Az Azure-titkosítás áttekintése

Ez a cikk áttekintést nyújt arról, hogyan használják a titkosítást a Microsoft Azure-ban. Lefedi a titkosítás fő területeit, beleértve a inaktív titkosítást, a repülés közbeni titkosítást és az Azure Key Vault kulcskezelését. Minden szakasz részletesebb információkra mutató hivatkozásokat tartalmaz.

Inaktív adatok titkosítása

Az inaktív adatok olyan információkat tartalmaznak, amelyek állandó tárolóban találhatók fizikai adathordozón, bármilyen digitális formátumban. Az adathordozók tartalmazhatnak mágneses vagy optikai adathordozón tárolt fájlokat, archivált adatokat és adatmentéseket. A Microsoft Azure különböző igényeknek megfelelő adattárolási megoldásokat kínál, például fájl-, lemez-, blob- és táblatárolót. A Microsoft titkosítást is biztosít a Azure SQL Database, az Azure Cosmos DB és az Azure Data Lake védelméhez.

Az inaktív adattitkosítás a szolgáltatott szoftver (SaaS), a szolgáltatásként nyújtott platform (PaaS) és a szolgáltatásként nyújtott infrastruktúra (IaaS) felhőmodelljei számára érhető el. Ez a cikk összefoglalja és erőforrásokat biztosít az Azure-titkosítási lehetőségek használatához.

A inaktív adatok Azure-ban történő titkosításának részletesebb ismertetését lásd: Azure Data Encryption-at-Rest.

Azure-titkosítási modellek

Az Azure különböző titkosítási modelleket támogat, például a kiszolgálóoldali titkosítást, amely szolgáltatás által felügyelt kulcsokat, Key Vault ügyfél által felügyelt kulcsokat vagy ügyfél által felügyelt kulcsokat használ az ügyfél által vezérelt hardveren. Ügyféloldali titkosítás esetén a kulcsok a helyszínen vagy más biztonságos helyen kezelhetők és tárolhatók.

Ügyféloldali titkosítás

Az ügyféloldali titkosítás az Azure-on kívül történik. A következőket tartalmazza:

• Az ügyfél adatközpontjában vagy egy szolgáltatásalkalmazásban futó alkalmazás által titkosított adatok.
• Az azure-beli fogadáskor már titkosított adatok.

Ügyféloldali titkosítás esetén a felhőszolgáltatók nem férnek hozzá a titkosítási kulcsokhoz, és nem tudják visszafejteni ezeket az adatokat. A kulcsok teljes vezérlését fenntartja.

Kiszolgálóoldali titkosítás

A három kiszolgálóoldali titkosítási modell különböző kulcskezelési jellemzőket kínál, amelyeket a követelményeknek megfelelően választhat:

• Szolgáltatás által felügyelt kulcsok: A vezérlés és a kényelem kombinációját biztosítja alacsony többletterheléssel.

• Ügyfél által felügyelt kulcsok: Szabályozhatja a kulcsokat, beleértve a Saját kulcsok (BYOK) támogatását, vagy lehetővé teszi új kulcsok létrehozását.

• Szolgáltatás által felügyelt kulcsok az ügyfél által vezérelt hardverben: Lehetővé teszi a kulcsok kezelését a saját tulajdonú adattárban, a Microsoft-vezérlőn kívül. Ezt a jellemzőt a Saját kulcs gazdagépének (HYOK) nevezik. A konfiguráció azonban összetett, és a legtöbb Azure-szolgáltatás nem támogatja ezt a modellt.

Azure-lemeztitkosítás

A felügyelt lemezeket a DM-Cryptet használó Linux rendszerű virtuális gépekhez készült Azure Disk Encryption vagy a Windows BitLockert használó Windows rendszerű virtuális gépek Azure Disk Encryption használatával védheti meg az operációsrendszer-lemezeket és az adatlemezeket teljes kötetes titkosítással.

A titkosítási kulcsok és titkos kulcsok az Azure Key Vault-előfizetésben vannak védve. A Azure Backup szolgáltatás használatával biztonsági másolatot készíthet és visszaállíthat a kulcstitkosítási kulcs (KEK) konfigurációját használó titkosított virtuális gépekről.

