Adattitkosítási modellek

A különböző titkosítási modellek és azok előnyeinek és hátrányainak ismerete elengedhetetlen annak megértéséhez, hogy az Azure különböző erőforrás-szolgáltatói hogyan valósítják meg a titkosítást a Restben. Ezek a definíciók az Azure összes erőforrás-szolgáltatója között meg vannak osztva a közös nyelv és osztályozás biztosítása érdekében.

A kiszolgálóoldali titkosításnak három forgatókönyve van:

  • Kiszolgálóoldali titkosítás szolgáltatás által felügyelt kulcsokkal

    • Az Azure-erőforrás-szolgáltatók végzik a titkosítási és visszafejtési műveleteket
    • A Microsoft kezeli a kulcsokat
    • Teljes felhőfunkció
  • Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az Azure Key Vaultban

    • Az Azure-erőforrás-szolgáltatók végzik a titkosítási és visszafejtési műveleteket
    • Az ügyfél az Azure Key Vaulton keresztül vezérli a kulcsokat
    • Teljes felhőfunkció
  • Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az ügyfél által vezérelt hardveren

    • Az Azure-erőforrás-szolgáltatók végzik a titkosítási és visszafejtési műveleteket
    • Ügyfél által vezérelhető kulcsok az ügyfél által vezérelt hardveren
    • Teljes felhőfunkció

A kiszolgálóoldali titkosítási modellek az Azure szolgáltatás által végrehajtott titkosításra vonatkoznak. Ebben a modellben az erőforrás-szolgáltató elvégzi a titkosítási és visszafejtési műveleteket. Előfordulhat például, hogy az Azure Storage egyszerű szöveges műveletekben fogad adatokat, és belsőleg végzi el a titkosítást és a visszafejtést. Az erőforrás-szolgáltató a megadott konfigurációtól függően használhat olyan titkosítási kulcsokat, amelyeket a Microsoft vagy az ügyfél kezel.

Server

A rest modellek kiszolgálóoldali titkosítása a kulcskezelés megkülönböztető jellemzőit jelenti. Ez magában foglalja a titkosítási kulcsok létrehozásának és tárolásának helyét és módját, valamint a hozzáférési modelleket és a kulcsforgatási eljárásokat.

Ügyféloldali titkosítás esetén vegye figyelembe a következőket:

  • Az Azure-szolgáltatások nem látják a visszafejtett adatokat
  • Az ügyfelek a kulcsokat a helyszínen (vagy más biztonságos üzletekben) kezelik és tárolják. A kulcsok nem érhetők el az Azure-szolgáltatások számára
  • Csökkentett felhőfunkciók

Az Azure-ban támogatott titkosítási modellek két fő csoportra oszlanak: "Ügyféltitkosítás" és "Kiszolgálóoldali titkosítás" a korábban említett módon. A használt inaktív modell titkosításától függetlenül az Azure-szolgáltatások mindig egy biztonságos átvitel használatát javasolják, például a TLS-t vagy a HTTPS-t. Ezért az átviteli protokollnak foglalkoznia kell a szállítás titkosításával, és nem lehet jelentős tényező annak meghatározásában, hogy melyik titkosítást használja a rest modell.

Ügyféltitkosítási modell

Az ügyféltitkosítási modell olyan titkosítást jelent, amelyet a szolgáltatás vagy a hívó alkalmazás az erőforrás-szolgáltatón vagy az Azure-on kívül hajt végre. A titkosítást az Azure szolgáltatásalkalmazása vagy az ügyfél adatközpontjában futó alkalmazás végezheti el. Mindkét esetben a titkosítási modell használatakor az Azure Resource Provider egy titkosított adatblobot kap anélkül, hogy bármilyen módon visszafejtheti az adatokat, vagy hozzáférhet a titkosítási kulcsokhoz. Ebben a modellben a kulcskezelést a hívó szolgáltatás/alkalmazás végzi, és átlátszatlan az Azure-szolgáltatás számára.

