Titkosítás ügyfél által kezelt kulcsokkal Microsoft Cloud for Sovereignty

A megvalósítást Microsoft Cloud for Sovereignty tervező ügyfeleknek adattitkosítási funkciók használatára lehet szükségük az adatszuverenitási követelmények teljesítéséhez. A szigorú adatszuverenitási követelményekkel rendelkező ügyfeleknek terveket kell kidolgozniuk a kulcskezelés felhőben való megvalósításához. Ez a cikk útmutatást nyújt a felhőmérnököknek, a kriptográfiai rendszerek tulajdonosainak és más technikai döntéshozóknak a platformszintű titkosítás Azure-ban való megvalósításának tervének kidolgozásához. A titkosítás platformszintű tervezése általában magában foglalja a kulcskezelési követelmények azonosítását, a technológiai döntések meghozatalát, valamint a használni kívánt Azure-szolgáltatások terveinek és konfigurációs lehetőségeinek kiválasztását. Ez a folyamat három területen foglal magában technikai döntéseket:

• Kulcskezelési követelmények meghatározása: Mit kell tennie a szervezetnek a bizalmas ügyféladatok és a bizalmas kriptográfiai anyagok védelme érdekében?
• Adattitkosítási funkciók kiválasztása az ügyféladatok védelméhez: Hogyan, hol és mikor kell titkosítani az ügyféladatokat az Azure-ban?
• Kulcskezelési megoldások kiválasztása az ügyfélkulcsok védelméhez: Milyen kulcstárolót kell használnia az Azure-beli ügyféladatok titkosításához használt adattitkosítási kulcsok védelméhez?

Kulcskezelési követelmények meghatározása

A kulcskezelésre vonatkozó követelmények magukban foglalhatják a használt titkosítási szolgáltatásokkal kapcsolatos technikai követelményeket, valamint a teljesítménnyel, biztonsággal és szuverenitással kapcsolatos működési követelményeket. Az Azure-beli számítási feladatokban lévő adatok titkosításának időpontjára és módjára vonatkozó döntések meghozatalának ajánlott kiindulópontja a szervezet adatbesorolási rendszere. Azáltal, hogy a titkosítási követelményeket konkrét rendszerek vagy megoldások helyett az adatbesorolásokhoz igazítja, a szervezetek rugalmasabban választhatják ki az optimális titkosítási szintet a számítási feladatok migrálásának tervezése során.

A titkosítási követelmények adatbesorolásra való alapozása rétegzett megközelítést is lehetővé tesz, ahol az alacsonyabb kritikusságú számítási feladatok egyszerűbb megoldásokat használhatnak, miközben a legösszetettebb konfigurációkat a magasabb szintű inherens kockázattal járó számítási feladatokhoz tartják fenn. Erre a megközelítésre példa lehet, ha engedélyezi a Microsoft által kezelt kulcsok használatát a tárfiókok titkosításához a fejlesztési környezetekben, miközben az éles tárfiókoknak ügyfél által kezelt titkosítási kulcsokat kell használniuk.

Miután a szervezet egyértelműen megértette, hogy a titkosítási követelmények hogyan kapcsolódnak az adatbesorolásukhoz, megkezdheti a használni kívánt Azure-szolgáltatások funkcióinak kiválasztását. Ezen funkciók némelyike másképp működhet, mint a hasonló helyszíni rendszerek, ezért a szervezeteknek javasoljuk, hogy ismerkedjenek meg a titkosítás Azure-beli működésével, és tekintsék át a titkosítási megoldások tervezésére vonatkozó javaslatokat és ajánlott eljárásokat. A következő cikkek további perspektívákat nyújtanak az ügyfelek által meghozandó technikai döntésekről, és hasznos kiindulópontként szolgálhatnak a szervezet felhőbeli kulcskezelési célkitűzéseiről szóló beszélgetés megkezdéséhez.

• Szuverén követelmények kiértékelése
• Adatbesorolási javaslatok
• Titkosítás és kulcskezelés az Azure-ban
• Jól megtervezett keretrendszer-titkosítási javaslatok

Adattitkosítási funkciók kiválasztása

Számos Azure-szolgáltatás lehetővé teszi a titkosítást olyan kulcsokkal, amelyeket teljes egészében az Azure hoz létre, tárol és kezel, ügyfél-beavatkozás nélkül. Ezek a platform által felügyelt kulcsok segíthetnek a szervezeteknek a titkosítás megvalósításában kevés működési terheléssel. Előfordulhat azonban, hogy a szigorú adatszuverenitási követelményekkel rendelkező ügyfeleknek konkrét platformtitkosítási funkciókat kell kiválasztaniuk a bizalmas adatok védelme érdekében, miközben egy adott Azure-szolgáltatásban inaktív állapotban vannak.