Azure Storage-szolgáltatás titkosítása

Az Azure Blob Storage-ban és az Azure-fájlmegosztásokban inaktív adatok kiszolgálóoldali és ügyféloldali forgatókönyvekben is titkosíthatók.

Az Azure Storage Service Encryption (SSE) a tárolás előtt automatikusan titkosítja az adatokat, és a lekéréskor automatikusan visszafejti az adatokat. A folyamat teljesen átlátható a felhasználók számára. A Storage Service Encryption 256 bites Advanced Encryption Standard (AES) titkosítást használ, amely az egyik legerősebb blokkfelfedés. Az AES transzparensen kezeli a titkosítást, a visszafejtést és a kulcskezelést.

Azure-blobok ügyféloldali titkosítása

Az Azure-blobok ügyféloldali titkosítását többféleképpen is elvégezheti.

Az Azure Storage.NET NuGet-csomaghoz készült Azure Storage-ügyfélkódtár használatával titkosíthatja az ügyfélalkalmazások adatait, mielőtt feltöltené azokat az Azure Storage-ba.

Az Azure Storage .NET NuGet-csomaghoz készült ügyfélkódtárával kapcsolatos további információkért és letöltésért lásd: Windows Azure Storage 8.3.0.

Ha ügyféloldali titkosítást használ Key Vault, az adatok titkosítása egy egyszeri szimmetrikus tartalomtitkosítási kulcs (CEK) használatával történik, amelyet az Azure Storage ügyféloldali SDK hoz létre. A CEK titkosítása kulcstitkosítási kulcs (KEK) használatával történik, amely lehet szimmetrikus kulcs vagy aszimmetrikus kulcspár. Kezelheti helyileg, vagy tárolhatja Key Vault. A titkosított adatok ezután feltöltődnek az Azure Storage-ba.

Ha többet szeretne megtudni az ügyféloldali titkosításról Key Vault, és ismerkedjen meg az útmutatóval, olvassa el az Oktatóanyag: Blobok titkosítása és visszafejtése az Azure Storage-ban Key Vault használatával című témakört.

Végül az Azure Storage Java-hoz készült ügyfélkódtárával ügyféloldali titkosítást is végrehajthat, mielőtt adatokat tölt fel az Azure Storage-ba, és visszafejtheti az adatokat, amikor letölti azokat az ügyfélre. Ez a kódtár a tárfiókkulcs-kezelés Key Vault integrációját is támogatja.

Inaktív adatok titkosítása Azure SQL Database használatával

Azure SQL Database egy általános célú relációs adatbázis-szolgáltatás az Azure-ban, amely olyan struktúrákat támogat, mint a relációs adatok, a JSON, a térbeli és az XML. SQL Database támogatja a kiszolgálóoldali titkosítást az Transzparens adattitkosítás (TDE) funkcióval, valamint az ügyféloldali titkosítást a Always Encrypted funkcióval.

Transzparens adattitkosítás

A TDE a SQL Server, Azure SQL Adatbázis és Azure Synapse Analytics-adatfájlok valós idejű titkosítására szolgál egy adatbázis-titkosítási kulcs (DEK) használatával, amelyet az adatbázis rendszerindítási rekordjában tárolnak a helyreállítás során rendelkezésre állás érdekében.

A TDE az AES és a Triple Data Encryption Standard (3DES) titkosítási algoritmusok használatával védi az adatokat és a naplófájlokat. Az adatbázisfájl titkosítása az oldal szintjén történik. A titkosított adatbázisban lévő lapok titkosítva vannak, mielőtt a lemezre írnák őket, és visszafejtik őket, amikor a memóriába olvassák őket. A TDE alapértelmezés szerint engedélyezve van az újonnan létrehozott Azure SQL adatbázisokon.

Always Encrypted funkció

A Azure SQL Always Encrypted funkciójával titkosíthatja az adatokat az ügyfélalkalmazásokban, mielőtt azokat Azure SQL Database-ben tárolhatja. Engedélyezheti a helyszíni adatbázis-felügyelet harmadik felek számára történő delegálását is, és elkülönítheti azokat, akik rendelkeznek az adatokkal, és megtekinthetik azokat, illetve azok, akik kezelik azokat, de nem férhetnek hozzá.

Cellaszintű vagy oszlopszintű titkosítás

A Azure SQL Database használatával szimmetrikus titkosítást alkalmazhat egy adatoszlopra a Transact-SQL használatával. Ezt a módszert cellaszintű titkosításnak vagy oszlopszintű titkosításnak (CLE) nevezik, mert használatával különböző titkosítási kulcsokkal titkosíthat bizonyos oszlopokat vagy akár adott adatcellát is. Ezzel részletesebb titkosítási képességet biztosít, mint a TDE, amely az oldalak adatait titkosítja.

A CLE beépített függvényekkel rendelkezik, amelyekkel szimmetrikus vagy aszimmetrikus kulcsokkal, tanúsítvány nyilvános kulcsával vagy 3DES-t használó jelszóval titkosíthatja az adatokat.

Azure Cosmos DB-adatbázis titkosítása

Az Azure Cosmos DB a Microsoft globálisan elosztott, többmodelles adatbázisa. Az Azure Cosmos DB-ben nem illékony tárolókban (SSD-meghajtókon) tárolt felhasználói adatok alapértelmezés szerint titkosítva lesznek. Nincs olyan vezérlő, amely be- vagy kikapcsolható lenne. A inaktív titkosítás számos biztonsági technológia használatával valósul meg, beleértve a biztonságos kulcstároló rendszereket, a titkosított hálózatokat és a titkosítási API-kat. A titkosítási kulcsokat a Microsoft kezeli, és a Microsoft belső irányelvei szerint elforgatják. Másik lehetőségként hozzáadhat egy második titkosítási réteget az ügyfél által kezelt kulcsokkal vagy CMK-funkcióval kezelt kulcsokkal .

Inaktív állapotú titkosítás a Data Lake-ben

Az Azure Data Lake egy nagyvállalati szintű adattár, amely a követelmények vagy sémák formális meghatározása előtt egyetlen helyen gyűjtött összes adattípust tartalmazza. A Data Lake Store alapértelmezés szerint támogatja a inaktív adatok transzparens titkosítását, amely a fiók létrehozásakor van beállítva. Alapértelmezés szerint az Azure Data Lake Store kezeli a kulcsokat, de ön is kezelheti őket.

Az adatok titkosításához és visszafejtéséhez három kulcstípus használható: a fő titkosítási kulcs (MEK), az adattitkosítási kulcs (DEK) és a blokktitkosítási kulcs (BEK). A MEK az állandó adathordozón tárolt DEK titkosítására szolgál, a BEK pedig a DEK-ból és az adatblokkból származik. Ha saját kulcsokat kezel, elforgathatja a MEK-t.

Az átvitel alatt álló adatok titkosítása

Az Azure számos mechanizmust kínál az adatok privát állapotban tartására, miközben az egyik helyről a másikra kerül.

Data-link Layer titkosítás az Azure-ban

Amikor az Azure-ügyfélforgalom az adatközpontok között mozog – a Microsoft által nem szabályozott fizikai határokon kívül (vagy a Microsoft nevében) – az IEEE 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazza a rendszer pontról pontra a mögöttes hálózati hardveren. A csomagok az elküldés előtt titkosítva vannak az eszközökön, megakadályozva a fizikai "ember a közepén" vagy a snooping/wiretapping támadásokat. Mivel ez a technológia magában a hálózati hardverben van integrálva, a hálózati hardveren a vonalsebesség titkosítását biztosítja, és nincs mérhető kapcsolatkésés-növekedés. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között közlekedő összes Azure-forgalom esetében, és az ügyfelek részéről nincs szükség beavatkozásra az engedélyezéshez.

TLS-titkosítás az Azure-ban

A Microsoft lehetővé teszi az ügyfelek számára a Transport Layer Security (TLS) protokoll használatát az adatok védelmére a felhőszolgáltatások és az ügyfelek közötti utazás során. A Microsoft adatközpontjai TLS-kapcsolatot egyeztetnek az Azure-szolgáltatásokhoz csatlakozó ügyfélrendszerekkel. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen behatolásának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint a könnyű üzembe helyezést és használatot.

A Perfect Forward Secrecy (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. A kapcsolatok RSA-alapú, 2048 bites titkosítási kulcshosszokat is használnak. Ez a kombináció megnehezíti az átvitt adatok elfogását és elérését.

Azure Storage-tranzakciók

Amikor a Azure Portal keresztül kommunikál az Azure Storage-ral, az összes tranzakció HTTPS-en keresztül történik. A Storage REST API-t HTTPS-en keresztül is használhatja az Azure Storage használatához. A HTTPS használatát kényszerítheti, amikor meghívja a REST API-kat a tárfiókok objektumainak eléréséhez a tárfiókhoz szükséges biztonságos átvitel engedélyezésével.

Az Azure Storage-objektumokhoz való hozzáférés delegálásához használható közös hozzáférésű jogosultságkódok (SAS) beállítással megadhatja, hogy csak a HTTPS protokoll használható a közös hozzáférésű jogosultságkódok használatakor. Ez a megközelítés biztosítja, hogy bárki, aki SAS-jogkivonatokkal rendelkező hivatkozásokat küld, a megfelelő protokollt használja.

A Azure Files megosztások eléréséhez használt SMB 3.0 támogatja a titkosítást, és Windows Server 2012 R2, Windows 8, Windows 8.1 és Windows 10 érhető el. Lehetővé teszi a régiók közötti hozzáférést, sőt az asztali hozzáférést is.

Az ügyféloldali titkosítás titkosítja az adatokat, mielőtt azokat elküldené az Azure Storage-példánynak, így titkosítva lesznek a hálózaton áthaladva.

SMB-titkosítás Azure-beli virtuális hálózatokon keresztül

Az SMB 3.0 Windows Server 2012 vagy újabb rendszerű virtuális gépeken való használatával biztonságossá teheti az adatátvitelt az Azure-beli virtuális hálózatokon keresztüli átvitel során. Az adatok titkosításával védelmet nyújt az illetéktelen módosításokkal és a lehallgatási támadásokkal szemben. A rendszergazdák engedélyezhetik az SMB-titkosítást a teljes kiszolgálóhoz vagy csak bizonyos megosztásokhoz.

Alapértelmezés szerint ha egy megosztás vagy kiszolgáló SMB-titkosítása be van kapcsolva, csak az SMB 3.0-ügyfelek férhetnek hozzá a titkosított megosztásokhoz.

Átvitel közbeni titkosítás virtuális gépeken

A Windows rendszert futtató virtuális gépekre átvitt, onnan érkező és közötti adatok a kapcsolat jellegétől függően többféleképpen titkosíthatók.

RDP-munkamenetek

A virtuális géphez a Távoli asztali protokoll (RDP) használatával csatlakozhat és jelentkezhet be Windows-ügyfélszámítógépről vagy Mac gépről, amelyen telepítve van egy RDP-ügyfél. Az RDP-munkamenetekben a hálózaton átvitt adatok TLS-védelem alatt állnak.

A Távoli asztal használatával linuxos virtuális géphez is csatlakozhat az Azure-ban.

Linux rendszerű virtuális gépek biztonságos elérése SSH-val

A távfelügyelethez a Secure Shell (SSH) használatával csatlakozhat az Azure-ban futó Linux rendszerű virtuális gépekhez. Az SSH egy titkosított kapcsolati protokoll, amely biztonságos bejelentkezést tesz lehetővé a nem biztonságos kapcsolatokon keresztül. Ez az Azure-ban üzemeltetett Linux rendszerű virtuális gépek alapértelmezett kapcsolati protokollja. Ha SSH-kulcsokat használ a hitelesítéshez, nincs szükség jelszavakra a bejelentkezéshez. Az SSH nyilvános/titkos kulcspárt (aszimmetrikus titkosítást) használ a hitelesítéshez.

Azure VPN-titkosítás

Az Azure-hoz egy virtuális magánhálózaton keresztül csatlakozhat, amely biztonságos alagutat hoz létre a hálózaton keresztül küldött adatok adatvédelmének védelme érdekében.

Azure VPN-átjárók

Az Azure VPN Gateway használatával titkosított forgalmat küldhet a virtuális hálózat és a helyszíni hely között egy nyilvános kapcsolaton keresztül, vagy küldhet forgalmat a virtuális hálózatok között.

A helyek közötti VPN-ek IPsec-et használnak az átviteli titkosításhoz. Az Azure VPN-átjárók alapértelmezett javaslatok készletét használják. Az Azure VPN-átjárókat úgy konfigurálhatja, hogy az Azure alapértelmezett szabályzatkészletei helyett konkrét titkosítási algoritmusokkal és kulcserősségekkel rendelkező egyéni IPsec-/IKE-szabályzatokat használjanak.

Pont–hely VPN-ek

A pont–hely VPN-ek lehetővé teszik, hogy az egyes ügyfélszámítógépek hozzáférjenek egy Azure-beli virtuális hálózathoz. A Secure Socket Tunneling Protocol (SSTP) használatával hozza létre a VPN-alagutat. Tűzfalakat tud bejárásra (az alagút HTTPS-kapcsolatként jelenik meg). A pont–hely kapcsolatokhoz használhatja a saját belső nyilvános kulcsú infrastruktúráját (PKI) főtanúsítvány-szolgáltatóját (CA).

Pont–hely VPN-kapcsolatot konfigurálhat egy virtuális hálózathoz a Azure Portal tanúsítványhitelesítéssel vagy PowerShell-lel.

További információ az Azure-beli virtuális hálózatok pont–hely VPN-kapcsolatairól:

Pont–hely kapcsolat konfigurálása virtuális hálózathoz hitelesítés használatával: Azure Portal

Pont–hely kapcsolat konfigurálása virtuális hálózathoz tanúsítványhitelesítés használatával: PowerShell

Helyek közötti VPN-ek

A helyek közötti VPN Gateway-kapcsolattal csatlakoztathatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz egy IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztül. Ehhez a kapcsolattípushoz olyan helyszíni VPN-eszközre van szükség, amelyhez külső elérésű nyilvános IP-cím van hozzárendelve.

A helyek közötti VPN-kapcsolatot a Azure Portal, a PowerShell vagy az Azure CLI használatával konfigurálhatja.

További információkért lásd:

Helyek közötti kapcsolat létrehozása a Azure Portal

Helyek közötti kapcsolat létrehozása a PowerShellben

Virtuális hálózat létrehozása helyek közötti VPN-kapcsolattal a parancssori felület használatával

Átvitel közbeni titkosítás a Data Lake-ben

Az átvitt adatok (azaz a mozgásban lévő adatok) titkosítása is mindig a Data Lake Store-ban történik. Amellett, hogy az adatokat az állandó adathordozón való tárolás előtt titkosítja, az adatok átvitele mindig HTTPS használatával történik. A HTTPS az egyetlen olyan protokoll, amely támogatott a Data Lake Store REST-felületeihez.

A Data Lake-ben átvitt adatok titkosításával kapcsolatos további információkért lásd: Adatok titkosítása a Data Lake Store-ban.

Kulcskezelés Key Vault

A kulcsok megfelelő védelme és kezelése nélkül a titkosítás használhatatlanná válik. Key Vault a Microsoft által ajánlott megoldás a felhőszolgáltatások által használt titkosítási kulcsokhoz való hozzáférés kezelésére és szabályozására. A kulcsok hozzáférési engedélyeit hozzárendelheti a szolgáltatásokhoz vagy a felhasználókhoz az Azure Active Directory-fiókokon keresztül.

A Key Vault leveszi a vállalatok válláról a hardveres biztonsági modulok (HSM-ek) és a kulcskezelő szoftverek konfigurálásának, frissítésének és karbantartásának terhét. A Key Vault használatakor ön tartja fenn az irányítást. A Microsoft soha nem látja a kulcsokat, és az alkalmazások nem rendelkeznek közvetlen hozzáféréssel hozzájuk. A HSM-ekben kulcsokat is importálhat vagy hozhat létre.

Következő lépések

• Az Azure biztonsági szolgáltatásainak áttekintése
• A nagyvállalati hálózati biztonság áttekintése
• Az Azure Database biztonsági áttekintése
• Az Azure-beli virtuális gépek biztonsági áttekintése
• Inaktív adattitkosítás
• Az adatbiztonsággal és a titkosítással kapcsolatos ajánlott eljárások