Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Az Azure Cosmos DB for PostgreSQL már nem támogatott új projektek esetén. Ne használja ezt a szolgáltatást új projektekhez. Ehelyett használja az alábbi két szolgáltatás egyikét:
Az Azure Cosmos DB for NoSQL használata nagy léptékű forgatókönyvekhez tervezett elosztott adatbázis-megoldáshoz 99,999% rendelkezésre állási szolgáltatásiszint-szerződéssel (SLA), azonnali automatikus skálázással és automatikus feladatátvétellel több régióban.
Használja az Azure Database For PostgreSQL Rugalmas fürtök funkcióját a megosztott PostgreSQL-hez a nyílt forráskódú Citus-bővítmény használatával.
Az Azure Cosmos DB for PostgreSQL-fürtben tárolt adatok automatikusan és zökkenőmentesen titkosítva lesznek a Microsoft által kezelt kulcsokkal. Ezeket a kulcsokat szolgáltatás által felügyelt kulcsoknak nevezzük. Az Azure Cosmos DB for PostgreSQL Azure Storage titkosítást használ alapértelmezés szerint szolgáltatás által felügyelt kulcsokkal a nyugalmi állapotban lévő adatok titkosítására. Igény szerint további biztonsági réteget is hozzáadhat az ügyfél által felügyelt kulcsokkal rendelkező titkosítás engedélyezésével.
Szolgáltatás által felügyelt kulcsok
Az Azure Cosmos DB for PostgreSQL szolgáltatás a FIPS 140-2 által ellenőrzött titkosítási modult használja az inaktív adatok tárolótitkosításához. A rendszer a lekérdezések futtatásakor létrehozott összes adatot titkosítja, beleértve a biztonsági mentéseket és a lekérdezések futtatásakor létrehozott ideiglenes fájlokat is. A szolgáltatás az Azure Storage-titkosításban található AES 256 bites titkosítást használja, a kulcsok pedig rendszer által felügyeltek. A tárolótitkosítás mindig be van kapcsolva, és nem tiltható le.
Felhasználó által kezelt kulcsok
Számos szervezetnek teljes körűen szabályoznia kell az adatokhoz való hozzáférést egy ügyfél által felügyelt kulcs (CMK) használatával. Az Azure Cosmos DB for PostgreSQL ügyfelek által felügyelt kulcsaival történő adattitkosítás lehetővé teszi, hogy saját kulcsot használjon a nyugalmi állapotban lévő adatok védelméhez. Emellett lehetővé teszi a szervezetek számára a kulcsok és adatok kezelésével járó feladatok elkülönítését. Az ügyfél által felügyelt titkosítással Ön felelős a kulcs életciklusáért, a használati engedélyekért és a műveletek naplózásáért, valamint teljes körű felügyeletéért.
Az Azure Cosmos DB for PostgreSQL ügyfél által felügyelt kulcsaival rendelkező adattitkosítás a kiszolgáló szintjén van beállítva. Az adatok, beleértve a biztonsági másolatokat is, lemezen vannak titkosítva. Ez a titkosítás tartalmazza a lekérdezések futtatásakor létrehozott ideiglenes fájlokat. Egy adott fürt esetében egy ügyfél által felügyelt kulcsot, az úgynevezett kulcstitkosítási kulcsot (KEK), használjuk a szolgáltatás adattitkosítási kulcsának (DEK) titkosításához. A KEK egy aszimmetrikus kulcs, amely egy ügyfél által birtokolt és ügyfél által felügyelt Azure Key Vault-példányban van tárolva.
