Adatok titkosítása Azure Data Lake Storage Gen1-ben

  • Cikk

A Azure Data Lake Storage Gen1 titkosítása segít az adatok védelmében, a vállalati biztonsági szabályzatok implementálásában és a jogszabályi megfelelőségi követelményeknek való megfelelésben. Ez a cikk áttekintést nyújt a kialakításról, és ismerteti az implementálás egyes technikai aspektusait.

Data Lake Storage Gen1 támogatja az inaktív és az átvitel alatt álló adatok titkosítását. Inaktív adatok esetén Data Lake Storage Gen1 támogatja az "alapértelmezés szerint bekapcsolva" transzparens titkosítást. Kicsit részletesebben kifejtve ez az alábbiakat jelenti:

  • Alapértelmezés szerint bekapcsolva: Új Data Lake Storage Gen1-fiók létrehozásakor az alapértelmezett beállítás engedélyezi a titkosítást. Ezt követően a Data Lake Storage Gen1 tárolt adatok mindig titkosítva lesznek, mielőtt állandó adathordozón tárolják. Minden adatnál ez lesz a viselkedés, és ez nem módosítható egy fiók létrehozása után.
  • Transzparens: Data Lake Storage Gen1 automatikusan titkosítja az adatokat az adatmegőrzés előtt, és visszafejti az adatokat a lekérés előtt. A titkosítást egy rendszergazda konfigurálja és kezeli Data Lake Storage Gen1 fiók szintjén. Az adathozzáférési API-k nem módosulnak. Így a titkosítás miatt nem szükséges módosításokat végezni az Data Lake Storage Gen1 használó alkalmazásokban és szolgáltatásokban.

Az átvitel alatt lévő adatok (más néven mozgásban lévő adatok) is mindig titkosítva Data Lake Storage Gen1. Amellett, hogy az adatok titkosítása az állandó adathordozón való tárolás előtt történik meg, az átvitt adatok is mindig titkosítva vannak HTTPS segítségével. A HTTPS az egyetlen olyan protokoll, amelyet a Data Lake Storage Gen1 REST-felületek támogatnak. Az alábbi diagram bemutatja, hogyan lesznek titkosítva az adatok a Data Lake Storage Gen1:

Adattitkosítás diagramja a Data Lake Storage Gen1

Titkosítás beállítása Data Lake Storage Gen1

A Data Lake Storage Gen1 titkosítása a fiók létrehozásakor van beállítva, és alapértelmezés szerint mindig engedélyezve van. A kulcsokat saját maga is kezelheti, vagy engedélyezheti Data Lake Storage Gen1 számára azokat (ez az alapértelmezett).

További részletekért lásd az első lépéseket.

A titkosítás működése a Data Lake Storage Gen1

Az alábbi információk a fő titkosítási kulcsok kezelésének módját ismertetik, és ismerteti a Data Lake Storage Gen1 adattitkosításban használható három különböző kulcstípust.

Titkosítási főkulcsok

Data Lake Storage Gen1 két módot biztosít a fő titkosítási kulcsok (MEK-k) kezeléséhez. Jelen esetben azt feltételezzük, hogy a titkosítási főkulcs a legfelső szintű kulcs. A fő titkosítási kulcshoz való hozzáférés szükséges a Data Lake Storage Gen1 tárolt adatok visszafejtéséhez.

A titkosítási főkulcs kezelésének kétféle módja a következő:

  • Szolgáltatás által kezelt kulcsok
  • Felhasználó által kezelt kulcsok

A titkosítási főkulcs mindkét mód esetében az Azure Key Vaultban van biztonságosan tárolva. A Key Vault az Azure teljes körűen felügyelt, magas biztonsági szinten lévő szolgáltatása, amely biztosítja a titkosítási kulcsok védelmét. További információkért lásd a Key Vaultról szóló cikket.

Az alábbiakban röviden összehasonlítjuk a kétféle mód MEK-kezelési képességét.

