Adattitkosítás ügyfél által felügyelt kulccsal
A KÖVETKEZŐKRE VONATKOZIK: 
Azure Cosmos DB for PostgreSQL (a Citus adatbázisbővítménye a PostgreSQL-re)
Az Azure Cosmos DB for PostgreSQL-fürtben tárolt adatok automatikusan és zökkenőmentesen titkosítva lesznek a Microsoft által kezelt kulcsokkal. Ezeket a kulcsokat szolgáltatás által felügyelt kulcsoknak nevezzük. Az Azure Cosmos DB for PostgreSQL azure Storage-titkosítással alapértelmezés szerint szolgáltatás által felügyelt kulcsokkal titkosítja a inaktív adatokat. Igény szerint további biztonsági réteget is hozzáadhat az ügyfél által felügyelt kulcsokkal rendelkező titkosítás engedélyezésével.
Szolgáltatás által felügyelt kulcsok
Az Azure Cosmos DB for PostgreSQL szolgáltatás a FIPS 140-2 által ellenőrzött titkosítási modult használja az inaktív adatok tárolótitkosításához. A rendszer a lekérdezések futtatásakor létrehozott összes adatot titkosítja, beleértve a biztonsági mentéseket és a lekérdezések futtatásakor létrehozott ideiglenes fájlokat is. A szolgáltatás az Azure Storage-titkosításban található AES 256 bites titkosítást használja, a kulcsok pedig rendszer által felügyeltek. A tárolótitkosítás mindig be van kapcsolva, és nem tiltható le.
Felhasználó által kezelt kulcsok
Számos szervezetnek teljes körűen szabályoznia kell az adatokhoz való hozzáférést egy ügyfél által felügyelt kulcs (CMK) használatával. Az Azure Cosmos DB for PostgreSQL ügyfél által felügyelt kulcsaival végzett adattitkosítás lehetővé teszi, hogy saját kulcsot használjon az inaktív adatok védelméhez. Emellett lehetővé teszi a szervezetek számára a kulcsok és adatok kezelésével járó feladatok elkülönítését. Az ügyfél által felügyelt titkosítással Ön felelős a kulcs életciklusáért, a használati engedélyekért és a műveletek naplózásáért, valamint teljes körű felügyeletéért.
Az Azure Cosmos DB for PostgreSQL ügyfél által felügyelt kulcsaival rendelkező adattitkosítás a kiszolgáló szintjén van beállítva. Az adatok, beleértve a biztonsági másolatokat is, lemezen vannak titkosítva. Ez a titkosítás tartalmazza a lekérdezések futtatásakor létrehozott ideiglenes fájlokat. Egy adott fürt esetében a szolgáltatás adattitkosítási kulcsának (DEK) titkosításához egy ügyfél által felügyelt kulcsot, az úgynevezett kulcstitkosítási kulcsot (KEK) használjuk. A KEK egy aszimmetrikus kulcs, amely egy ügyfél által birtokolt és ügyfél által felügyelt Azure Key Vault-példányban van tárolva.