Client

Kiszolgálóoldali titkosítás szolgáltatás által felügyelt kulcsokkal

Sok ügyfél esetében az alapvető követelmény az adatok titkosításának biztosítása, amikor azok inaktív állapotban vannak. A kiszolgálóoldali titkosítás szolgáltatás által felügyelt kulcsokkal lehetővé teszi ezt a modellt azáltal, hogy lehetővé teszi az ügyfelek számára az adott erőforrás (Tárfiók, SQL DB stb.) megjelölését a titkosításhoz, és minden kulcskezelési szempontot, például kulcskiállítást, rotációt és biztonsági mentést hagynak a Microsoftnak. A inaktív titkosítást támogató Legtöbb Azure-szolgáltatás általában támogatja ezt a modellt a titkosítási kulcsok Azure-ba való betöltésének kiszervezéséhez. Az Azure-erőforrás-szolgáltató létrehozza a kulcsokat, biztonságos tárolóba helyezi őket, és szükség esetén lekéri őket. Ez azt jelenti, hogy a szolgáltatás teljes hozzáféréssel rendelkezik a kulcsokhoz, és a szolgáltatás teljes mértékben szabályozza a hitelesítő adatok életciklusának kezelését.

managed

A kiszolgálóoldali titkosítás szolgáltatás által felügyelt kulcsokkal így gyorsan kielégíti az ügyfél számára alacsony terheléssel rendelkező inaktív titkosítás szükségességét. Ha elérhető, az ügyfél általában megnyitja az Azure Portalt a célelőfizetéshez és az erőforrás-szolgáltatóhoz, és ellenőrzi a jelölőnégyzetet, amely jelzi, hogy az adatok titkosítása szükséges. Egyes Erőforrás-kezelők kiszolgálóoldali titkosítása szolgáltatás által felügyelt kulcsokkal alapértelmezés szerint be van kapcsolva.

A Microsoft által felügyelt kulcsokkal történő kiszolgálóoldali titkosítás azt jelenti, hogy a szolgáltatás teljes hozzáféréssel rendelkezik a kulcsok tárolásához és kezeléséhez. Bár egyes ügyfelek azért szeretnének a kulcsokat kezelni, mert úgy érzik, hogy nagyobb biztonságot kapnak, a modell kiértékelésekor figyelembe kell venni az egyéni kulcstároló megoldással kapcsolatos költségeket és kockázatokat. A szervezetek sok esetben megállapíthatják, hogy egy helyszíni megoldás erőforrás-korlátozásai vagy kockázatai nagyobbak lehetnek, mint a inaktív kulcsok titkosításának felhőbeli felügyeletének kockázata. Ez a modell azonban nem feltétlenül elegendő azoknak a szervezeteknek, amelyek a titkosítási kulcsok létrehozásának vagy életciklusának szabályozására vonatkozó követelményekkel rendelkeznek, vagy hogy a szolgáltatás titkosítási kulcsait más személyzet kezeli, mint a szolgáltatást kezelők (azaz a kulcskezelés elkülönítése a szolgáltatás általános felügyeleti modelljétől).

Kulcshozzáférés

A kiszolgálóoldali titkosítás szolgáltatás által felügyelt kulcsokkal történő használata esetén a kulcslétrehozás, a tárolás és a szolgáltatáshozzáférés mind a szolgáltatás felügyelete alá tartozik. Az alapszintű Azure-erőforrás-szolgáltatók általában az adattitkosítási kulcsokat egy olyan tárolóban tárolják, amely közel van az adatokhoz, és gyorsan elérhetők és elérhetők, miközben a kulcstitkosítási kulcsok biztonságos belső tárolóban vannak tárolva.

Előnye

  • Egyszerű beállítás
  • A Microsoft kezeli a kulcsváltást, a biztonsági mentést és a redundanciát
  • Az ügyfél nem rendelkezik az egyéni kulcskezelési sémák implementálásával vagy kockázatával kapcsolatos költségekkel.

Hátrányai

  • Nincs ügyfél általi vezérlés a titkosítási kulcsok felett (kulcsspecifikáció, életciklus, visszavonás stb.)
  • Nem lehet elkülöníteni a kulcskezelést a szolgáltatás általános felügyeleti modelljétől

Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az Azure Key Vaultban

Olyan helyzetekben, ahol a követelmény az inaktív adatok titkosítása és a titkosítási kulcsok szabályozása, az ügyfelek kiszolgálóoldali titkosítást használhatnak a Key Vault ügyfél által felügyelt kulcsainak használatával. Egyes szolgáltatások csak a gyökérkulcs-titkosítási kulcsot tárolhatják az Azure Key Vaultban, és a titkosított adattitkosítási kulcsot az adatokhoz közelebbi belső helyen tárolhatják. Ebben a forgatókönyvben az ügyfelek saját kulcsokat hozhatnak a Key Vaultba (BYOK – Saját kulcs használata), vagy újakat hozhatnak létre, és titkosíthatják a kívánt erőforrásokat. Bár az erőforrás-szolgáltató elvégzi a titkosítási és visszafejtési műveleteket, a konfigurált kulcstitkosítási kulcsot használja gyökérkulcsként az összes titkosítási művelethez.

