Azure-kryptering
Denne enheten gir en oversikt over hvordan kryptering brukes i Microsoft Azure. Den dekker de viktigste krypteringsområdene, inkludert kryptering i ro, kryptering i fly og nøkkeladministrasjon med Azure Key Vault. Hver inndeling inneholder koblinger til mer detaljert informasjon.
Kryptering av data i ro
Resten av dataene inneholder informasjon som befinner seg i fast lagring på fysiske medier, i alle digitale formater. Mediene kan inkludere filer på magnetiske eller optiske medier, arkiverte data og sikkerhetskopier av data. Microsoft Azure tilbyr en rekke datalagringsløsninger for å dekke ulike behov, inkludert fil, disk, blob og tabelllagring. Microsoft tilbyr også kryptering for å beskytte Azure SQL Database, Azure Cosmos DB og Azure Data Lake.
Datakryptering ved bruk av AES 256-datakryptering er tilgjengelig for tjenester på tvers av programvaren som en tjeneste (SaaS), plattform som en tjeneste (PaaS) og infrastruktur som en tjeneste (IaaS) skymodeller. Denne artikkelen oppsummerer og gir ressurser for å hjelpe deg med å bruke azure-krypteringsalternativene.
Hvis du vil ha en mer detaljert diskusjon om hvordan de restavhengige dataene krypteres i Azure, kan du se Azure Data Encryption-at-Rest.
Azure-krypteringsmodeller
Azure støtter ulike krypteringsmodeller, inkludert kryptering på serversiden som bruker tjenesteadministrerte nøkler, kundeadministrerte nøkler i Key Vault eller kundeadministrerte nøkler på kundestyrt maskinvare. Med kryptering på klientsiden kan du administrere og lagre nøkler lokalt eller på et annet sikkert sted.
Kryptering på klientsiden
Kryptering på klientsiden utføres utenfor Azure. Det inkluderer:
- Data kryptert av et program som kjører i kundens datasenter eller av et tjenesteprogram.
- Data som allerede er kryptert når de mottas av Azure.
Med kryptering på klientsiden har ikke skytjenesteleverandører tilgang til krypteringsnøklene og kan ikke dekryptere disse dataene. Du opprettholder fullstendig kontroll over nøklene.
Kryptering på serversiden
De tre krypteringsmodellene på serversiden tilbyr forskjellige egenskaper for nøkkeladministrasjon, som du kan velge i henhold til kravene dine:
- Tjenesteadministrerte nøkler: Gir en kombinasjon av kontroll og bekvemmelighet med lave kostnader.
- Kundeadministrerte nøkler: Gir deg kontroll over nøklene, inkludert støtte for Bring Your Own Keys (BYOK), eller lar deg generere nye.
- Tjenesteadministrerte nøkler i kundestyrt maskinvare: Lar deg administrere nøkler i det proprietære repositoriet, utenfor Microsoft-kontrollen. Denne egenskapen kalles Host Your Own Key (HYOK). Konfigurasjonen er imidlertid kompleks, og de fleste Azure-tjenester støtter ikke denne modellen.
Azure-diskkryptering
Alle administrerte disker, øyeblikksbilder og bilder krypteres ved hjelp av kryptering av lagringstjenesten ved hjelp av en tjenesteadministrert nøkkel. Azure tilbyr også alternativer for å beskytte midlertidige disker, hurtigbuffere og administrere nøkler i Azure Key Vault. Hvis du vil ha mer informasjon, kan du se Oversikt over alternativer for administrert diskkryptering.
Kryptering av Azure Storage-tjenesten
Data som er i ro i Azure Blob-lagring og Azure-fildelinger, kan krypteres både i scenarioer på serversiden og på klientsiden.
Azure Storage Service Encryption (SSE) kan automatisk kryptere data før de lagres, og dekrypterer dataene automatisk når du henter dem. Prosessen er helt gjennomsiktig for brukere. Storage Service Encryption bruker 256-biters Advanced Encryption Standard (AES)-kryptering, som er en av de sterkeste blokksitørene som er tilgjengelige. AES håndterer kryptering, dekryptering og viktig administrasjon gjennomsiktig.
