Adattitkosítás az Azure DocumentDB-ben

Az Azure DocumentDB által kezelt összes adat mindig titkosítva van. Ezek az adatok tartalmazzák az összes rendszer- és felhasználói adatbázist, ideiglenes fájlt, naplót és biztonsági mentést.

Inaktív titkosítás szolgáltatás által felügyelt kulccsal (SMK) vagy ügyfél által felügyelt kulccsal (CMK)

Az Azure DocumentDB két adattitkosítási módot támogat inaktív állapotban: a szolgáltatás által felügyelt kulcsokat (SMK) és az ügyfél által felügyelt kulcsokat (CMK). Az Azure DocumentDB alapértelmezett módja a szolgáltatás által felügyelt kulcsokkal történő adattitkosítás. Ebben a módban a szolgáltatás automatikusan kezeli az adatok titkosításához használt titkosítási kulcsokat. Ebben a módban nem kell semmilyen műveletet elvégeznie a titkosítás engedélyezéséhez vagy kezeléséhez.

Az ügyfél által felügyelt kulcsok módban saját titkosítási kulcsot használhat az adatok titkosításához. Ha megad egy ügyfél által kezelt kulcsot, az a kulcs védi és szabályozza a hozzáférést ahhoz a kulcshoz, amely az adatait titkosítja. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlés kezeléséhez. Saját Azure Key Vaultot kell üzembe helyeznie, és konfigurálnia kell az Azure DocumentDB-fürt által használt titkosítási kulcsok tárolására.

A konfigurációs mód csak a fürt létrehozásakor választható ki. A fürt élettartama alatt nem módosítható egyik módról a másikra.

Az adatok titkosításának eléréséhez az Azure DocumentDB az Azure Storage kiszolgálóoldali titkosítását használja a inaktív adatokhoz. A CMK használatakor Ön felel az Adatok titkosításához és visszafejtéséhez szükséges kulcsok biztosításáért az Azure Storage-szolgáltatásokban. Ezeket a kulcsokat az Azure Key Vaultban kell tárolni.

Az egyes módok (SMK vagy CMK) által biztosított előnyök

Az Azure DocumentDB szolgáltatás által felügyelt kulcsaival rendelkező adattitkosítás a következő előnyöket nyújtja:

• A szolgáltatás automatikusan és teljes mértékben szabályozza az adathozzáférést.
• A szolgáltatás automatikusan és teljes mértékben szabályozza a kulcs életciklusát, beleértve a kulcs elforgatását is.
• Nem kell aggódnia az adattitkosítási kulcsok kezelése miatt.
• A szolgáltatás által felügyelt kulcsokon alapuló adattitkosítás nem befolyásolja negatívan a számítási feladatok teljesítményét.
• Leegyszerűsíti a titkosítási kulcsok kezelését (beleértve azok rendszeres rotálását), valamint a kulcsokhoz való hozzáféréshez használt identitások kezelését.

Az Azure DocumentDB ügyfél által felügyelt kulcsaival történő adattitkosítás a következő előnyöket nyújtja:

• Teljes mértékben szabályozhatja az adathozzáférést. Az adatbázis elérhetetlenné tétele érdekében visszavonhat egy kulcsot.
• Teljes mértékben szabályozhatja egy kulcs életciklusát, hogy igazodjon a vállalati szabályzatokhoz.
• Központilag kezelheti és rendszerezheti az összes titkosítási kulcsot az Azure Key Vault saját példányaiban.
• Az ügyfél által felügyelt kulcsokon alapuló adattitkosítás nem befolyásolja hátrányosan a számítási feladatok teljesítményét.
• A biztonsági tisztviselők, az adatbázis-rendszergazdák és a rendszergazdák közötti feladatok elkülönítését valósíthatja meg.

CMK-követelmények

Az ügyfél által kezelt titkosítási kulccsal ön vállal minden felelősséget a CMK működéséhez szükséges, megfelelően konfigurált összetevők fenntartásáért. Ezért saját Azure Key Vaultot kell üzembe helyeznie, és meg kell adnia egy felhasználó által hozzárendelt felügyelt identitást. Saját kulcsot kell létrehoznia vagy importálnia. Meg kell adnia a szükséges engedélyeket a Key Vaulton, hogy az Azure DocumentDB végre tudja hajtani a kulcson a szükséges műveleteket. Gondoskodnia kell arról, hogy konfigurálja annak az Azure Key Vaultnak az összes hálózati aspektusát, amelyben a kulcs található, hogy az Azure DocumentDB-példány hozzáférhessen a kulcshoz. A kulcshoz való hozzáférés naplózása szintén az Ön feladata.

Amikor ügyfél által felügyelt kulcsokat konfigurál egy Azure DocumentDB for MonogDB-fürthöz, az Azure Storage a fiók legfelső szintű adattitkosítási kulcsát (DEK) a társított kulcstartóban lévő ügyfél által felügyelt kulccsal burkolja. A gyökértitkosítási kulcs védelme megváltozik, de az Azure Storage-fiókban lévő adatok mindig titkosítva maradnak. Az adatok titkosításának biztosításához nincs szükség további műveletekre. Az ügyfél által felügyelt kulcsokkal történő védelem azonnal érvénybe lép.

Az Azure Key Vault egy felhőalapú, külső kulcskezelő rendszer. Magas rendelkezésre állású, és skálázható, biztonságos tárterületet biztosít az RSA titkosítási kulcsokhoz. Nem teszi lehetővé a tárolt kulcs közvetlen elérését, de titkosítási és visszafejtési szolgáltatásokat biztosít az engedélyezett entitások számára. A Key Vault képes létrehozni, importálni vagy fogadni a kulcsot egy helyszíni HSM-eszközről.

Az alábbiakban felsoroljuk az Azure DocumentDB adattitkosítási konfigurációjára vonatkozó követelményeket és javaslatokat:

Kulcs tároló

A CMK beállításához használt kulcstartónak meg kell felelnie a következő követelményeknek:

• A Key Vaultnak és az Azure DocumentDB-nek ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia.
• Javaslat: Állítsa a Napok beállítást a Key Vault törölt tárolóinak megőrzéséhez90 napra. Ez a konfigurációs beállítás csak a Kulcstartó létrehozásakor határozható meg. A példány létrehozása után nem lehet módosítani ezt a beállítást.
• Engedélyezze a soft-delete Key Vault szolgáltatását az adatvesztés elleni védelemhez, ha véletlenül törölnek egy kulcsot vagy egy kulcstartópéldányt. A Key Vault 90 napig megőrzi a helyreállíthatóan törölt erőforrásokat, kivéve, ha a felhasználó addig helyreállítja vagy törli őket. A helyreállítási és törlési műveletek saját engedélyekkel rendelkeznek egy kulcstartóhoz, egy szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörhöz vagy hozzáférési szabályzat engedélyhez. A helyreállíthatóan törölt funkció alapértelmezés szerint be van kapcsolva. Ha már régen üzembe helyezett kulcstartóval rendelkezik, előfordulhat, hogy a helyreállítható törlés le van tiltva. Ebben az esetben bekapcsolhatja.
• Engedélyezze a törlés elleni védelmet a törölt tárolók és tárolóobjektumok kötelező megőrzési idejének kikényszerítéséhez.
• A hálózati hozzáférést úgy konfigurálhatja, hogy a fürt hozzáférhessen a titkosítási kulcshoz a kulcstartóban. Használja az alábbi konfigurációs beállítások egyikét:
  • A nyilvános hozzáférés engedélyezése az összes hálózatról lehetővé teszi, hogy az interneten lévő összes gazdagép hozzáférjen a kulcstartóhoz.
  • Válassza a Nyilvános hozzáférés letiltása és a Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez az összes nyilvános hozzáférés letiltásához, de a fürt hozzáférésének engedélyezéséhez a kulcstartóhoz.

Titkosítási kulcs

A CMK-konfigurációhoz kiválasztott titkosítási kulcsnak meg kell felelnie a következő követelményeknek:

• Az adattitkosítási kulcs titkosításához használt kulcs csak aszimmetrikus, RSA vagy RSA-HSM lehet. A 2048, 3072 és 4096-os kulcsméretek támogatottak.
  • Javaslat: Használjon 4096 bites kulcsot a jobb biztonság érdekében.
• A kulcsaktiválás dátumának és időpontjának (ha be van állítva) a múltban kell lennie. A lejárat dátumának és időpontjának (ha be van állítva) a jövőben kell lennie.
• A kulcsnak engedélyezve kell lennie.
• Ha egy meglévő kulcsot importál az Azure Key Vaultba, adja meg a támogatott fájlformátumokban (.pfx.byokvagy .backup).

Permissions

Adjon hozzáférést az Azure DocumentDB felhasználó által hozzárendelt felügyelt identitásának a titkosítási kulcshoz:

• Előnyben részesített: Az Azure Key Vaultot RBAC-engedélymodellel kell konfigurálni, és a felügyelt identitáshoz hozzá kell rendelni a Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörét.
• Örökölt: Ha az Azure Key Vault Access-szabályzatengedély-modellel van konfigurálva, adja meg a következő engedélyeket a felügyelt identitáshoz:
  • get: A kulcs tulajdonságainak és nyilvános részének lekérése a Key Vaultban.
  • lista: A key vaultban tárolt kulcsok felsorolása és iterálása.
  • wrapKey: Az adattitkosítási kulcs titkosítása.
  • unwrapKey: Az adattitkosítási kulcs visszafejtése.

CMK-kulcs verziófrissítései

Az Azure DocumentDB-ben a CMK támogatja az automatikus kulcsverzió-frissítéseket, más néven verzió nélküli kulcsokat. Az Azure DocumentDB szolgáltatás automatikusan felveszi az új kulcsverziót, és újra titkosítja az adattitkosítási kulcsot. Ez a funkció kombinálható az Azure Key Vault autorotation funkciójával.

Megfontolások

Ha ügyfél által felügyelt kulcsot használ az adattitkosításhoz, kövesse az alábbi javaslatokat a Key Vault konfigurálásához:

• A kritikus erőforrás véletlen vagy jogosulatlan törlésének megakadályozása érdekében állítson be egy Azure-erőforrás-zárolást a Key Vaulton.
• Tekintse át és engedélyezze az Azure Key Vault rendelkezésre állási és redundancia-beállításait .
• A kulcsok tárolásához használt Azure Key Vault-példány naplózásának és riasztásának engedélyezése. A Key Vault olyan naplókat biztosít, amelyek könnyen injektálhatóak más biztonsági információk és eseménykezelési (SIEM) eszközökbe. Az Azure Monitor-naplók egy példa egy már integrált szolgáltatásra.
• A kulcs automatikus kiírásának engedélyezése. Az Azure DocumentDB szolgáltatás mindig a kiválasztott kulcs legújabb verzióját veszi fel.
• Zárolja a Key Vault nyilvános hálózati hozzáférését a nyilvános hozzáférés letiltása és a megbízható Microsoft-szolgáltatások számára a tűzfal megkerülésének engedélyezésével.

Megjegyzés:

Miután a Nyilvános hozzáférés letiltása és a Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerülésére lehetőséget választotta, a következőhöz hasonló hibaüzenet jelenhet meg, amikor nyilvános hozzáféréssel próbálja felügyelni a Key Vaultot a portálon keresztül: "Engedélyezte a hálózati hozzáférés-vezérlést. Csak az engedélyezett hálózatok férhetnek hozzá ehhez a kulcstartóhoz." Ez a hiba nem zárja ki a kulcsok megadását az ügyfél által felügyelt kulcsok beállításakor vagy kulcsok lekérése során a Key Vaultból a fürtműveletek során.

• Őrizze meg az ügyfélkulcs egy példányát biztonságos helyen, vagy helyezze el egy letéti szolgáltatásban.
• Ha a Key Vault létrehozza a kulcsot, hozzon létre egy biztonsági másolatot a kulcs első használata előtt. A biztonsági mentést csak a Key Vaultba állíthatja vissza.

Kapcsolódó tartalom

• Az alábbi lépéseket követve engedélyezheti az inaktív adatok titkosítását az ügyfél által felügyelt kulccsal az Azure DocumentDB-ben
• CMK beállításának hibaelhárítása
• Adatok migrálása az Azure DocumentDB-be