migrieren von Daten zu Azure DocumentDB