A kulcstitkosítási kulcsok elvesztése adatvesztést jelent. Ezért a kulcsokat nem szabad törölni. A kulcsokat minden létrehozáskor vagy elforgatáskor biztonsági másolatot kell készíteni. A helyreállítható törlési és törlési védelmet engedélyezni kell minden olyan tárolón, amely kulcstitkosítási kulcsokat tárol a véletlen vagy rosszindulatú titkosítási törlés elleni védelem érdekében. A kulcs törlése helyett ajánlott hamis értékre beállítani a kulcstitkosítási kulcson. Hozzáférés-vezérléssel visszavonhatja az egyes felhasználókhoz vagy szolgáltatásokhoz való hozzáférést az Azure Key Vaultban vagy a felügyelt HSM-ben.

Kulcshozzáférés

Az Azure Key Vaultban ügyfél által felügyelt kulcsokkal rendelkező kiszolgálóoldali titkosítási modell magában foglalja, hogy a szolgáltatás szükség szerint hozzáfér a kulcsokhoz a titkosításhoz és a visszafejtéshez. A rest kulcsok titkosítása hozzáférés-vezérlési szabályzattal érhető el a szolgáltatás számára. Ez a szabályzat hozzáférést biztosít a szolgáltatás identitásának a kulcs fogadásához. Egy társított előfizetés nevében futó Azure-szolgáltatás konfigurálható egy identitással az adott előfizetésben. A szolgáltatás képes Microsoft Entra-hitelesítést végezni, és megkapni egy hitelesítési jogkivonatot, amely azonosítja magát az előfizetés nevében eljáró szolgáltatásként. Ez a jogkivonat ezután bemutatható a Key Vaultnak egy olyan kulcs lekéréséhez, amelyhez hozzáférést kapott.

Titkosítási kulcsokkal végzett műveletek esetén a szolgáltatásidentitás a következő műveletek bármelyikéhez biztosítható: visszafejtés, titkosítás, unwrapKey, wrapKey, ellenőrzés, aláírás, lekérés, lista, frissítés, létrehozás, importálás, törlés, biztonsági mentés és visszaállítás.

Ha le szeretne szerezni egy kulcsot az adatok inaktív titkosításához vagy visszafejtéséhez, akkor a Resource Manager szolgáltatáspéldány által futtatott szolgáltatásidentitásnak tartalmaznia kell a UnwrapKey (a visszafejtéshez szükséges kulcs lekéréséhez) és a WrapKey (új kulcs létrehozásakor a kulcs kulcstartóba való beszúrásához).

Feljegyzés

A Key Vault engedélyezéséről az Azure Key Vault dokumentációjában talál további információt a kulcstartó biztonságossá tételéről.

Előnye

  • A használt kulcsok teljes felügyelete – a titkosítási kulcsok kezelése az ügyfél Key Vaultjában, az ügyfél felügyelete alatt zajlik.
  • Több szolgáltatás titkosításának lehetősége egy főkiszolgálóra
  • Elkülönítheti a kulcskezelést a szolgáltatás általános felügyeleti modelljétől
  • A szolgáltatás és a kulcs helyének meghatározása régiók között

Hátrányai

  • Az ügyfél teljes felelősséggel tartozik a kulcshozzáférés-kezelésért
  • Az ügyfél teljes felelősséggel tartozik a kulcsfontosságú életciklus-kezelésért
  • További beállítási és konfigurációs többletterhelés

Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az ügyfél által vezérelt hardverben

