Crittografia dei dati in Azure DocumentDB

Tutti i dati gestiti da Azure DocumentDB vengono sempre crittografati a riposo. Tali dati includono tutti i database di sistema e utente, i file temporanei, i log e i backup.

Crittografia dei dati inattivi con chiave gestita dal servizio (SMK) o chiave gestita dal cliente (CMK)

Azure DocumentDB supporta due modalità di crittografia dei dati inattivi: chiavi gestite dal servizio (SMK) e chiavi gestite dal cliente (CMK). La crittografia dei dati con chiavi gestite dal servizio è la modalità predefinita per Azure DocumentDB. In questa modalità, il servizio gestisce automaticamente le chiavi di crittografia usate per crittografare i dati. Non è necessario eseguire alcuna azione per abilitare o gestire la crittografia in questa modalità.

Nella modalità chiavi gestite dal cliente è possibile usare la propria chiave di crittografia per crittografare i dati. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso. È necessario distribuire il proprio Azure Key Vault e configurarlo per archiviare le chiavi di crittografia usate dal cluster di Azure DocumentDB.

La modalità di configurazione può essere selezionata solo in fase di creazione del cluster. Non può essere modificato da una modalità a un'altra per la durata del cluster.

Per ottenere la crittografia dei dati, Azure DocumentDB usa la crittografia lato server di Archiviazione di Azure per i dati inattivi. Quando si usa CMK, si è responsabili della fornitura di chiavi per crittografare e decrittografare i dati nei servizi di archiviazione di Azure. Queste chiavi devono essere archiviate in Azure Key Vault.

Vantaggi offerti da ogni modalità (SMK o CMK)

La crittografia dei dati con chiavi gestite dal servizio per Azure DocumentDB offre i vantaggi seguenti:

• Il servizio controlla automaticamente e completamente l'accesso ai dati.
• Il servizio controlla automaticamente e completamente il ciclo di vita della chiave, inclusa la rotazione della chiave.
• Non è necessario preoccuparsi della gestione delle chiavi di crittografia dei dati.
• La crittografia dei dati basata sulle chiavi gestite dal servizio non influisce negativamente sulle prestazioni dei carichi di lavoro.
• Semplifica la gestione delle chiavi di crittografia (inclusa la rotazione regolare) e la gestione delle identità usate per accedere a tali chiavi.

La crittografia dei dati con chiavi gestite dal cliente per Azure DocumentDB offre i vantaggi seguenti:

• È possibile controllare completamente l'accesso ai dati. È possibile revocare una chiave per rendere un database inaccessibile.
• È possibile controllare completamente il ciclo di vita di una chiave per allinearsi ai criteri aziendali.
• È possibile gestire e organizzare centralmente tutte le chiavi di crittografia nelle proprie istanze di Azure Key Vault.
• La crittografia dei dati basata sulle chiavi gestite dal cliente non influisce negativamente sulle prestazioni dei carichi di lavoro.
• È possibile implementare la separazione dei compiti tra i responsabili della sicurezza, gli amministratori di database e gli amministratori di sistema.

Requisiti della chiave gestita dal cliente

Con la chiave di crittografia gestita dal cliente si assume tutta la responsabilità della manutenzione dei componenti correttamente configurati necessari al funzionamento della chiave gestita dal cliente (CMK). Di conseguenza, è necessario distribuire un'istanza di Azure Key Vault e fornire un'identità gestita assegnata dall'utente. È necessario generare o importare la propria chiave. È necessario concedere le autorizzazioni necessarie per Key Vault, in modo che Azure DocumentDB possa eseguire le azioni necessarie sulla chiave. È necessario occuparsi della configurazione di tutti gli aspetti di rete dell'insieme di credenziali delle chiavi di Azure in cui viene mantenuta la chiave, in modo che l'istanza di Azure DocumentDB possa accedere alla chiave. Anche il controllo dell'accesso alla chiave è responsabilità dell'utente.

Quando si configurano chiavi gestite dal cliente per un cluster Azure DocumentDB per MonogDB, Archiviazione di Azure esegue il wrapping della chiave DEK radice per l'account con la chiave gestita dal cliente nell'insieme di credenziali delle chiavi associato. La protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure rimangono sempre crittografati. Non è necessaria alcuna azione aggiuntiva da parte dell'utente per assicurarsi che i dati rimangano crittografati. La protezione da chiavi gestite dal cliente diventa effettiva immediatamente.

Azure Key Vault è un sistema di gestione delle chiavi esterno basato sul cloud. È a disponibilità elevata e offre risorse di archiviazione scalabili e sicure per le chiavi crittografiche RSA. Un insieme di credenziali delle chiavi non consente l'accesso diretto a una chiave archiviata, ma offre servizi di crittografia e decrittografia alle entità autorizzate. Key Vault può generare la chiave, importarla o riceverla trasferita da un dispositivo HSM locale.

Di seguito è riportato l'elenco dei requisiti e delle raccomandazioni per la configurazione della crittografia dei dati per Azure DocumentDB:

Insieme di credenziali delle chiavi

L'insieme di credenziali delle chiavi usato per la configurazione della chiave gestita dal cliente deve soddisfare i requisiti seguenti:

• Key Vault e Azure DocumentDB devono appartenere allo stesso tenant di Microsoft Entra.
• Raccomandazione: impostare l'impostazione Giorni per conservare gli insiemi di credenziali eliminati per Key Vault su 90 giorni. Questa impostazione di configurazione può essere definita solo in fase di creazione dell'insieme di credenziali delle chiavi. Dopo aver creato un'istanza, non è possibile modificare questa impostazione.
• Abilitare la soft-deletefunzionalità nell'insieme di credenziali delle chiavi per facilitare la protezione dalla perdita di dati, se una chiave o un'istanza dell'insieme di credenziali delle chiavi viene eliminata accidentalmente. Key Vault conserva le risorse eliminate temporaneamente per 90 giorni, a meno che l'utente non recuperi o elimini le risorse nel frattempo. Le azioni di ripristino e eliminazione hanno le proprie autorizzazioni associate a un insieme di credenziali delle chiavi, a un ruolo controllo degli accessi in base al ruolo o a un'autorizzazione dei criteri di accesso. La funzionalità di eliminazione temporanea è attivata per impostazione predefinita. Se si dispone di un insieme di credenziali delle chiavi distribuito molto tempo fa, potrebbe essere ancora disabilitato l'eliminazione temporanea. In tal caso, è possibile attivarlo.
• Abilita la protezione dall'eliminazione per imporre un periodo di conservazione obbligatorio per gli insiemi di credenziali e gli oggetti degli insiemi di credenziali eliminati.
• Configurare l'accesso alla rete per consentire al cluster di accedere alla chiave di crittografia nell'insieme di credenziali delle chiavi. Usare una delle opzioni di configurazione seguenti:
  • Consentire l'accesso pubblico da tutte le reti consente a tutti gli host su Internet di accedere all'insieme di credenziali delle chiavi.
  • Selezionare Disabilita accesso pubblico e Consenti ai servizi Microsoft attendibili di ignorare questo firewall per disabilitare tutti gli accessi pubblici, ma per consentire al cluster di accedere all'insieme di credenziali delle chiavi.

Chiave di crittografia

La chiave di crittografia selezionata per la configurazione della chiave gestita dal cliente deve soddisfare i requisiti seguenti:

• La chiave usata per crittografare la chiave di crittografia dei dati può essere solo asimmetrica, RSA o RSA-HSM. Sono supportate le dimensioni delle chiavi pari a 2.048, 3.072 e 4.096.
  • Raccomandazione: usare una chiave a 4.096 bit per maggiore sicurezza.
• La data e l'ora per l'attivazione della chiave (se impostata) devono essere passate. La data e l'ora di scadenza (se impostata) devono essere future.
• La chiave deve essere in stato Abilitato.
• Se si importa una chiave esistente in Azure Key Vault, specificarla nei formati di file supportati (.pfx, .byok o .backup).

Permissions

Concedere all'identità gestita assegnata dall'utente di Azure DocumentDB l'accesso alla chiave di crittografia:

• Preferito: Azure Key Vault deve essere configurato con il modello di autorizzazione controllo degli accessi in base al ruolo e all'identità gestita deve essere assegnato il ruolo utente di crittografia del servizio di crittografia Key Vault..
• Legacy: se Azure Key Vault è configurato con il modello di autorizzazione Criteri di accesso, concedere le autorizzazioni seguenti all'identità gestita:
  • ottenere: recuperare le proprietà e la parte pubblica della chiave in Key Vault.
  • list: per elencare e scorrere le chiavi archiviate in Key Vault.
  • wrapKey: per crittografare la chiave di crittografia dei dati.
  • unwrapKey: per decrittografare la chiave di crittografia dei dati.

Aggiornamenti delle versioni delle chiavi CMK

La chiave gestita dal cliente (CMK) in Azure DocumentDB supporta gli aggiornamenti automatici delle versioni delle chiavi, anche note come chiavi senza versione. Il servizio Azure DocumentDB rileva automaticamente la nuova versione della chiave e ri-crittografa la chiave di crittografia dei dati. Questa funzionalità può essere combinata con la funzionalità di autorotazione di Azure Key Vault.

Considerazioni

Quando si usa una chiave gestita dal cliente per la crittografia dei dati, seguire queste indicazioni per configurare Key Vault:

• Per impedire l'eliminazione accidentale o non autorizzata di questa risorsa critica, impostare un blocco delle risorse di Azure nell'insieme di credenziali delle chiavi.
• Esaminare e abilitare le opzioni di disponibilità e ridondanza di Azure Key Vault.
• Abilitare la registrazione e gli avvisi nell'istanza di Azure Key Vault usata per archiviare le chiavi. Key Vault include log che si inseriscono facilmente in altri strumenti di gestione di sicurezza delle informazioni e degli eventi (SIEM). Log di Monitoraggio di Azure è un esempio di servizio già integrato.
• Abilitare l'autorotazione della chiave. Il servizio Azure DocumentDB seleziona sempre la versione più recente della chiave selezionata.
• Bloccare l'accesso alla rete pubblica a Key Vault selezionando Disabilita accesso pubblico e Consenti ai servizi Microsoft attendibili di ignorare questo firewall.

Annotazioni

Dopo aver selezionato Disabilita accesso pubblico e Consenti ai servizi Microsoft attendibili di ignorare questo firewall, è possibile che venga visualizzato un errore simile al seguente quando si tenta di usare l'accesso pubblico per amministrare Key Vault tramite il portale: "È stato abilitato il controllo di accesso alla rete. Solo le reti consentite hanno accesso a questo insieme di credenziali delle chiavi." Questo errore non impedisce la possibilità di fornire chiavi durante l'installazione o il recupero di chiavi da Key Vault durante le operazioni del cluster.

• Conservare una copia della chiave gestita dal cliente in un luogo sicuro o depositarla in un servizio di deposito.
• Se Key Vault genera la chiave, crearne un backup prima di usarla per la prima volta. Il backup può essere ripristinato solo in Key Vault.

Contenuti correlati

• Seguire queste procedure per abilitare la crittografia dei dati a riposo con una chiave gestita dal cliente in Azure DocumentDB
• Risolvere i problemi di configurazione della chiave gestita dal cliente
• Eseguire la migrazione dei dati ad Azure DocumentDB