Kérdés Szolgáltatás által kezelt kulcsok Felhasználó által kezelt kulcsok
Hogyan történik az adatok tárolása? Mindig titkosítva a tárolást megelőzően. Mindig titkosítva a tárolást megelőzően.
Hol történik a titkosítási főkulcs tárolása? Key Vault Key Vault
Létezik-e titkosítatlanul, a Key Vaulton kívül tárolt titkosítási kulcs? Nem Nem
Beolvasható a MEK a Key Vaultba? Nem. A MEK a Key Vaultban történő tárolása után kizárólag titkosításra és visszafejtésre használható. Nem. A MEK a Key Vaultban történő tárolása után kizárólag titkosításra és visszafejtésre használható.
Kié a Key Vault-példány és a titkosítási főkulcs? A Data Lake Storage Gen1 szolgáltatás A Key Vault-példány az Öné, és az Ön Azure-előfizetéséhez tartozik. A Key Vaultban lévő MEK szoftver vagy hardver által felügyelt lehet.
Visszavonhatja a mek-hez való hozzáférést a Data Lake Storage Gen1 szolgáltatáshoz? Nem Igen. Kezelheti a hozzáférés-vezérlési listákat a Key Vault, és eltávolíthatja a Data Lake Storage Gen1 szolgáltatás identitásához tartozó hozzáférés-vezérlési bejegyzéseket.
Törölhető véglegesen a titkosítási főkulcs? Nem Igen. Ha törli a MEK-t Key Vault, a Data Lake Storage Gen1-fiókban lévő adatokat senki nem tudja visszafejteni, beleértve a Data Lake Storage Gen1 szolgáltatást is.

Ha készült kifejezett biztonsági mentés a MEK-ről a Key Vaultból történő törlést megelőzően, akkor a kulcs, majd pedig az adatok visszaállíthatók. Ha azonban nem biztonsági másolatot készít a MEK-ról a Key Vault törlése előtt, az Data Lake Storage Gen1-fiókban lévő adatok ezután soha nem fejthetők vissza.

Ezen, a MEK kezelőjét és a Key Vault-példány elhelyezkedését illető eltérésen kívül a kialakítás a két mód esetében megegyezik.

A titkosítási főkulcsok kezelési módjának megválasztásakor fontos szem előtt tartani a következőket:

  • Eldöntheti, hogy ügyfél által felügyelt kulcsokat vagy szolgáltatás által felügyelt kulcsokat használ-e egy Data Lake Storage Gen1-fiók kiépítésekor.
  • A Data Lake Storage Gen1 fiók kiépítése után a mód nem módosítható.

Adattitkosítás és -visszafejtés

Az adattitkosítás során háromféle kulcsot használunk. A következő táblázat az összefoglalást tartalmazza:

Kulcs Rövidítés Társítva ezzel: Tárolási hely Típus Jegyzetek
Titkosítási főkulcs MEK Data Lake Storage Gen1-fiók Key Vault Aszimmetrikus A felügyeletet Data Lake Storage Gen1 vagy Ön végezheti el.
Adattitkosítási kulcs DEK Data Lake Storage Gen1-fiók Állandó tároló, amelyet a Data Lake Storage Gen1 szolgáltatás kezel Szimmetrikus A DEK titkosítását a MEK végzi. A szolgáltatás a titkosított DEK-et tárolja az állandó adathordozón.
Blokktitkosítási kulcs BEK Egy adatblokk None Szimmetrikus A blokktitkosítási kulcsot az adattitkosítási kulcsból és az adatblokkból származtatjuk.

Az alapelveket a következő ábra mutatja be:

Adattitkosítási kulcsok

A fájl visszafejtésekor használatos pszeudoalgoritmus:

  1. Ellenőrizze, hogy a Data Lake Storage Gen1 fiók DEK gyorsítótárazott-e, és készen áll-e a használatra.
    • Ha nem, olvassa ki a titkosított adattitkosítási kulcsot az állandó tárolóból, és visszafejtésre küldje el a Key Vaultba. Gyorsítótárazza a visszafejtett adattitkosítási kulcsot. A fájl ezzel használatra kész.
  2. A fájl minden adatblokkja esetében:
    • Olvassa ki a titkosított adatblokkot az állandó tárolóból.
    • Hozza létre a blokktitkosítási kulcsot az adattitkosítási kulcsból és a titkosított adatblokkból.
    • A blokktitkosítási kulcs használatával fejtse vissza az adatokat.