Klientkryptering av Azure blobs
Du kan utføre kryptering på klientsiden av Azure Blobs på forskjellige måter.
Du kan bruke Azure Storage Client Library for .NET NuGet-pakken til å kryptere data i klientprogrammene før du laster det opp til Azure-lagringsplassen.
Hvis du vil lære mer om og laste ned Azure Storage Client Library for .NET NuGet-pakken, kan du se Windows Azure Storage 8.3.0.
Når du bruker kryptering på klientsiden med Key Vault, krypteres dataene ved hjelp av en engangs symmetrisk innholdskrypteringsnøkkel (CEK) som genereres av SDK-en for Azure Storage-klienten. CEK krypteres ved hjelp av en nøkkelkrypteringsnøkkel (KEK), som kan være enten en symmetrisk nøkkel eller et asymmetrisk nøkkelpar. Du kan administrere det lokalt eller lagre det i Key Vault. De krypterte dataene lastes deretter opp til Azure Storage.
Hvis du vil lære mer om kryptering på klientsiden med Key Vault og komme i gang med instruksjoner for fremgangsmåte, kan du se Opplæring: Kryptere og dekryptere blober i Azure Storage ved hjelp av Key Vault.
Til slutt kan du også bruke Azure Storage Client Library for Java til å utføre kryptering på klientsiden før du laster opp data til Azure Storage, og til å dekryptere dataene når du laster dem ned til klienten. Dette biblioteket støtter også integrering med Key Vault for nøkkeladministrasjon av lagringskonto.
Kryptering av data i ro med Azure SQL Database
Azure SQL Database er en generell relasjonsdatabasetjeneste i Azure som støtter strukturer som relasjonsdata, JSON, spatial og XML. SQL Database støtter både kryptering på serversiden via funksjonen Gjennomsiktig datakryptering (TDE) og kryptering på klientsiden via funksjonen Alltid kryptert.
Gjennomsiktig datakryptering
TDE brukes til å kryptere SQL Server-, Azure SQL Database- og Azure Synapse Analytics-datafiler i sanntid ved hjelp av en databasekrypteringsnøkkel (DEK), som lagres i databasens oppstartspost for tilgjengelighet under gjenoppretting.
TDE beskytter data og loggfiler ved hjelp av krypteringsalgoritmer for AES og Triple Data Encryption Standard (3DES). Kryptering av databasefilen utføres på sidenivå. Sidene i en kryptert database krypteres før de skrives til disken og dekrypteres når de leses i minnet. TDE er nå aktivert som standard på nyopprettede Azure SQL-databaser.
Alltid kryptert funksjon
Med funksjonen Alltid kryptert i Azure SQL kan du kryptere data i klientprogrammer før du lagrer dem i Azure SQL Database. Du kan også aktivere delegering av lokal databaseadministrasjon til tredjeparter og opprettholde fordelingen mellom de som eier og kan vise dataene og de som administrerer dem, men ikke skal ha tilgang til dem.
Kryptering på cellenivå eller kolonnenivå
Med Azure SQL Database kan du bruke symmetrisk kryptering på en kolonne med data ved hjelp av Transact-SQL. Denne fremgangsmåten kalles kryptering på cellenivå eller kryptering på kolonnenivå (CLE), fordi du kan bruke den til å kryptere bestemte kolonner eller bestemte dataceller med forskjellige krypteringsnøkler. Dette gir deg mer detaljert krypteringsfunksjonalitet enn TDE, som krypterer data på sider.
CLE har innebygde funksjoner som du kan bruke til å kryptere data ved hjelp av symmetriske eller asymmetriske nøkler, fellesnøkkelen for et sertifikat eller en passfrase ved hjelp av 3DES.
Azure Cosmos DB-databasekryptering
Azure Cosmos DB er Microsofts globalt distribuerte database med flere modeller. Brukerdata som er lagret i Azure Cosmos DB i ikke-flyktig lagring (heldekkende stasjoner) krypteres som standard. Det finnes ingen kontroller for å aktivere eller deaktivere den. Kryptering i ro implementeres ved hjelp av en rekke sikkerhetsteknologier, inkludert sikre viktige lagringssystemer, krypterte nettverk og kryptografiske API-er. Krypteringsnøkler administreres av Microsoft og roterer i henhold til interne retningslinjer for Microsoft. Du kan også velge å legge til et andre lag med kryptering med nøkler du klarer å bruke kundeadministrerte nøkler eller CMK-funksjon .
