Inaktív Azure Data Encryption

A Microsoft Azure olyan eszközöket tartalmaz, hogy a vállalat biztonsági és megfelelőségi igényeinek megfelelően védje az adatokat. Ez a tanulmány a következő kérdésekre összpontosít:

  • Az inaktív adatok védelme a Microsoft Azure-ban
  • Ismerteti az adatvédelmi megvalósításban részt vevő különböző összetevőket,
  • Áttekinti a különböző kulcskezelési védelmi megközelítések előnyeit és hátrányait.

Az inaktív adatok titkosítása gyakori biztonsági követelmény. Az Azure-ban a szervezetek az egyéni kulcskezelési megoldás kockázata vagy költsége nélkül titkosíthatják az inaktív adatokat. A szervezeteknek lehetőségük van arra, hogy az Azure teljes mértékben felügyelje az inaktív titkosítást. Emellett a szervezeteknek különböző lehetőségeik vannak a titkosítási vagy titkosítási kulcsok szoros kezelésére.

Mi az inaktív titkosítás?

A titkosítás az adatok titkosságának védelmére használt adatok biztonságos kódolása. Az Azure rest-titkosítási tervei szimmetrikus titkosítást használnak nagy mennyiségű adat gyors titkosításához és visszafejtéséhez egy egyszerű fogalmi modell szerint:

  • A rendszer egy szimmetrikus titkosítási kulcsot használ az adatok titkosításához a tárolóba írásakor.
  • A rendszer ugyanazt a titkosítási kulcsot használja az adatok visszafejtéséhez, mint a memóriában való használatra.
  • Az adatok particionálhatók, és minden partícióhoz különböző kulcsok használhatók.
  • A kulcsokat biztonságos helyen kell tárolni identitásalapú hozzáférés-vezérlési és naplózási szabályzatokkal. A biztonságos helyeken kívül tárolt adattitkosítási kulcsokat a rendszer biztonságos helyen tárolt kulcstitkosítási kulccsal titkosítja.

A gyakorlatban a kulcskezelési és vezérlési forgatókönyvek, valamint a skálázási és rendelkezésre állási garanciák további szerkezeteket igényelnek. A Microsoft Azure Encryption at Rest fogalmait és összetevőit az alábbiakban ismertetjük.

Az inaktív adatok titkosításának célja

Az inaktív adatok titkosítása védelmet nyújt a tárolt adatok számára (inaktív). Az inaktív adatok elleni támadások közé tartozik az adatok tárolására szolgáló hardver fizikai elérésére tett kísérletek, majd a tárolt adatok veszélyeztetése. Ilyen támadás esetén előfordulhat, hogy a kiszolgáló merevlemezét a karbantartás során rosszul kezelték, így a támadó eltávolíthatta a merevlemezt. Később a támadó a merevlemezt az irányításuk alá tartozó számítógépre helyezte, hogy megpróbáljon hozzáférni az adatokhoz.

Az inaktív adatok titkosításának célja, hogy megakadályozza, hogy a támadó hozzáférjen a titkosítatlan adatokhoz azáltal, hogy biztosítja az adatok titkosítását a lemezen. Ha egy támadó titkosított adatokkal rendelkező merevlemezt szerez be, a titkosítási kulcsokat azonban nem, a támadónak le kell győznie a titkosítást az adatok olvasásához. Ez a támadás sokkal összetettebb és erőforrás-igényesebb, mint a merevlemezen lévő titkosítatlan adatok elérése. Emiatt az inaktív adatok titkosítása erősen ajánlott, és számos szervezet számára magas prioritású követelmény.

Az inaktív adatok titkosítására a szervezet adatszabályozási és megfelelőségi törekvései is szükség lehet. Az olyan iparági és kormányzati szabályozások, mint a HIPAA, a PCI és a FedRAMP, konkrét biztosítékokat határoznak meg az adatvédelmi és titkosítási követelmények tekintetében. Az inaktív adatok titkosítása kötelező intézkedés egyes előírásoknak való megfeleléshez. A Microsoft FIPS 140–2-hez való érvényesítésének megközelítéséről további információt a Federal Information Processing Standard (FIPS) 140–2. kiadványában talál.

A megfelelőségi és szabályozási követelmények teljesítése mellett az inaktív adatok titkosítása mélységi védelmet is biztosít. A Microsoft Azure megfelelő platformot biztosít a szolgáltatásokhoz, alkalmazásokhoz és adatokhoz. Átfogó eszköz- és fizikai biztonságot, adathozzáférés-vezérlést és naplózást is biztosít. Fontos azonban további "átfedő" biztonsági intézkedéseket biztosítani arra az esetre, ha valamelyik másik biztonsági intézkedés meghibásodik, és az inaktív titkosítás ilyen biztonsági intézkedést biztosít.

