Az Azure-titkosítás áttekintése

Ez a cikk áttekintést nyújt arról, hogyan használják a titkosítást a Microsoft Azure-ban. Ismerteti a titkosítás főbb területeit, beleértve a inaktív titkosítást, a repülés közbeni titkosítást és az Azure Key Vault kulcskezelését. Minden szakasz részletesebb információkra mutató hivatkozásokat tartalmaz.

A tárolt adatok titkosítása

A inaktív adatok olyan információkat tartalmaznak, amelyek állandó tárolóban találhatók fizikai adathordozón, bármilyen digitális formátumban. Az adathordozó tartalmazhat mágneses vagy optikai adathordozón tárolt fájlokat, archivált adatokat és adatmentéseket. A Microsoft Azure különféle adattárolási megoldásokat kínál a különböző igények kielégítésére, beleértve a fájl-, lemez-, blob- és táblatárolót. A Microsoft titkosítást is biztosít az Azure SQL Database, az Azure Cosmos DB és az Azure Data Lake védelméhez.

Az inaktív adattitkosítás a szolgáltatott szoftver (SaaS), a szolgáltatásként nyújtott platform (PaaS) és az infrastruktúra szolgáltatásként (IaaS) felhőmodelljeihez érhető el. Ez a cikk összefoglalja és forrásokat biztosít az Azure-titkosítási lehetőségek használatához.

A inaktív adatok Azure-beli titkosításának részletesebb ismertetését lásd: Azure Data Encryption-at-Rest.

Azure-titkosítási modellek

Azure-támogatás különböző titkosítási modelleket használ, beleértve a kiszolgálóoldali titkosítást, amely szolgáltatás által felügyelt kulcsokat, ügyfél által felügyelt kulcsokat használ a Key Vaultban, vagy ügyfél által felügyelt kulcsokat az ügyfél által vezérelt hardveren. Ügyféloldali titkosítás esetén a kulcsok a helyszínen vagy más biztonságos helyen kezelhetők és tárolhatók.

Ügyféloldali titkosítás

Az ügyféloldali titkosítás az Azure-on kívül történik. Tartalma:

• Az ügyfél adatközpontjában vagy egy szolgáltatásalkalmazásban futó alkalmazás által titkosított adatok.
• Az Azure-ból érkező adatok már titkosítva lesznek.

Ügyféloldali titkosítás esetén a felhőszolgáltatók nem férnek hozzá a titkosítási kulcsokhoz, és nem tudják visszafejteni ezeket az adatokat. A kulcsok teljes körű vezérlését fenntartja.

Kiszolgálóoldali titkosítás

A három kiszolgálóoldali titkosítási modell különböző kulcskezelési jellemzőket kínál, amelyeket a követelményeknek megfelelően választhat:

• Szolgáltatás által felügyelt kulcsok: A vezérlés és a kényelem kombinációját biztosítja alacsony terheléssel.

• Ügyfél által kezelt kulcsok: Szabályozhatja a kulcsokat, beleértve a Saját kulcsok (BYOK) támogatását, vagy lehetővé teszi új kulcsok létrehozására.

• Szolgáltatás által felügyelt kulcsok az ügyfél által vezérelt hardverben: Lehetővé teszi a kulcsok kezelését a saját tulajdonú adattárban, a Microsoft-vezérlőn kívül. Ezt a jellemzőt saját gazdakulcsnak (HYOK) nevezzük. A konfiguráció azonban összetett, és a legtöbb Azure-szolgáltatás nem támogatja ezt a modellt.

Azure-lemeztitkosítás

A felügyelt lemezek védelméhez használja a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptiont, amely a DM-Cryptet vagy a Windows BitLockert használó Windows rendszerű virtuális gépekhez készült Azure Disk Encryptiont használja, hogy teljes kötettitkosítással védje az operációsrendszer-lemezeket és az adatlemezeket is.

A titkosítási kulcsokat és titkos kulcsokat az Azure Key Vault-előfizetése védi. Az Azure Backup szolgáltatással biztonsági másolatot készíthet és visszaállíthat a kulcstitkosítási kulcs (KEK) konfigurációját használó titkosított virtuális gépeket (VM-eket).