Restkryptering i Data Lake
Azure Data Lake er et enterprise-omfattende repositorium for alle typer data som samles inn på ett sted før en formell definisjon av krav eller skjema. Data Lake Store støtter «på som standard», gjennomsiktig kryptering av data i ro, som konfigureres under opprettingen av kontoen din. Som standard administrerer Azure Data Lake Store nøklene for deg, men du har muligheten til å administrere dem selv.
Tre typer nøkler brukes til å kryptere og dekryptere data: MASTER Encryption Key (MEK), Data Encryption Key (DEK) og Block Encryption Key (BEK). MEK brukes til å kryptere DEK, som er lagret på faste medier, og BEK er avledet fra DEK og datablokken. Hvis du administrerer dine egne nøkler, kan du rotere MEK-en.
Kryptering av data i transitt
Azure tilbyr mange mekanismer for å holde dataene private når de flyttes fra ett sted til et annet.
Datakoblingslagkryptering i Azure
Når Azure Customer-trafikk flyttes mellom datasentre – utenfor fysiske grenser som ikke kontrolleres av Microsoft (eller på vegne av Microsoft)– brukes en krypteringsmetode for datakoblingslag ved hjelp av IEEE 802.1AE MAC Security Standards (også kjent som MACsec) fra punkt til punkt på tvers av den underliggende nettverksmaskinvaren. Pakkene krypteres på enhetene før de sendes, og forhindrer fysiske "mann-i-midten" eller snusing / avlyttingsangrep. Fordi denne teknologien er integrert på selve nettverksmaskinvaren, gir den kryptering av linjehastighet på nettverksmaskinvaren uten en målbar koblingsventetidsøkning. Denne MACsec-krypteringen er aktivert som standard for all Azure-trafikk som reiser innenfor et område eller mellom områder, og det kreves ingen handling fra kundenes side for å aktivere.
TLS-kryptering i Azure
Microsoft gir kundene muligheten til å bruke TLS-protokollen (Transport Layer Security) til å beskytte data når de reiser mellom skytjenestene og kundene. Microsoft-datasentre forhandler om en TLS-tilkobling med klientsystemer som kobler til Azure-tjenester. TLS gir sterk godkjenning, personvern for meldinger og integritet (muliggjør gjenkjenning av meldingsmanipulering, avskjæring og forfalskning), interoperabilitet, algoritmefleksibilitet og enkel distribusjon og bruk.
Perfect Forward Secrecy (PFS) beskytter tilkoblinger mellom kundenes klientsystemer og Microsoft-skytjenester med unike nøkler. Tilkoblinger støtter også RSA-baserte 2048-biters nøkkellengder, ECC 256-biters nøkkellengder, SHA-384-meldingsgodkjenning og AES-256-datakryptering. Denne kombinasjonen gjør det vanskelig for noen å fange opp og få tilgang til data som er i transitt.
Azure Storage-transaksjoner
Når du samhandler med Azure Storage gjennom Azure-portalen, foregår alle transaksjoner over HTTPS. Du kan også bruke STORAGE REST-API-en via HTTPS til å samhandle med Azure Storage. Du kan fremtvinge bruken av HTTPS når du ringer REST-API-ene for å få tilgang til objekter i lagringskontoer ved å aktivere sikker overføring som kreves for lagringskontoen.
Sas (Shared Access Signatures), som kan brukes til å delegere tilgang til Azure Storage-objekter, inkluderer et alternativ for å angi at bare HTTPS-protokollen kan brukes når du bruker Signaturer for delt tilgang. Denne fremgangsmåten sikrer at alle som sender koblinger med SAS-tokener, bruker riktig protokoll.
SMB 3.0, som brukes til å få tilgang til Azure Files-delinger, støtter kryptering, og den er tilgjengelig i Windows Server 2012 R2, Windows 8, Windows 8.1 og Windows 10. Den gir tilgang over flere områder og til og med tilgang på skrivebordet.