A Microsoft elkötelezett a felhőszolgáltatások inaktív beállításainak titkosítása mellett, és biztosítja az ügyfelek számára a titkosítási kulcsok és a kulcshasználat naplóinak vezérlését. Emellett a Microsoft azon is dolgozik, hogy alapértelmezés szerint minden inaktív ügyféladatot titkosítsa.

Azure Encryption rest-összetevőknél

A korábban leírtak szerint az inaktív adatok titkosításának célja, hogy a lemezen tárolt adatok titkos titkosítási kulccsal legyenek titkosítva. E cél eléréséhez biztosítani kell a titkosítási kulcsok biztonságos létrehozását, tárolását, hozzáférés-vezérlését és kezelését. Bár a részletek eltérőek lehetnek, az Azure Services Rest-implementációk titkosítása az alábbi ábrán bemutatott kifejezésekben írható le.

Összetevők

Azure Key Vault

A titkosítási kulcsok tárolási helye és a kulcsokhoz való hozzáférés-vezérlés központi szerepet jelent egy inaktív modell titkosításában. A kulcsokat szigorúan biztonságosnak kell lenniük, de a megadott felhasználók kezelhetik, és adott szolgáltatások számára elérhetőknek kell lenniük. Az Azure-szolgáltatások esetében az Azure Key Vault az ajánlott kulcstárolási megoldás, amely a szolgáltatások közös felügyeleti élményét biztosítja. A kulcsok kulcstartókban vannak tárolva és kezelve, és hozzáférést kaphatnak a felhasználókhoz vagy szolgáltatásokhoz. Az Azure Key Vault támogatja az ügyfelek kulcsainak létrehozását vagy az ügyfélkulcsok importálását az ügyfél által felügyelt titkosítási kulcsok forgatókönyveiben való használathoz.

Azure Active Directory

Az Azure Key Vault-ban tárolt kulcsok kezelésére vagy elérésére vonatkozó engedélyeket az Azure Active Directory-fiókok kaphatják meg a restititkosítás és a visszafejtés titkosításához.

Borítéktitkosítás kulcshierarchiával

Egynél több titkosítási kulcsot használ a rendszer egy inaktív állapotú implementáció titkosításában. A titkosítási kulcs azure-beli tárolása Key Vault biztonságos kulcshozzáférést és a kulcsok központi kezelését biztosítja. A titkosítási kulcsokhoz való helyi hozzáférés azonban hatékonyabb a tömeges titkosításhoz és visszafejtéshez, mint a Key Vault használata minden adatművelethez, ami erősebb titkosítást és jobb teljesítményt tesz lehetővé. Az egyetlen titkosítási kulcs használatának korlátozása csökkenti a kulcs sérülésének kockázatát, valamint a kulcs cseréjének újratitkosításának költségeit. Az inaktív azure-beli titkosítási modellek borítéktitkosítást használnak, ahol a kulcstitkosítási kulcs titkosítja az adattitkosítási kulcsot. Ez a modell egy kulcsfontosságú hierarchiát alkot, amely jobban képes kezelni a teljesítményt és a biztonsági követelményeket:

  • Adattitkosítási kulcs (DEK) – Egy partíció vagy adatblokk titkosításához használt szimmetrikus AES256-kulcs, más néven egyszerűen adatkulcs. Egyetlen erőforrás több partícióval és számos adattitkosítási kulcssal rendelkezhet. Az egyes adatblokkok más kulccsal való titkosítása megnehezíti a kriptográfiai elemzési támadásokat. Az adatok titkosítása és visszafejtése pedig maximalizálja a teljesítményt, ha a DEK-k a szolgáltatásban helyiek maradnak.
  • Kulcstitkosítási kulcs (KEK) – Az adattitkosítási kulcsok borítéktitkosítással történő titkosításához használt titkosítási kulcs, más néven burkolás. Olyan kulcstitkosítási kulcs használata, amely soha nem hagyja Key Vault lehetővé teszi az adattitkosítási kulcsok titkosítását és vezérlését. A KEK-hez hozzáféréssel rendelkező entitás eltérhet a DEK-t igénylő entitástól. Az entitások a DEK-hoz való hozzáférés közvetítésével korlátozhatják az egyes DEK-k hozzáférését egy adott partícióra. Mivel a KEK szükséges a DEK-k visszafejtéséhez, az ügyfelek kriptográfiailag törölhetik a DEK-okat és az adatokat a KEK letiltásával.

Az erőforrás-szolgáltatók és az alkalmazáspéldányok metaadatokként tárolják a titkosított adattitkosítási kulcsokat. Csak a kulcstitkosítási kulcshoz hozzáféréssel rendelkező entitás tudja visszafejteni ezeket az adattitkosítási kulcsokat. A kulcstároló különböző modelljei támogatottak. További információ: adattitkosítási modellek.