Azure Storage Service Encryption

Az Azure Blob Storage-ban és az Azure-fájlmegosztásokban inaktív adatok kiszolgálóoldali és ügyféloldali forgatókönyvekben is titkosíthatók.

Az Azure Storage Service Encryption (S Standard kiadás) képes automatikusan titkosítani az adatokat a tárolás előtt, és a lekéréskor automatikusan visszafejti az adatokat. A folyamat teljesen átlátható a felhasználók számára. A Storage Service Encryption 256 bites Advanced Encryption Standard (AES) titkosítást használ, amely az egyik legerősebb elérhető blokktitkosítás. Az AES transzparensen kezeli a titkosítást, a visszafejtést és a kulcskezelést.

Azure-blobok ügyféloldali titkosítása

Az Azure-blobok ügyféloldali titkosítása többféleképpen is elvégezhető.

Az Azure Storage .NET NuGet-csomaghoz készült ügyfélkódtárával titkosíthatja az ügyfélalkalmazások adatait, mielőtt feltöltené azokat az Azure Storage-ba.

Az Azure Storage .NET NuGet-csomaghoz készült ügyfélkódtárával kapcsolatos további információkért és letöltésért lásd: Windows Azure Storage 8.3.0.

Ha ügyféloldali titkosítást használ a Key Vaulttal, az adatok titkosítása egyszeri szimmetrikus tartalomtitkosítási kulcs (CEK) használatával történik, amelyet az Azure Storage ügyféloldali SDK hoz létre. A CEK titkosítása kulcstitkosítási kulccsal (KEK) történik, amely lehet szimmetrikus kulcs vagy aszimmetrikus kulcspár. Kezelheti helyileg, vagy tárolhatja a Key Vaultban. A titkosított adatok ezután fel lesznek töltve az Azure Storage-ba.

Ha többet szeretne megtudni az ügyféloldali titkosításról a Key Vaulttal, és ismerkedjen meg az útmutatóval, olvassa el az oktatóanyagot: Blobok titkosítása és visszafejtése az Azure Storage-ban a Key Vault használatával.

Végül az Azure Storage Java-ügyfélkódtárával ügyféloldali titkosítást is végrehajthat, mielőtt adatokat tölt fel az Azure Storage-ba, és visszafejtheti az adatokat, amikor letölti azokat az ügyfélre. Ez a tár a Key Vaulttal való integrációt is támogatja a tárfiók kulcskezeléséhez.

Inaktív adatok titkosítása az Azure SQL Database-lel

Az Azure SQL Database egy általános célú relációsadatbázis-szolgáltatás az Azure-ban, amely olyan struktúrákat támogat, mint a relációs adatok, a JSON, a térbeli és az XML. Az SQL Database támogatja a kiszolgálóoldali titkosítást a transzparens adattitkosítás (TDE) funkcióval, valamint az ügyféloldali titkosítást az Always Encrypted szolgáltatáson keresztül.

Transzparens adattitkosítás

A TDE-t az SQL Server, az Azure SQL Database és az Azure Synapse Analytics adatfájlok valós idejű titkosítására használják egy adatbázistitkosítási kulcs (DEK) használatával, amelyet az adatbázis rendszerindítási rekordjában tárolnak a rendelkezésre állás érdekében a helyreállítás során.

A TDE az AES és a Triple Data Encryption Standard (3DES) titkosítási algoritmusok használatával védi az adatokat és a naplófájlokat. Az adatbázisfájl titkosítása az oldal szintjén történik. A titkosított adatbázisok lapjai titkosítva vannak, mielőtt lemezre írnának, és visszafejtik őket, amikor beolvassa őket a memóriába. A TDE alapértelmezés szerint engedélyezve van az újonnan létrehozott Azure SQL-adatbázisokon.

Always Encrypted funkció

Az Azure SQL Always Encrypted funkciójával az ügyfélalkalmazásokban lévő adatokat az Azure SQL Database-ben való tárolás előtt titkosíthatja. Engedélyezheti a helyszíni adatbázis-felügyelet harmadik felek számára történő delegálását is, és különválaszthatja azokat, akik rendelkeznek az adatokkal, és megtekinthetik azokat, és akik kezelik őket, de nem férhetnek hozzá.

Cellaszintű vagy oszlopszintű titkosítás

Az Azure SQL Database használatával szimmetrikus titkosítást alkalmazhat egy adatoszlopra a Transact-SQL használatával. Ezt a módszert cellaszintű titkosításnak vagy oszlopszintű titkosításnak (CLE) nevezzük, mivel használatával titkosíthat bizonyos oszlopokat vagy akár adott adatcellákat különböző titkosítási kulcsokkal. Ezzel részletesebb titkosítási képességet biztosít, mint a TDE, amely oldalak adatait titkosítja.

A CLE beépített függvényeket használ az adatok titkosításához szimmetrikus vagy aszimmetrikus kulcsokkal, egy tanúsítvány nyilvános kulcsával vagy egy 3DES-t használó jelszóval.

Azure Cosmos DB-adatbázis titkosítása

Az Azure Cosmos DB a Microsoft globálisan elosztott, többmodelles adatbázisa. Az Azure Cosmos DB-ben nem felejtő tárolóban (szilárd állapotú meghajtókon) tárolt felhasználói adatok alapértelmezés szerint titkosítva lesznek. Nincs olyan vezérlő, amely be- vagy kikapcsolható lenne. A inaktív titkosítás számos biztonsági technológia használatával implementálható, beleértve a biztonságos kulcstároló rendszereket, a titkosított hálózatokat és a titkosítási API-kat. A titkosítási kulcsokat a Microsoft kezeli, és a Microsoft belső irányelvei szerint forgatják. Igény szerint hozzáadhat egy második titkosítási réteget az ügyfél által kezelt kulcsokkal vagy CMK-funkcióval kezelt kulcsokkal.

Inaktív titkosítás a Data Lake-ben

Az Azure Data Lake egy nagyvállalati szintű adattár, amely minden olyan adattípust egyetlen helyen gyűjt, amely a követelmények vagy sémák bármilyen formális meghatározása előtt van összegyűjtve. A Data Lake Store támogatja az inaktív adatok "alapértelmezés szerint" transzparens titkosítását, amely a fiók létrehozásakor van beállítva. Alapértelmezés szerint az Azure Data Lake Store kezeli a kulcsokat, de ön is kezelheti őket.

Az adatok titkosításához és visszafejtéséhez három kulcstípus használható: a főtitkosítási kulcs (MEK), az adattitkosítási kulcs (DEK) és a blokktitkosítási kulcs (BEK). A MEK az állandó adathordozón tárolt DEK titkosítására szolgál, a BEK pedig a DEK-ból és az adatblokkból származik. Ha saját kulcsokat kezel, elforgathatja a MEK-t.

Az átvitel alatt álló adatok titkosítása

Az Azure számos mechanizmust kínál az adatok bizalmasan tartására, miközben az egyik helyről a másikra kerül.

Data-link Layer titkosítás az Azure-ban

Amikor az Azure-ügyfélforgalom az adatközpontok között mozog – a Microsoft által nem ellenőrzött fizikai határokon kívül (vagy a Microsoft nevében) – az I Enterprise kiadás E 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazza a rendszer pontról pontra a mögöttes hálózati hardveren. A csomagok elküldése előtt titkosítva vannak az eszközökön, megakadályozva a fizikai "középen belüli" vagy a lehallgatási/lehallgatási támadásokat. Mivel ez a technológia magában a hálózati hardverben van integrálva, a hálózati hardveren vonalsebesség-titkosítást biztosít, és nincs mérhető kapcsolat késése. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között utazó összes Azure-forgalom esetében, és az ügyfelek részéről nincs szükség műveletre az engedélyezéshez.

TLS-titkosítás az Azure-ban

A Microsoft lehetővé teszi az ügyfelek számára a Transport Layer Security (TLS) protokoll használatát az adatok védelméhez, amikor a felhőszolgáltatások és az ügyfelek között utaznak. A Microsoft adatközpontjai TLS-kapcsolatot egyeztetnek az Azure-szolgáltatásokhoz csatlakozó ügyfélrendszerekkel. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen behatolásának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és a használat egyszerűségét.

A Perfect Forward Secrecy (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. Csatlakozás az RSA-alapú 2048 bites titkosítási kulcshosszokat is használják. Ez a kombináció megnehezíti az átvitt adatok elfogását és elérését.

Azure Storage-tranzakciók

Amikor az Azure Portalon keresztül kommunikál az Azure Storage-ral, az összes tranzakció HTTPS-en keresztül történik. A Storage REST API-t HTTPS-en keresztül is használhatja az Azure Storage használatához. A HTTPS használatát kényszerítheti, amikor meghívja a REST API-kat a tárfiókok objektumainak eléréséhez a tárfiókhoz szükséges biztonságos átvitel engedélyezésével.

Az Azure Storage-objektumokhoz való hozzáférés delegálására használható közös hozzáférésű jogosultságkódok (SAS) közé tartozik egy beállítás, amellyel megadhatja, hogy csak a HTTPS protokoll használható közös hozzáférésű jogosultságkódok használata esetén. Ez a megközelítés biztosítja, hogy bárki, aki SAS-jogkivonatokkal rendelkező hivatkozásokat küld, a megfelelő protokollt használja.

Az Azure Files-megosztások eléréséhez használt SMB 3.0 támogatja a titkosítást, és elérhető a Windows Server 2012 R2, a Windows 8, a Windows 8.1 és a Windows 10 rendszerben. Lehetővé teszi a régiók közötti hozzáférést, és akár az asztali hozzáférést is.

Az ügyféloldali titkosítás titkosítja az adatokat, mielőtt elküldené őket az Azure Storage-példánynak, így titkosítva lesznek a hálózaton áthaladva.

SMB-titkosítás Azure-beli virtuális hálózatokon

Az SMB 3.0 Windows Server 2012 vagy újabb rendszerű virtuális gépeken való használatával biztonságossá teheti az adatátvitelt az Azure-beli virtuális hálózatokon áthaladó adatok titkosításával. Az adatok titkosításával védelmet nyújthat a illetéktelen beavatkozással és a lehallgatási támadásokkal szemben. Rendszergazda istratorok engedélyezhetik az SMB-titkosítást a teljes kiszolgálóhoz vagy csak bizonyos megosztásokhoz.

Ha egy megosztás vagy kiszolgáló SMB-titkosítása be van kapcsolva, alapértelmezés szerint csak az SMB 3.0-ügyfelek férhetnek hozzá a titkosított megosztásokhoz.

Átvitel közbeni titkosítás virtuális gépeken

A Windows rendszert futtató virtuális gépekre átvitt adatok a kapcsolat jellegétől függően többféleképpen titkosíthatók.

RDP-munkamenetek

A virtuális géphez a Távoli asztali protokoll (RDP) használatával csatlakozhat és bejelentkezhet Egy Windows-ügyfélszámítógépről, vagy macről, amelyen telepítve van egy RDP-ügyfél. Az RDP-munkamenetekben a hálózaton áthaladó adatok TLS-sel védhetők.

A Távoli asztal használatával linuxos virtuális géphez is csatlakozhat az Azure-ban.

Linux rendszerű virtuális gépek biztonságos elérése SSH-val

A távfelügyelethez a Secure Shell (SSH) használatával csatlakozhat az Azure-ban futó Linux rendszerű virtuális gépekhez. Az SSH egy titkosított kapcsolati protokoll, amely biztonságos bejelentkezést tesz lehetővé a nem biztonságos kapcsolatokon keresztül. Ez az Azure-ban üzemeltetett Linux rendszerű virtuális gépek alapértelmezett kapcsolati protokollja. Ha SSH-kulcsokat használ a hitelesítéshez, nincs szükség jelszavakra a bejelentkezéshez. Az SSH egy nyilvános/privát kulcspárt (aszimmetrikus titkosítást) használ a hitelesítéshez.

Azure VPN-titkosítás

Az Azure-hoz egy virtuális magánhálózaton keresztül csatlakozhat, amely biztonságos alagutat hoz létre a hálózaton keresztül küldött adatok védelméhez.

Azure VPN-átjárók

Az Azure VPN Gateway használatával titkosított forgalmat küldhet a virtuális hálózat és a helyszíni hely között egy nyilvános kapcsolaton keresztül, vagy küldhet forgalmat a virtuális hálózatok között.

A helyek közötti VPN-ek az IPsec-et használják az átviteli titkosításhoz. Az Azure VPN-átjárók alapértelmezett javaslatok készletét használják. Az Azure VPN-átjárókat úgy konfigurálhatja, hogy egyéni IPsec-/IKE-szabályzatokat használjon meghatározott titkosítási algoritmusokkal és kulcserősségekkel az Azure alapértelmezett szabályzatkészletei helyett.

Pont–hely VPN-ek

A pont–hely VPN-ek lehetővé teszik az egyes ügyfélszámítógépek számára az Azure-beli virtuális hálózathoz való hozzáférést. A Secure Socket Tunneling Protocol (SSTP) a VPN-alagút létrehozásához használható. Képes a tűzfalak közötti forgalomra (az alagút HTTPS-kapcsolatként jelenik meg). A pont–hely kapcsolathoz használhatja saját belső nyilvános kulcsú infrastruktúráját (PKI) főtanúsítvány-szolgáltatóját (CA).

Pont–hely VPN-kapcsolatot konfigurálhat egy virtuális hálózathoz az Azure Portal tanúsítványhitelesítéssel vagy PowerShell-lel való használatával.

Az Azure-beli virtuális hálózatok pont–hely VPN-kapcsolataival kapcsolatos további információkért lásd:

Pont–hely kapcsolat konfigurálása virtuális hálózathoz hitelesítéssel: Azure Portal

Pont–hely kapcsolat konfigurálása virtuális hálózathoz tanúsítványhitelesítéssel: PowerShell

Helyek közötti VPN-ek

Helyek közötti VPN-átjárókapcsolattal csatlakoztathatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz egy IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztül. Ehhez a kapcsolattípushoz olyan helyszíni VPN-eszköz szükséges, amelyhez külső elérésű nyilvános IP-cím van hozzárendelve.

A helyek közötti VPN-kapcsolatot az Azure Portal, a PowerShell vagy az Azure CLI használatával konfigurálhatja egy virtuális hálózathoz.

További információkért lásd:

Helyek közötti kapcsolat létrehozása az Azure Portalon

Helyek közötti kapcsolat létrehozása a PowerShellben

Virtuális hálózat létrehozása helyek közötti VPN-kapcsolattal a parancssori felület használatával

Átvitel közbeni titkosítás a Data Lake-ben

Az átvitt adatok (azaz a mozgásban lévő adatok) titkosítása is mindig a Data Lake Store-ban történik. Amellett, hogy az adatokat az állandó adathordozón való tárolás előtt titkosítja, az adatok átvitele is mindig https használatával történik. A HTTPS az egyetlen olyan protokoll, amely támogatott a Data Lake Store REST-felületeihez.

A Data Lake-ben átvitt adatok titkosításáról további információt a Data Lake Store-ban található adatok titkosítása című témakörben talál.

Kulcskezelés a Key Vaulttal

A kulcsok megfelelő védelme és kezelése nélkül a titkosítás használhatatlanná válik. A Key Vault a Microsoft által ajánlott megoldás a felhőszolgáltatások által használt titkosítási kulcsokhoz való hozzáférés kezelésére és szabályozására. A kulcsok elérésére vonatkozó engedélyek hozzárendelhetők a szolgáltatásokhoz vagy a felhasználókhoz a Microsoft Entra-fiókokon keresztül.

A Key Vault leveszi a vállalatok válláról a hardveres biztonsági modulok (HSM-ek) és a kulcskezelő szoftverek konfigurálásának, frissítésének és karbantartásának terhét. A Key Vault használata esetén fenntartja az irányítást. A Microsoft soha nem látja a kulcsait, és az alkalmazások nem rendelkeznek közvetlen hozzáféréssel hozzájuk. A HSM-ekben kulcsokat is importálhat vagy hozhat létre.

Következő lépések

• Az Azure biztonsági szolgáltatásainak áttekintése
• Az Azure-hálózat biztonsági áttekintése
• Az Azure Database biztonsági áttekintése
• Az Azure-beli virtuális gépek biztonsági áttekintése
• Adattitkosítás inaktív állapotban
• Az adatbiztonsággal és a titkosítással kapcsolatos ajánlott eljárások