Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Data Lake Storage Gen1 titkosítása segít az adatok védelmében, a vállalati biztonsági szabályzatok megvalósításában és a jogszabályi megfelelőségi követelményeknek való megfelelésben. Ez a cikk áttekintést nyújt a tervezésről, és ismerteti a megvalósítás néhány technikai aspektusát.
A Data Lake Storage Gen1 támogatja az inaktív és az átvitel alatt álló adatok titkosítását. Inaktív adatok esetén a Data Lake Storage Gen1 alapértelmezés szerint bekapcsolt, átlátszó titkosítást támogat. Az alábbiakban részletesebben is bemutatjuk, mit jelentenek ezek a kifejezések:
- Alapértelmezés szerint: Új Data Lake Storage Gen1-fiók létrehozásakor az alapértelmezett beállítás engedélyezi a titkosítást. Ezt követően a Data Lake Storage Gen1-ben tárolt adatok mindig titkosítva lesznek az állandó adathordozón való tárolás előtt. Ez az összes adat viselkedése, és a fiók létrehozása után nem módosítható.
- Transzparens: A Data Lake Storage Gen1 automatikusan titkosítja az adatokat a megőrzése előtt, és visszafejti az adatokat a lekérés előtt. A titkosítást egy rendszergazda konfigurálja és kezeli a Data Lake Storage Gen1-fiók szintjén. Az adatelérési API-k nem módosulnak. Így a Data Lake Storage Gen1-et titkosítás miatt használó alkalmazásokban és szolgáltatásokban nincs szükség módosításokra.
Az átvitel alatt lévő adatok (más néven mozgásban lévő adatok) mindig titkosítva vannak az 1. generációs Data Lake Storage-ban. Amellett, hogy az állandó adathordozókra való tárolás előtt titkosítja az adatokat, az adatok átvitele is mindig https használatával történik. A HTTPS az egyetlen protokoll, amelyet a Data Lake Storage Gen1 REST-interfészek támogatnak. Az alábbi ábra bemutatja, hogyan lesznek titkosítva az adatok az 1. generációs Data Lake Storage-ban:
Titkosítás beállítása a Data Lake Storage Gen1 használatával
A Data Lake Storage Gen1 titkosítása a fiók létrehozásakor van beállítva, és alapértelmezés szerint mindig engedélyezve van. Kezelheti a kulcsokat saját maga, vagy engedélyezheti a Data Lake Storage Gen1 számára, hogy kezelje őket (ez az alapértelmezett).
További információ: Első lépések.
A titkosítás működése a Data Lake Storage Gen1-ben
Az alábbi információk a fő titkosítási kulcsok kezelésének módját ismertetik, és ismerteti a Data Lake Storage Gen1 adattitkosításában használható három különböző kulcstípust.
Fő titkosítási kulcsok
A Data Lake Storage Gen1 két módot biztosít a fő titkosítási kulcsok (MEK-k) kezelésére. Egyelőre feltételezzük, hogy a fő titkosítási kulcs a legfelső szintű kulcs. A fő titkosítási kulcshoz való hozzáférés szükséges az 1. generációs Data Lake Storage-ban tárolt adatok visszafejtéséhez.
A fő titkosítási kulcs kezelésének két módja a következő:
- Szolgáltatás által felügyelt kulcsok
- Felhasználó által kezelt kulcsok
Mindkét módban a fő titkosítási kulcs az Azure Key Vaultban való tárolással védve van. A Key Vault egy teljes mértékben felügyelt, rendkívül biztonságos szolgáltatás az Azure-ban, amely a titkosítási kulcsok védelmére használható. További információ: Key Vault.
Íme a MEK-k kezelésének két módja által biztosított képességek rövid összehasonlítása.
| Kérdés | Szolgáltatás által felügyelt kulcsok | Felhasználó által kezelt kulcsok |
|---|---|---|
| Hogyan történik az adatok tárolása? | A tárolás előtt mindig titkosítva legyen. | A tárolás előtt mindig titkosítva legyen. |
| Hol található a főtitkosítási kulcs? | Key Vault (kulcs tároló) | Key Vault (kulcs tároló) |
| Vannak olyan titkosítási kulcsok, amelyek a Key Vaulton kívül vannak tárolva? | Nem | Nem |
| A Key Vault le tudja kérni a MEK-et? | Nem. Miután a MEK a Key Vaultban van tárolva, csak titkosításhoz és visszafejtéshez használható. | Nem. Miután a MEK a Key Vaultban van tárolva, csak titkosításhoz és visszafejtéshez használható. |
| Ki a Key Vault és a MEK tulajdonosa? | A Data Lake Storage Gen1 szolgáltatás | Öné a Key Vault-példány, amely a saját Azure-előfizetéséhez tartozik. A Key Vault MEK-ét szoftver vagy hardver felügyelheti. |
| Visszavonhatja a Data Lake Storage Gen1 szolgáltatás mek-hez való hozzáférését? | Nem | Igen. A Key Vaultban kezelheti a hozzáférés-vezérlési listákat, és eltávolíthatja a Data Lake Storage Gen1 szolgáltatás szolgáltatása identitásának hozzáférés-vezérlési bejegyzéseit. |
| Véglegesen törölheti a MEK-t? | Nem | Igen. Ha törli a MEK-t a Key Vaultból, a Data Lake Storage Gen1-fiókban lévő adatokat senki nem tudja visszafejteni, beleértve a Data Lake Storage Gen1 szolgáltatást is. Ha kifejezetten biztonsági másolatot készít a MEK-ról, mielőtt törölte volna azt a Key Vaultból, a MEK visszaállítható, és az adatok helyreállíthatók. Ha azonban nem biztonsági másolatot készít a MEK-ról a Key Vaultból való törlés előtt, a Data Lake Storage Gen1-fiókban lévő adatok ezután soha nem fejthetők vissza. |
A MEK-et és a Key Vault-példányt kezelők közötti különbségen kívül a többi tervezési elem ugyanaz mindkét üzemmód esetében.