Inaktív titkosítás a Microsoft felhőszolgáltatásaiban

A Microsoft Cloud-szolgáltatásokat mindhárom felhőmodellben használják: IaaS, PaaS, SaaS. Az alábbiakban példákat talál arra, hogyan illeszkednek az egyes modellekhez:

  • Szoftverszolgáltatások, más néven szolgáltatott szoftver vagy SaaS, amelyek a felhő által biztosított alkalmazásokkal, például a Microsoft 365-tel rendelkeznek.
  • Platformszolgáltatások, amelyekben az ügyfelek a felhőt használják például a tároláshoz, az elemzéshez és a Service Bus-funkciókhoz az alkalmazásaikban.
  • Infrastruktúra-szolgáltatások vagy szolgáltatott infrastruktúra (IaaS), amelyekben az ügyfél a felhőben üzemeltetett operációs rendszereket és alkalmazásokat helyez üzembe, és esetleg más felhőszolgáltatásokat használ.

Inaktív adatok titkosítása SaaS-ügyfelek számára

A szolgáltatott szoftver (SaaS) ügyfelei általában az egyes szolgáltatásokban engedélyezett vagy elérhető inaktív titkosítással rendelkeznek. A Microsoft 365 számos lehetőséget kínál az ügyfelek számára az inaktív titkosítás ellenőrzésére vagy engedélyezésére. További információ a Microsoft 365-szolgáltatásokról: Titkosítás a Microsoft 365-ben.

Inaktív titkosítás PaaS-ügyfelek számára

A szolgáltatásként nyújtott platform (PaaS) ügyféladatai általában egy tárolási szolgáltatásban, például a Blob Storage-ban találhatók, de gyorsítótárazhatók vagy tárolhatók az alkalmazás-végrehajtási környezetben, például egy virtuális gépen. Az inaktív állapotban elérhető titkosítási lehetőségek megtekintéséhez vizsgálja meg az adattitkosítási modelleket: a használt tároló- és alkalmazásplatformok támogatási szolgáltatási táblázatát.

Inaktív titkosítás IaaS-ügyfelek számára

A szolgáltatott infrastruktúra (IaaS) ügyfelei számos szolgáltatást és alkalmazást használhatnak. Az IaaS-szolgáltatások az Azure Disk Encryption használatával engedélyezhetik az inaktív állapotú titkosítást az Azure által üzemeltetett virtuális gépeiken és virtuális merevlemezeiken.

Titkosított tároló

A PaaS-hez hasonlóan az IaaS-megoldások más Azure-szolgáltatásokat is használhatnak, amelyek titkosítva tárolják az inaktív adatokat. Ezekben az esetekben engedélyezheti az inaktív állapotú titkosítás támogatását az egyes felhasznált Azure-szolgáltatások által biztosított módon. Az adattitkosítási modellek: a támogató szolgáltatások táblázata számba adja a főbb tárolási, szolgáltatási és alkalmazásplatformokat, valamint a rest titkosítási modelljét.

Titkosított számítás

Minden Managed Disks, pillanatkép és rendszerkép szolgáltatás által felügyelt kulccsal van titkosítva a Storage Service Encryption használatával. A teljesebb rest-titkosítási megoldás biztosítja, hogy az adatok soha ne maradnak titkosítatlan formában. A virtuális gépen tárolt adatok feldolgozása során az adatok megmaradhatnak a Windows-lapfájlban vagy a Linux-swapfájlban, egy összeomlási memóriaképben vagy egy alkalmazásnaplóban. Annak érdekében, hogy ezek az adatok inaktív állapotban legyenek titkosítva, az IaaS-alkalmazások használhatják az Azure Disk Encryptiont egy Azure IaaS virtuális gépen (Windows vagy Linux) és virtuális lemezen.

Egyéni titkosítás inaktív állapotban

Javasoljuk, hogy amikor csak lehetséges, az IaaS-alkalmazások az Azure Disk Encryption és a Rest titkosítási lehetőségeket használják, amelyeket a felhasznált Azure-szolgáltatások biztosítanak. Bizonyos esetekben, például a szabálytalan titkosítási követelmények vagy a nem Azure-alapú tárolás esetében előfordulhat, hogy egy IaaS-alkalmazás fejlesztőjének saját maga kell implementálnia a titkosítást inaktív állapotban. Az IaaS-megoldások fejlesztői bizonyos Azure-összetevők használatával jobban integrálhatók az Azure-felügyelettel és az ügyfelek elvárásaival. A fejlesztőknek az Azure Key Vault szolgáltatással kell biztonságos kulcstárolást biztosítaniuk, valamint konzisztens kulcskezelési lehetőségeket kell biztosítaniuk ügyfeleiknek a legtöbb Azure platformszolgáltatáshoz. Emellett az egyéni megoldásoknak a Azure-Managed Service Identityes használatával kell engedélyeznie a szolgáltatásfiókok számára a titkosítási kulcsok elérését. Az Azure Key Vault és a felügyeltszolgáltatás-identitásokkal kapcsolatos fejlesztői információkért tekintse meg a hozzájuk tartozó SDK-kat.