Az adatblokk titkosításakor használatos pszeudoalgoritmus:

  1. Ellenőrizze, hogy a Data Lake Storage Gen1 fiók DEK gyorsítótárazott-e, és készen áll-e a használatra.
    • Ha nem, olvassa ki a titkosított adattitkosítási kulcsot az állandó tárolóból, és visszafejtésre küldje el a Key Vaultba. Gyorsítótárazza a visszafejtett adattitkosítási kulcsot. A fájl ezzel használatra kész.
  2. Hozzon létre egy egyedi blokktitkosítási kulcsot az adatblokk számára az adattitkosítási kulcsból.
  3. AES-256 titkosítással végezze el a blokktitkosítási kulccsal ellátott adatblokk titkosítását.
  4. A titkosított adatblokk az állandó tárolóban lesz tárolva.

Megjegyzés

A MEK mindig titkosítva tárolja az adattitkosítási kulcsot, függetlenül attól, hogy a tárolás állandó adathordozón vagy a memória-gyorsítótárban történik.

Kulcsrotálás

Felhasználó által kezelt kulcsok használata esetén a titkosítási főkulcs rotálható. Ha meg szeretné tudni, hogyan állíthat be Data Lake Storage Gen1 fiókot ügyfél által felügyelt kulcsokkal, olvassa el az Első lépések című témakört.

Előfeltételek

A Data Lake Storage Gen1 fiók beállításakor a saját kulcsait választotta. A fiók létrehozása után ez a beállítás már nem módosítható. Az alábbi lépések során azt feltételezzük, hogy felhasználó által kezelt (tehát a Key Vaultból saját maga által kiválasztott) kulcsokat használ.

Vegye figyelembe, hogy ha az alapértelmezett titkosítási beállításokat használja, az adatok mindig a Data Lake Storage Gen1 által kezelt kulcsok használatával lesznek titkosítva. Ebben a beállításban nem tudja elforgatni a kulcsokat, mivel Data Lake Storage Gen1 kezeli őket.

A MEK elforgatása Data Lake Storage Gen1

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg azt a Key Vault példányt, amely a Data Lake Storage Gen1-fiókjához társított kulcsokat tárolja. Válassza a Kulcsok lehetőséget.

    Képernyőkép a Key Vaultról

  3. Válassza ki a Data Lake Storage Gen1-fiókjához társított kulcsot, és hozzon létre egy új verziót. Vegye figyelembe, hogy Data Lake Storage Gen1 jelenleg csak a kulcsok új verziójára történő kulcsváltást támogatja. A más kulcsra történő kulcsrotálás nem támogatott.

    Képernyőkép a Kulcsok ablakról, amelyen az Új verzió elem van kiemelve

  4. Keresse meg a Data Lake Storage Gen1 fiókot, és válassza a Titkosítás lehetőséget.

    Képernyőkép Data Lake Storage Gen1 fiók ablakáról, kiemelt titkosítással

  5. Megjelenik egy tájékoztató üzenet arról, hogy a kulcs egy új verziója érhető el. A kulcs új verzióra történő frissítéséhez kattintson a Kulcs rotálása lehetőségre.

    Képernyőkép Data Lake Storage Gen1 ablakról, amelyen az üzenet és a kulcs elforgatása ki van emelve

Ez a művelet kevesebb mint két percet vehet igénybe, és a kulcsrotálás nem jár várt leállással. A művelet befejezését követően a kulcs új verziója lesz használatban.

Fontos

A kulcsrotálási művelet befejezése után a kulcs régi verziója már nem használható aktívan az új adatok titkosítására. Előfordulhatnak azonban olyan esetek, amikor a régebbi adatokhoz való hozzáféréshez szükség lehet a régi kulcsra. Az ilyen régebbi adatok olvasásának engedélyezéséhez ne törölje a régi kulcsot