| Leírás | |
|---|---|
| Adattitkosítási kulcs (DEK) | Az adattitkosítási kulcs egy szimmetrikus AES256-kulcs, amely egy partíció vagy adatblokk titkosítására szolgál. Az egyes adatblokkok más kulccsal történő titkosítása megnehezíti a titkosítási elemzési támadásokat. Az adott blokk titkosítását és visszafejtését végző erőforrás-szolgáltató vagy alkalmazáspéldány hozzáférést igényel a DEK-khoz. Ha a DEK-t új kulccsal cseréli le, csak a társított blokkban lévő adatokat kell újratitkosítani az új kulccsal. |
| Kulcstitkosítási kulcs (KEK) | A kulcstitkosítási kulcs a DEK-k titkosításához használt titkosítási kulcs. A kulcstartót soha nem elhagyó KEK lehetővé teszi a DEK-k titkosítását és vezérlését. A KEK-hez hozzáféréssel rendelkező entitás eltérhet a DEK-t igénylő entitástól. Mivel a DEK-k visszafejtéséhez a KEK szükséges, a KEK gyakorlatilag egyetlen pont, a KEK törlése pedig hatékonyan törli a DEK-okat. |
Feljegyzés
Az Azure Key Vault egy felhőalapú kulcskezelő rendszer. Magas rendelkezésre állású, és skálázható, biztonságos tárterületet biztosít az RSA titkosítási kulcsokhoz, opcionálisan a FIPS 140 által ellenőrzött hardverbiztonsági modulok (HSM-ek) segítségével. A kulcstartók nem teszik lehetővé a tárolt kulcsokhoz való közvetlen hozzáférést, de titkosítási és visszafejtési szolgáltatásokat biztosítanak az engedélyezett entitások számára. A kulcstartók létrehozhatják a kulcsot, importálhatják vagy áthelyezhetik egy helyszíni HSM-eszközről.
A KEK-kkal titkosított DEK-k tárolása külön történik. Ezeket a DEK-okat csak a KEK-hez hozzáféréssel rendelkező entitás tudja visszafejteni. További információ: Biztonság inaktív állapotban.
Az ügyfél által felügyelt kulccsal végzett adattitkosítás működése
Ahhoz, hogy egy fürt ügyfél által felügyelt kulcsokat használjon a Key Vaultban a DEK titkosításához, a Key Vault rendszergazdája a következő hozzáférési jogosultságokat biztosítja a kiszolgáló számára:
| Leírás | |
|---|---|
| kap | Lehetővé teszi a kulcs nyilvános részének és tulajdonságainak lekérését a kulcstartóban. |
| wrapKey | Engedélyezi a DEK titkosítását. A titkosított DEK az Azure Cosmos DB for PostgreSQL-ben van tárolva. |
| unwrapKey | Engedélyezi a DEK visszafejtést. Az Azure Cosmos DB for PostgreSQL-hez a visszafejtett DEK szükséges az adatok titkosításához/visszafejtéséhez. |
A Key Vault rendszergazdája engedélyezheti a Key Vault naplózási eseményeinek naplózását is, így később is naplózhatók. Ha az Azure Cosmos DB for PostgreSQL-fürt úgy van konfigurálva, hogy a kulcstartóban tárolt ügyfél által felügyelt kulcsot használja, a fürt elküldi a DEK-t a kulcstartónak titkosítás céljából. A Key Vault a felhasználói adatbázisban tárolt titkosított DEK-t adja vissza. Hasonlóképpen, ha szükséges, a kiszolgáló elküldi a védett DEK-t a kulcstartóba a visszafejtéshez. Az auditorok az Azure Monitor használatával áttekinthetik a Key Vault naplózási eseménynaplóit, ha a naplózás engedélyezve van.
Juttatások
Az Azure Cosmos DB for PostgreSQL ügyfél által felügyelt kulcsaival történő adattitkosítás a következő előnyöket biztosítja:
- Teljes mértékben szabályozhatja az adathozzáférést, és eltávolíthatja a kulcsot, és elérhetetlenné teheti az adatbázist.
- Teljes hozzáférés a kulcs életciklusa felett, beleértve a kulcs forgatását, hogy igazodjon az adott vállalati szabályzatokhoz.
- Kulcsok központi kezelése és szervezése az Azure Key Vaultban.
- A feladatok elkülönítésének megvalósítása a biztonsági tisztviselők, adatbázis-rendszergazdák és rendszergazdák között.
- A titkosítás engedélyezésének nincs extra teljesítményhatása az ügyfél által felügyelt kulcsokkal vagy anélkül. Az Azure Cosmos DB for PostgreSQL az Azure Storage-ra támaszkodik az adattitkosításhoz mind az ügyfél által felügyelt, mind a szolgáltatás által felügyelt kulcsforgatókönyvekben.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: