Megosztás a következőn keresztül:

Tudnivalók az Azure Elastic SAN titkosításáról

  • Cikk

Az Azure Elastic SAN kiszolgálóoldali titkosítást (S Standard kiadás) használ az Elastic SAN-ban tárolt adatok automatikus titkosításához. Az S Standard kiadás védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek.

Az Azure Elastic SAN-kötetekben lévő adatok titkosítása és visszafejtése transzparens módon történik 256 bites AES-titkosítással, amely az egyik legerősebb blokk-titkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure-adattitkosítás alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd : Cryptography API: Next Generation.

Az S Standard kiadás alapértelmezés szerint engedélyezve van, és nem tiltható le. Az S Standard kiadás nem tiltható le, nem befolyásolja a rugalmas san teljesítményét, és nincs hozzá további költsége.

Tudnivalók a titkosítási kulcsok kezeléséről

Kétféle titkosítási kulcs érhető el: platform által felügyelt és ügyfél által felügyelt kulcsok. A rugalmas SAN-kötetre írt adatok alapértelmezés szerint platform által felügyelt (Microsoft által felügyelt) kulcsokkal lesznek titkosítva. Ha szeretné, használhatja az ügyfél által felügyelt kulcsokat , ha konkrét szervezeti biztonsági és megfelelőségi követelményekkel rendelkezik.

Kötetcsoport konfigurálásakor választhat, hogy platform által felügyelt vagy ügyfél által felügyelt kulcsokat használ. A kötetcsoport összes kötete örökli a kötetcsoport konfigurációját. Az ügyfél által felügyelt és a platform által felügyelt kulcsok között bármikor válthat. Ha ezek között a kulcstípusok között vált, az Elastic SAN szolgáltatás újra titkosítja az adattitkosítási kulcsot az új KEK-vel. Az adattitkosítási kulcs védelme megváltozik, de a rugalmas SAN-kötetekben lévő adatok mindig titkosítva maradnak. Nincs szükség további műveletre az adatok védelmének biztosításához.

Felhasználó által kezelt kulcsok

Ha ügyfél által felügyelt kulcsokat használ, az azure key vaultot kell használnia a tárolásához.

Létrehozhat és importálhat saját RSA-kulcsokat , és tárolhatja őket az Azure Key Vaultban, vagy létrehozhat új RSA-kulcsokat az Azure Key Vault használatával. A kulcsok létrehozásához használhatja az Azure Key Vault API-kat vagy felügyeleti felületeket. Az Elastic SAN és a key vault különböző régiókban és előfizetésekben lehetnek, de ugyanabban a Microsoft Entra ID-bérlőben kell lenniük.

Az alábbi ábra bemutatja, hogy az Azure Elastic SAN hogyan használja a Microsoft Entra-azonosítót és egy kulcstartót a kérelmek ügyfél által felügyelt kulcs használatával történő végrehajtásához:

Az ügyfél által felügyelt kulcsok működését bemutató ábra az Azure Elastic SAN-ban.

Az alábbi lista a diagram számozott lépéseit ismerteti:

  1. Az Azure Key Vault rendszergazdája engedélyt ad egy felügyelt identitásnak a titkosítási kulcsokat tartalmazó kulcstartó eléréséhez. A felügyelt identitás lehet felhasználó által hozzárendelt identitás, amelyet Ön hoz létre és kezel, vagy a kötetcsoporthoz társított rendszer által hozzárendelt identitás.
  2. Az Azure Elastic SAN-kötetcsoport tulajdonosa a kötetcsoport ügyfél által felügyelt kulccsal konfigurálja a titkosítást.
  3. Az Azure Elastic SAN az 1. lépésben megadott felügyelt identitással hitelesíti a kulcstartóhoz való hozzáférést a Microsoft Entra-azonosítón keresztül.
  4. Az Azure Elastic SAN az adattitkosítási kulcsot az ügyfél által felügyelt kulccsal burkolja a kulcstartóból.
  5. Olvasási/írási műveletek esetén az Azure Elastic SAN kéréseket küld az Azure Key Vaultnak a fióktitkosítási kulcs titkosítási és visszafejtési műveletek végrehajtásához történő feloldásához.

Következő lépések