A fő titkosítási kulcsok módjának kiválasztásakor fontos megjegyezni a következőket:
- A Data Lake Storage Gen1-fiók kiépítésekor kiválaszthatja, hogy az ügyfél által felügyelt kulcsokat vagy a szolgáltatás által felügyelt kulcsokat használja-e.
- A Data Lake Storage Gen1-fiók kiépítése után a mód nem módosítható.
Adatok titkosítása és visszafejtése
Az adattitkosítás kialakításához három kulcstípus használható. Az alábbi táblázat összegzést tartalmaz:
| Kulcs | Rövidítés | Kapcsolódó | Tárolási hely | Típus szerint | Jegyzetek |
|---|---|---|---|---|---|
| Fő titkosítási kulcs | MEK | Data Lake Storage Gen1-fiók | Key Vault (kulcs tároló) | Aszimmetrikus | Ezt a Data Lake Storage Gen1 vagy Ön felügyelheti. |
| Adattitkosítási kulcs | DEK | Data Lake Storage Gen1-fiók | Állandó tárolás, amelyet a Data Lake Storage Gen1 szolgáltatás kezel | Szimmetrikus | A DEK-t a MEK titkosítja. A titkosított DEK az állandó adathordozón tárolt adat. |
| Blokktitkosítási kulcs | BEK | Adatblokk | Egyik sem | Szimmetrikus | A BEK a DEK-ból és az adatblokkból származik. |
Az alábbi ábra az alábbi fogalmakat szemlélteti:
Pszeudo algoritmus egy fájl visszafejtéséhez:
- Ellenőrizze, hogy a Data Lake Storage Gen1-fiók DEK-je gyorsítótárazott-e, és készen áll-e a használatra.
- Ha nem, olvassa el a titkosított DEK-t az állandó tárból, és küldje el a Key Vaultba a visszafejtéshez. A memóriában gyorsítótárazza a visszafejtett DEK-t. Most már használatra kész.
- A fájl minden adatblokkja esetén:
- Olvassa el az állandó tárolóból származó titkosított adatblokkot.
- Hozza létre a BEK-t a DEK-ból és a titkosított adatblokkból.
- Az adatok visszafejtéséhez használja a BEK-t.
Pszeudo algoritmus, ha egy adatblokkot titkosítani kell:
- Ellenőrizze, hogy a Data Lake Storage Gen1-fiók DEK-je gyorsítótárazott-e, és készen áll-e a használatra.
- Ha nem, olvassa el a titkosított DEK-t az állandó tárból, és küldje el a Key Vaultba a visszafejtéshez. A memóriában gyorsítótárazza a visszafejtett DEK-t. Most már használatra kész.
- Hozzon létre egy egyedi BEK-t a DEK-ból származó adatblokkhoz.
- Az adatblokk titkosítása a BEK-kel az AES-256 titkosítás használatával.
- Az adatok titkosított adatblokkjának tárolása állandó tárolóban.
Megjegyzés
A DEK-t a MEK mindig titkosítva tárolja, akár állandó adathordozón, akár gyorsítótárazott memóriában.
Kulcsforgatás
Ha ügyfél által felügyelt kulcsokat használ, elforgathatja a MEK-t. A Data Lake Storage Gen1-fiók ügyfél által felügyelt kulcsokkal való beállításáról az Első lépések című témakörben olvashat.
Előfeltételek
A Data Lake Storage Gen1-fiók beállításakor a saját kulcsait választotta. Ez a beállítás a fiók létrehozása után nem módosítható. Az alábbi lépések feltételezik, hogy ügyfél által felügyelt kulcsokat használ (vagyis saját kulcsokat választott a Key Vaultból).
Vegye figyelembe, hogy ha az alapértelmezett titkosítási beállításokat használja, az adatok mindig az 1. generációs Data Lake Storage által kezelt kulcsokkal lesznek titkosítva. Ebben a beállításban nem tudja elforgatni a kulcsokat, mivel azokat az 1. generációs Data Lake Storage kezeli.
A MEK elforgatása a Data Lake Storage Gen1-ben
Jelentkezzen be az Azure Portalra.
Keresse meg azt a Key Vault-példányt, amely a Data Lake Storage Gen1-fiókjához társított kulcsokat tárolja. Válassza a Kulcsok lehetőséget.
Válassza ki a Data Lake Storage Gen1-fiókjához társított kulcsot, és hozzon létre ennek a kulcsnak egy új verzióját. Vegye figyelembe, hogy a Data Lake Storage Gen1 jelenleg csak a kulcsok új verziójára való váltást támogatja. Nem támogatja a másik kulcsra való elforgatást.
Keresse meg a Data Lake Storage Gen1-fiókot, és válassza a Titkosítás lehetőséget.
Egy üzenet értesíti Önt arról, hogy a kulcs új kulcsverziója elérhető. A Kulcs elforgatása gombra kattintva frissítse a kulcsot az új verzióra.
A műveletnek két percnél kevesebb időt kell igénybe vennie, és a kulcsváltás miatt nem várható állásidő. A művelet befejezése után a kulcs új verziója használatban van.
Fontos
A kulcsforgatási művelet befejeződése után a rendszer a kulcs régi verzióját már nem használja aktívan az új adatok titkosításához. Előfordulhat azonban, hogy a régebbi adatokhoz való hozzáféréshez szükség lehet a régi kulcsra. Az ilyen régebbi adatok olvasásának engedélyezéséhez ne törölje a régi kulcsot