Egyes Azure-szolgáltatások engedélyezik a Saját kulcs (HYOK) kulcskezelési modelljét. Ez a felügyeleti mód olyan helyzetekben hasznos, amikor az inaktív adatok titkosítására és a kulcsok kezelésére a Microsoft által nem felügyelt védett adattárban van szükség. Ebben a modellben a szolgáltatásnak egy külső hely kulcsát kell használnia az adattitkosítási kulcs (DEK) visszafejtéséhez. A teljesítményre és a rendelkezésre állásra vonatkozó garanciák hatással vannak, és a konfiguráció összetettebb. Emellett, mivel a szolgáltatás a titkosítási és visszafejtési műveletek során hozzáfér a DEK-hoz, a modell általános biztonsági garanciái hasonlóak ahhoz, amikor a kulcsokat ügyfél kezeli az Azure Key Vaultban. Ennek eredményeképpen ez a modell a legtöbb szervezet számára nem megfelelő, kivéve, ha konkrét kulcskezelési követelményekkel rendelkeznek. Ezen korlátozások miatt a legtöbb Azure-szolgáltatás nem támogatja a kiszolgálóoldali titkosítást ügyfél által felügyelt kulcsok használatával az ügyfél által vezérelt hardverben. A Double Key Encryption két kulcsának egyike követi ezt a modellt.

Kulcshozzáférés

Ha a kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokat használ az ügyfél által vezérelt hardverben, a kulcstitkosítási kulcsok az ügyfél által konfigurált rendszeren maradnak fenn. A modellt támogató Azure-szolgáltatások biztonságos kapcsolatot biztosítanak az ügyfél által megadott kulcstárolóval.

Előnye

  • Teljes hozzáférés a használt gyökérkulcs felett – a titkosítási kulcsokat egy ügyfél által megadott tároló kezeli
  • Több szolgáltatás titkosításának lehetősége egy főkiszolgálóra
  • Elkülönítheti a kulcskezelést a szolgáltatás általános felügyeleti modelljétől
  • A szolgáltatás és a kulcs helyének meghatározása régiók között

Hátrányai

  • Teljes felelősség a kulcstárolásért, a biztonságért, a teljesítményért és a rendelkezésre állásért
  • Teljes körű felelősség a kulcshozzáférés-kezelésért
  • Teljes körű felelősség a kulcsfontosságú életciklus-kezelésért
  • Jelentős beállítási, konfigurációs és folyamatos karbantartási költségek
  • Az ügyfél-adatközpont és az Azure-adatközpontok közötti hálózati rendelkezésre állás megnövekedett függősége.

Támogató szolgáltatások

Az egyes titkosítási modelleket támogató Azure-szolgáltatások:

Termék, szolgáltatás vagy szolgáltatás Kiszolgálóoldali, szolgáltatás által felügyelt kulcs használata Kiszolgálóoldali, ügyfél által felügyelt kulcs használata Ügyféloldali, ügyfél által felügyelt kulcs használata
AI és gépi Tanulás
Azure AI Search Igen Igen -
Az Azure AI-szolgáltatásai Igen Igen, beleértve a felügyelt HSM-et is -
Azure Machine Learning Igen Igen -
Content Moderator Igen Igen, beleértve a felügyelt HSM-et is -
Face Igen Igen, beleértve a felügyelt HSM-et is -
Nyelvi elemzés Igen Igen, beleértve a felügyelt HSM-et is -
Azure OpenAI Igen Igen, beleértve a felügyelt HSM-et is -
Personalizer Igen Igen, beleértve a felügyelt HSM-et is -
QnA Maker Igen Igen, beleértve a felügyelt HSM-et is -
Beszédfelismerési szolgáltatások Igen Igen, beleértve a felügyelt HSM-et is -
Translator Text Igen Igen, beleértve a felügyelt HSM-et is -
Power BI Igen Igen, RSA 4096 bites -
Elemzés
Azure Stream Analytics Igen Igen**, beleértve a felügyelt HSM-et is -
Event Hubs Igen Igen -
Funkciók Igen Igen -
Azure Analysis Services Igen - -
Azure Data Catalog Igen - -
Azure HDInsight Igen Igen -
Azure Monitor-alkalmazás Elemzések Igen Igen -
Azure Monitor Log Analytics Igen Igen, beleértve a felügyelt HSM-et is -
Azure Adatkezelő Igen Igen -
Azure Data Factory Igen Igen, beleértve a felügyelt HSM-et is -
Azure Data Lake Store Igen Igen, RSA 2048 bites -
Containers
Azure Kubernetes Service Igen Igen, beleértve a felügyelt HSM-et is -
Tárolópéldányok Igen Igen -
Container Registry Igen Igen -
Számítás
Virtuális gépek Igen Igen, beleértve a felügyelt HSM-et is -
Virtuálisgép-méretezési csoport Igen Igen, beleértve a felügyelt HSM-et is -
SAP HANA Igen Igen -
App Service Igen Igen**, beleértve a felügyelt HSM-et is -
Automatizálás Igen Igen -
Azure Functions Igen Igen**, beleértve a felügyelt HSM-et is -
Azure Portalra Igen Igen**, beleértve a felügyelt HSM-et is -
Azure VMware Solution Igen Igen, beleértve a felügyelt HSM-et is -
Logic Apps Igen Igen -
Azure által felügyelt alkalmazások Igen Igen**, beleértve a felügyelt HSM-et is -
Szolgáltatásbusz Igen Igen -
Site Recovery Igen Igen -
Adatbázisok
SQL Server on Virtual Machines Igen Igen Igen
Azure SQL Database Igen Igen, RSA 3072 bites, beleértve a felügyelt HSM-et is Igen
Felügyelt Azure SQL-példány Igen Igen, RSA 3072 bites, beleértve a felügyelt HSM-et is Igen
Azure SQL Database for MariaDB Igen - -
Azure SQL Database for MySQL Igen Igen -
Azure SQL Database for PostgreSQL Igen Igen, beleértve a felügyelt HSM-et is -
Azure Synapse Analytics (dedikált SQL-készlet (korábban csak SQL DW) Igen Igen, RSA 3072 bites, beleértve a felügyelt HSM-et is -
SQL Server Stretch Database Igen Igen, RSA 3072 bites Igen
Table Storage Igen Igen Igen
Azure Cosmos DB Igen (további információ) Igen, beleértve a felügyelt HSM-et is (további információ és további információ) -
Azure Databricks Igen Igen, beleértve a felügyelt HSM-et is -
Azure Database Migration Service Igen N/A* -
Identitás
Microsoft Entra-azonosító Igen - -
Microsoft Entra tartományi szolgáltatások Igen Igen -
Integráció
Szolgáltatásbusz Igen Igen -
Event Grid Igen - -
API Management Igen - -
IoT-szolgáltatások
IoT hub Igen Igen Igen
IoT Hub eszközkiépítés Igen Igen -
Felügyelet és irányítás
Azure Managed Grafana Igen - n/a
Azure Site Recovery Igen - -
Azure Migrate Igen Igen -
Média
Media Services Igen Igen Igen
Biztonság
Microsoft Defender for IoT Igen Igen -
Microsoft Sentinel Igen Igen, beleértve a felügyelt HSM-et is -
Tárolás
Blob Storage Igen Igen, beleértve a felügyelt HSM-et is Igen
Premium Blob Storage Igen Igen, beleértve a felügyelt HSM-et is Igen
Disk Storage Igen Igen, beleértve a felügyelt HSM-et is -
Ultra Disk Storage Igen Igen, beleértve a felügyelt HSM-et is -
Managed Disk Storage Igen Igen, beleértve a felügyelt HSM-et is -
File Storage Igen Igen, beleértve a felügyelt HSM-et is -
File Premium Storage Igen Igen, beleértve a felügyelt HSM-et is -
Fájlszinkronizálás Igen Igen, beleértve a felügyelt HSM-et is -
Queue Storage Igen Igen, beleértve a felügyelt HSM-et is Igen
2. generációs Data Lake Storage Igen Igen, beleértve a felügyelt HSM-et is Igen
Avere vFXT Igen - -
Azure Cache for Redis Igen N/A* -
Azure NetApp Files Igen Igen Igen
Archive Storage Igen Igen -
StorSimple Igen Igen Igen
Azure Backup Igen Igen, beleértve a felügyelt HSM-et is Igen
Data Box Igen - Igen
Data Box Edge Igen Igen -
Egyéb
Azure Data Manager for Energy Preview Igen - Igen

* Ez a szolgáltatás nem őriz meg adatokat. Az átmeneti gyorsítótárak , ha vannak ilyenek, Microsoft-kulccsal vannak titkosítva.

** Ez a szolgáltatás támogatja az adatok tárolását a saját Key Vaultban, Tárfiókban vagy más adatmegőrzési szolgáltatásban, amely már támogatja a kiszolgálóoldali titkosítást ügyfél által felügyelt kulccsal.

Következő lépések