A rendkívül bizalmas adatok esetében számos gyakran használt Azure-szolgáltatás lehetővé teszi az ügyfelek számára, hogy dupla titkosítást valósítsanak meg az ügyfél által kezelt kulcsok (CMK) használatával. Az ügyfél által kezelt kulcsok Azure-szolgáltatásokban való megvalósítása segíthet az ügyfeleknek megvédeni az ezekben a szolgáltatásokban tárolt adatokat a jogosulatlan hozzáféréstől.

Az ügyfél által kezelt kulcsok Azure-ban való megvalósítása növelheti a számítási feladatok költségeit és összetettségét, ezért a szervezeteknek javasoljuk, hogy minden számítási feladathoz és adatbesorolási szinthez értékeljék ki ennek a funkciónak a szükségességét. Ha csak a szükséges számítási feladatokhoz és adattípusokhoz implementálja az ügyfél által kezelt kulcsokat, csökkentheti a bizalmas adatokat nem kezelő számítási feladatok működési terhelését.

Ha ügyfél által kezelt kulcsokra van szükség, azokat minden egyes Azure-szolgáltatáshoz konfigurálni kell. A szervezetek segíthetnek az üzembe helyezés vagy az áttelepítés megtervezésében azáltal, hogy szervezeti szintű szabványokat és megismételhető tervezési mintákat hoznak létre ezeknek a funkcióknak a megvalósításához. A következő cikkek további információt nyújtanak arról, hogyan konfigurálható az inaktív adatok titkosítása az Azure-ban:

• További információ az Azure Storage Encryption inaktív adatokhoz való titkosításáról
• A platform által kezelt kulcsok és az ügyfél által kezelt kulcsok ismertetése

Megtudhatja, hogyan konfigurálhatja a gyakran használt Azure-szolgáltatásokat az inaktív adatok ügyfél által kezelt kulcsokkal való titkosításához:

• A CMK használata tárfiókokkal
• CMK használata bizalmas számítástechnikában AMD bizalmas virtuális gépekkel
• A CMK használata virtuális gép felügyelt lemezekkel
• A CMK használata az Azure SQL DB-vel
• A CMK használata az Azure-ral Cosmos DB
• A CMK használata Azure Monitor

Kulcskezelési megoldások kiválasztása

Míg az olyan funkciók, mint az ügyfél által kezelt kulcsokkal való kettős titkosítás, segíthetnek megvédeni az Azure-szolgáltatásokban karbantartott ügyféladatokat, a felhőalapú kulcskezelési megoldások segítenek megvédeni a titkosítási kulcsokat és a bizalmas adatok titkosításához használt egyéb titkosítási anyagokat. A szigorú adatszuverenitási követelményekkel rendelkező ügyfeleknek a biztonsági igényeik és a számítási feladatok kockázati profilja alapján kell kiválasztaniuk a megfelelő kulcskezelési megoldást.

A bizalmas adatokat kezelő számítási feladatok kihasználhatják az Azure által felügyelt HSM-hez hasonló megoldások által nyújtott további biztonságot, beleértve a FIPS-140-2 3. szintű ellenőrzött hardveres biztonsági modulokat, amelyek további biztonsági vezérlőkkel rendelkeznek a tárolt titkosítási anyagok védelme érdekében.

A következő cikkek útmutatást nyújtanak az ügyfelek számára az azonosított forgatókönyveknek megfelelő kulcstároló kiválasztásához. Arról is tájékoztatást nyújt, hogy a Microsoft hogyan kezeli az ügyfelek által a titkosítási megoldás részeként használt titkosítási szolgáltatásokat.

• Kulcskezelési megoldás kiválasztása
• Kulcsfontosságú szuverenitás

Műveleti modellek kulcskezeléshez

Azure Key Vault szerepköralapú hozzáférés-vezérlést különböző módokon valósítja meg, attól függően, hogy a Azure Key Vault vagy Azure Key Vault HSM standard/prémium szintjét használja. Ezek a hozzáférés-vezérlési különbségek hatással lehetnek arra, hogy a szervezet hogyan használja ezeket a funkciókat. Ez a szakasz ezeket a különbségeket ismerteti, és azt, hogy ezek hogyan befolyásolhatják azt, ahogyan a szervezet a felhőalapú kulcskezeléshez szükséges működési folyamatokat tervezi.