Azure-erőforrás-szolgáltatók titkosítási modell támogatása

A Microsoft Azure-szolgáltatások mindegyike egy vagy több inaktív titkosítási modellt támogat. Egyes szolgáltatások esetében azonban előfordulhat, hogy egy vagy több titkosítási modell nem alkalmazható. Az ügyfél által felügyelt kulcsforgatókönyveket támogató szolgáltatások esetében csak az Azure Key Vault által a kulcstitkosítási kulcsokhoz támogatott kulcstípusok egy részét támogatják. Emellett a szolgáltatások különböző ütemezésekben adhatnak ki támogatást ezekhez a forgatókönyvekhez és kulcstípusokhoz. Ez a szakasz az írás időpontjában az inaktív adatok titkosítását ismerteti az azure-beli adattárolási szolgáltatások mindegyikéhez.

Azure-lemeztitkosítás

Az Azure Infrastructure as a Service (IaaS) funkcióit használó ügyfelek az Azure Disk Encryption használatával képesek titkosítást elérni az IaaS virtuális gépeik és lemezeik számára. Az Azure Disk Encryptionnel kapcsolatos további információkért tekintse meg a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptiont vagy a Windows rendszerű virtuális gépekhez készült Azure Disk Encryptiont.

Azure Storage tárterület

Minden Azure Storage-szolgáltatás (Blob Storage, Queue Storage, Table Storage és Azure Files) támogatja az inaktív kiszolgálóoldali titkosítást; egyes szolgáltatások emellett támogatják az ügyfél által kezelt kulcsokat és az ügyféloldali titkosítást.

Azure SQL Database

Azure SQL Database jelenleg támogatja az inaktív állapotú titkosítást a Microsoft által felügyelt szolgáltatásoldali és ügyféloldali titkosítási forgatókönyvek esetében.

A kiszolgálótitkosítás támogatása jelenleg a Transzparens adattitkosítás nevű SQL-szolgáltatáson keresztül érhető el. Ha egy Azure SQL Database-ügyfél engedélyezi a TDE-kulcsot, a rendszer automatikusan létrehozza és felügyeli azokat. Az inaktív adatok titkosítása az adatbázis és a kiszolgáló szintjén engedélyezhető. 2017 júniusától alapértelmezés szerint engedélyezve van a transzparens adattitkosítás (TDE) az újonnan létrehozott adatbázisokon. Azure SQL Database támogatja az RSA 2048 bites, ügyfél által felügyelt kulcsokat az Azure Key Vault-ban. További információ: Transzparens adattitkosítás saját kulcs használata támogatással Azure SQL Database és Data Warehouse.

Az Azure SQL Database-adatok ügyféloldali titkosítása a Always Encrypted funkcióval támogatott. Always Encrypted az ügyfél által létrehozott és tárolt kulcsot használ. Az ügyfelek windowsos tanúsítványtárolóban, Azure Key Vault vagy helyi hardveres biztonsági modulban tárolhatják a főkulcsot. A SQL Server Management Studio használatával az SQL-felhasználók kiválaszthatják, hogy melyik oszlop titkosításához milyen kulcsot szeretnének használni.

Összegzés

Az Azure-szolgáltatásokban tárolt ügyféladatok védelme kiemelten fontos a Microsoft számára. Az Azure által üzemeltetett összes szolgáltatás elkötelezett a rest-beállítások titkosítása mellett. Az Azure-szolgáltatások támogatják a szolgáltatás által felügyelt kulcsokat, az ügyfél által kezelt kulcsokat vagy az ügyféloldali titkosítást. Az Azure-szolgáltatások széles körben fejlesztik a rest-beli titkosítást, és a következő hónapokban új lehetőségeket terveznek előzetes verzióra és általánosan elérhetővé.

Következő lépések

  • A szolgáltatás által felügyelt és az ügyfél által felügyelt kulcsokkal kapcsolatos további információkért tekintse meg az adattitkosítási modelleket .
  • Megtudhatja, hogyan használja az Azure a kettős titkosítást az adatok titkosításával kapcsolatos fenyegetések enyhítésére.
  • Ismerje meg, mit tesz a Microsoft a hardver- és belsővezérlőprogram-buildelési, integrációs, üzembe helyezési és javítási folyamatokon áthaladó gazdagépek platformintegritásának és biztonságának biztosítása érdekében.