| Leírás | |
|---|---|
| Adattitkosítási kulcs (DEK) | Az adattitkosítási kulcs egy szimmetrikus AES256-kulcs, amely egy partíció vagy adatblokk titkosítására szolgál. Az egyes adatblokkok más kulccsal történő titkosítása megnehezíti a titkosítási elemzési támadásokat. Az adott blokk titkosítását és visszafejtését végző erőforrás-szolgáltató vagy alkalmazáspéldány hozzáférést igényel a DEK-khoz. Ha a DEK-t új kulccsal cseréli le, csak a társított blokkban lévő adatokat kell újratitkosítani az új kulccsal. |
| Kulcstitkosító kulcs (KEK) | A kulcstitkosítási kulcs a DEK-k titkosításához használt titkosítási kulcs. A kulcstárat soha nem elhagyó KEK lehetővé teszi a DEK-ek titkosítását és vezérlését. A KEK-hez hozzáféréssel rendelkező entitás eltérhet a DEK-t igénylő entitástól. Mivel a DEK-k visszafejtéséhez a KEK szükséges, a KEK gyakorlatilag egyetlen pont, a KEK törlése pedig hatékonyan törli a DEK-okat. |
Feljegyzés
Az Azure Key Vault egy felhőalapú kulcskezelő rendszer. Magas rendelkezésre állású, és skálázható, biztonságos tárterületet biztosít az RSA titkosítási kulcsokhoz, opcionálisan a FIPS 140 által ellenőrzött hardverbiztonsági modulok (HSM-ek) segítségével. A kulcstartók nem teszik lehetővé a tárolt kulcsokhoz való közvetlen hozzáférést, de titkosítási és visszafejtési szolgáltatásokat biztosítanak az engedélyezett entitások számára. A kulcstár létrehozhatja a kulcsot, importálhatja azt, vagy áthelyezheti egy helyszíni HSM-eszközről.
A KEK-kkal titkosított DEK-k tárolása külön történik. Ezeket a DEK-okat csak a KEK-hez hozzáféréssel rendelkező entitás tudja visszafejteni. További információ: Nyugalmi állapotban történő titkosítás biztonsága.
Az ügyfél által felügyelt kulccsal végzett adattitkosítás működése
Ahhoz, hogy egy fürt ügyfél által felügyelt kulcsokat használjon a Key Vaultban a DEK titkosításához, a Key Vault rendszergazdája a következő hozzáférési jogosultságokat biztosítja a kiszolgáló számára:
| Leírás | |
|---|---|
| kap | Lehetővé teszi a kulcs nyilvános részének és tulajdonságainak lekérését a kulcstárban. |
| wrapKey | Engedélyezi a DEK titkosítását. A titkosított DEK az Azure Cosmos DB for PostgreSQL-ben van tárolva. |
| unwrapKey | Engedélyezi a DEK visszafejtést. Az Azure Cosmos DB for PostgreSQL-hez a visszafejtett DEK szükséges az adatok titkosításához/visszafejtéséhez. |
A Key Vault rendszergazdája engedélyezheti az audit naplóesemények rögzítését is, így később auditálhatók. Ha az Azure Cosmos DB for PostgreSQL-fürt úgy van konfigurálva, hogy a kulcstartó tárolóban tárolt ügyfél által felügyelt kulcsot használja, a fürt elküldi a DEK-t a kulcstartó tárolónak titkosítás céljából. A Key Vault a felhasználói adatbázisban tárolt titkosított DEK-t adja vissza. Hasonlóképpen, ha szükséges, a kiszolgáló elküldi a védett DEK-t a kulcstartóba a visszafejtéshez. Az auditorok az Azure Monitor használatával áttekinthetik a Key Vault naplózási eseménynaplóit, ha a naplózás engedélyezve van.
Juttatások
Az Azure Cosmos DB for PostgreSQL ügyfél által felügyelt kulcsaival történő adattitkosítás a következő előnyöket biztosítja:
- Teljes mértékben szabályozhatja az adathozzáférést, és eltávolíthatja a kulcsot, és elérhetetlenné teheti az adatbázist.
- Teljes hozzáférés a kulcs életciklusa felett, beleértve a kulcs forgatását, hogy igazodjon az adott vállalati szabályzatokhoz.
- Kulcsok központi kezelése és szervezése az Azure Key Vaultban.
- A feladatok elkülönítésének megvalósítása a biztonsági tisztviselők, adatbázis-rendszergazdák és rendszergazdák között.
- A titkosítás engedélyezésének nincs extra teljesítményhatása az ügyfél által felügyelt kulcsokkal vagy anélkül. Az Azure Cosmos DB for PostgreSQL az Azure Storage-ra támaszkodik az adattitkosításhoz mind az ügyfél által felügyelt, mind a szolgáltatás által felügyelt kulcsforgatókönyvekben.