Tudnivalók az Azure Elastic SAN titkosításáról
Az Azure Elastic SAN kiszolgálóoldali titkosítást (SSE) használ az Elastic SAN-ban tárolt adatok automatikus titkosításához. Az SSE védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek.
Az Azure Elastic SAN-kötetekben lévő adatok titkosítása és visszafejtése transzparens módon történik 256 bites AES-titkosítással, amely az egyik legerősebb blokk-titkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure-adattitkosítás alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd : Cryptography API: Next Generation.
Az SSE alapértelmezés szerint engedélyezve van, és nem tiltható le. Az SSE nem tiltható le, nem befolyásolja a rugalmas san teljesítményét, és nem jár többletköltséggel.
Tudnivalók a titkosítási kulcsok kezeléséről
Kétféle titkosítási kulcs érhető el: platform által felügyelt és ügyfél által felügyelt kulcsok. A rugalmas SAN-kötetre írt adatok alapértelmezés szerint platform által felügyelt (Microsoft által felügyelt) kulcsokkal lesznek titkosítva. Ha szeretné, használhatja az ügyfél által felügyelt kulcsokat , ha konkrét szervezeti biztonsági és megfelelőségi követelményekkel rendelkezik.
Kötetcsoport konfigurálásakor választhat, hogy platform által felügyelt vagy ügyfél által felügyelt kulcsokat használ. A kötetcsoport összes kötete örökli a kötetcsoport konfigurációját. Az ügyfél által felügyelt és a platform által felügyelt kulcsok között bármikor válthat. Ha ezek között a kulcstípusok között vált, az Elastic SAN szolgáltatás újra titkosítja az adattitkosítási kulcsot az új KEK-vel. Az adattitkosítási kulcs védelme megváltozik, de a rugalmas SAN-kötetekben lévő adatok mindig titkosítva maradnak. Nincs szükség további műveletre az adatok védelmének biztosításához.
Felhasználó által kezelt kulcsok
Ha ügyfél által felügyelt kulcsokat használ, az azure key vaultot kell használnia a tárolásához.
Létrehozhat és importálhat saját RSA-kulcsokat , és tárolhatja őket az Azure Key Vaultban, vagy létrehozhat új RSA-kulcsokat az Azure Key Vault használatával. A kulcsok létrehozásához használhatja az Azure Key Vault API-kat vagy felügyeleti felületeket. Az Elastic SAN és a key vault különböző régiókban és előfizetésekben lehetnek, de ugyanabban a Microsoft Entra ID-bérlőben kell lenniük.
Az alábbi ábra bemutatja, hogy az Azure Elastic SAN hogyan használja a Microsoft Entra-azonosítót és egy kulcstartót a kérelmek ügyfél által felügyelt kulcs használatával történő végrehajtásához:
Az alábbi lista a diagram számozott lépéseit ismerteti:
- Az Azure Key Vault rendszergazdája engedélyt ad egy felügyelt identitásnak a titkosítási kulcsokat tartalmazó kulcstartó eléréséhez. A felügyelt identitás lehet felhasználó által hozzárendelt identitás, amelyet Ön hoz létre és kezel, vagy a kötetcsoporthoz társított rendszer által hozzárendelt identitás.
- Az Azure Elastic SAN-kötetcsoport tulajdonosa a kötetcsoport ügyfél által felügyelt kulccsal konfigurálja a titkosítást.
- Az Azure Elastic SAN az 1. lépésben megadott felügyelt identitással hitelesíti a kulcstartóhoz való hozzáférést a Microsoft Entra-azonosítón keresztül.
- Az Azure Elastic SAN az adattitkosítási kulcsot az ügyfél által felügyelt kulccsal burkolja a kulcstartóból.
- Olvasási/írási műveletek esetén az Azure Elastic SAN kéréseket küld az Azure Key Vaultnak a fióktitkosítási kulcs titkosítási és visszafejtési műveletek végrehajtásához történő feloldásához.