A FIPS-140 3. szintű érvényesítés megfelelőségi korlátozásai

FIPS-140 A 3. szintű érvényesítéshez identitásalapú operátorazonosítás szükséges. Ezeket a biztonsági intézkedéseket a rendszer az Azure-beli Key Vault szolgáltatásokat támogató mögöttes HSM-hardveren helyezi üzembe és érvényesíti. Ennek eredményeképpen a Azure Key Vault RBAC-funkciói a mögöttes hardver RBAC-képességeitől függenek.

Azure Key Vault HSM kihasználja a hardverszinten megvalósított helyi RBAC-hozzárendeléseket, és lehetővé teszi a szerepkör-hozzárendeléseket a biztonsági tartomány hatókörében (például HSM-szinten) vagy kulcsonként. Ez azt jelenti, hogy a kulcsok létrehozásához rendszergazdai engedélyekre van szükség a teljes biztonsági tartományra vonatkozóan, mivel még nem létező kulcshoz nem lehet engedélyeket hozzárendelni. Ennek a kialakításnak az a hatása, hogy mindenkinek, akinek kulcsot kell tárolnia egy mHSM-példányban, vagy teljes körű engedélyekkel kell rendelkeznie az adott biztonsági tartományban tárolt összes kulcshoz, vagy kulcsokat kell kérnie egy központi csapattól, amely rendelkezik a szükséges engedélyekkel a biztonsági tartományban. Ez elmozdulást jelent a Azure Key Vault útmutatóhoz képest, amely azt javasolja, hogy minden alkalmazáshoz külön kulcstartókat hozzon létre.

Kulcskezelési műveletek felügyelt HSM Azure Key Vault

A kulcskezelés működési folyamatainak fejlesztése érdekében az ügyfeleknek meg kell határozniuk, hogy szükségük van-e Azure Key Vault felügyelt HSM-re a megoldásarchitektúra részeként. A felügyelt HSM használatát tervező szervezeteknek először meg kell ismerkedniük a felügyelethez és a titkosítási műveletekhez használt hozzáférés-vezérlési modellekkel, és meg kell érteniük a szerepköralapú hozzáférés-vezérlés hozzárendelésének módját.

További információ a felügyelt HSM hozzáférés-vezérléséről:

• Felügyelt HSM hozzáférés-vezérlés
• Adatsík szerepkör-kezelése felügyelt HSM-hez
• Beépített RBAC-szerepkörök és engedélyezett műveletek felügyelt HSM-hez

A HSM Azure Key Vault tervezni kívánó szervezeteknek át kell tekinteniük a beépített RBAC-szerepkörök és a felügyelt HSM engedélyezett műveleteinek listáját, és kifejezetten meg kell tervezniük a következő üzemeltetési forgatókönyvek kezelését:

• Új kulcs létrehozása a felügyelt HSM-ben
• Meglévő kulcs felügyeleti műveletei a vezérlősík használatával, például kulcsfrissítések vagy kulcsrotáció
• Meglévő kulcs adatsíkbeli használata alkalmazás vagy szolgáltatás által

Jelenleg az új kulcsok létrehozásához szükséges engedélyek hozzárendelésének egyetlen módja egy olyan Crypto User szerepkör hozzárendelése, amely más engedélyeket is tartalmaz, például a kulcsrotációt és a törlést. Ennek eredményeképpen ha megadja az alkalmazáscsapat tagjának a saját kulcsok létrehozásához szükséges engedélyeket a felügyelt HSM-ben, valószínűleg megsértheti a legkevesebb jogosultsági alapelvet, mivel a felhasználó rendszergazdai engedélyekkel is rendelkezik a HSM összes kulcsához. Ez a probléma megoldható egy emelt szintű engedélyekkel rendelkező központosított csapat bevezetésével, amely megkönnyítheti a kulcslétrehozási kérelmeket, vagy olyan automatizálás bevezetésével, amely megkönnyítheti az új kulcslétrehozási kérelmeket a felügyelt HSM-REST API kihasználó informatikai szolgáltatáskezelési folyamatokon keresztül.

Kapcsolódó tartalom

• Azure Data Encryption at-rest
• Azure Key Vault
• Azure Key Vault biztonság