Kryptering på klientsiden krypterer dataene før de sendes til Azure Storage-forekomsten, slik at de krypteres når de reiser over nettverket.
SMB-kryptering over virtuelle Azure-nettverk
Ved å bruke SMB 3.0 i virtuelle maskiner som kjører Windows Server 2012 eller nyere, kan du gjøre dataoverføringer sikre ved å kryptere data i transitt over Azure Virtual Networks. Ved å kryptere data bidrar du til å beskytte mot manipulering og avlytting av angrep. Administratorer kan aktivere SMB-kryptering for hele serveren, eller bare bestemte delte ressurser.
Når SMB-kryptering er aktivert som standard for en deling eller server, er det bare SMB 3.0-klienter som har tilgang til de krypterte ressursene.
Kryptering under overføring i virtuelle maskiner
Data i transitt til, fra og mellom virtuelle maskiner som kjører Windows, kan krypteres på flere måter, avhengig av tilkoblingens art.
RDP-økter
Du kan koble til og logge på en maskin ved hjelp av RDP (Remote Desktop Protocol) fra en Windows-klientdatamaskin, eller fra en Mac med en RDP-klient installert. Data i transitt over nettverket i RDP-økter kan beskyttes av TLS.
Du kan også bruke Eksternt skrivebord til å koble til en Linux VM i Azure.
Sikker tilgang til Linux-virtuelle maskiner med SSH
For ekstern administrasjon kan du bruke Secure Shell (SSH) til å koble til Linux-virtuelle maskiner som kjører i Azure. SSH er en kryptert tilkoblingsprotokoll som tillater sikker pålogging over usikrede tilkoblinger. Det er standard tilkoblingsprotokoll for Linux-VIRTUELLE-er som driftes i Azure. Ved å bruke SSH-nøkler for godkjenning eliminerer du behovet for passord for å logge på. SSH bruker et offentlig/privat nøkkelpar (asymmetrisk kryptering) for godkjenning.
Azure VPN-kryptering
Du kan koble til Azure gjennom et virtuelt privat nettverk som oppretter en sikker tunnel for å beskytte personvernet til dataene som sendes over nettverket.
Azure VPN-gatewayer
Du kan bruke en Azure VPN-gateway til å sende kryptert trafikk mellom det virtuelle nettverket og den lokale plasseringen på tvers av en offentlig tilkobling, eller til å sende trafikk mellom virtuelle nettverk.
VPN-er fra område til område bruker IPsec for transportkryptering. Azure VPN-gatewayer bruker et sett med standardforslag. Du kan konfigurere Azure VPN-gatewayer til å bruke en egendefinert IPsec/IKE-policy med spesifikke kryptografiske algoritmer og nøkkelstyrker, i stedet for standardpolicysettene for Azure.
Pek-til-område VPN-er
Pek-til-område VPN-er gir individuelle klientdatamaskiner tilgang til et virtuelt Azure-nettverk. SSTP (Secure Socket Tunneling Protocol) brukes til å opprette VPN-tunnelen. Den kan krysse brannmurer (tunnelen vises som en HTTPS-tilkobling). Du kan bruke din egen interne offentlige infrastruktur (PKI) rotsertifikatinstans (CA) for p-til-område-tilkobling.
Du kan konfigurere en VPN-tilkobling fra punkt til nettsted til et virtuelt nettverk ved hjelp av Azure-portalen med sertifikatgodkjenning eller PowerShell.
Hvis du vil lære mer om VPN-tilkoblinger fra punkt til nettsted til virtuelle Azure-nettverk, kan du se:
VPN-er for område-til-område
Du kan bruke en VPN-gatewaytilkobling fra område til nettsted for å koble det lokale nettverket til et virtuelt Azure-nettverk via en VPN-tunnel for IPsec/IKE (IKEv1 eller IKEv2). Denne typen tilkobling krever en lokal VPN-enhet som har en ekstern, offentlig IP-adresse tilordnet den.
Du kan konfigurere en VPN-tilkobling fra område til nettsted til et virtuelt nettverk ved hjelp av Azure-portalen, PowerShell eller Azure CLI.
Hvis du vil ha mer informasjon, kan du se:
Opprette en område-til-område-tilkobling i Azure-portalen
Opprette en område-til-område-tilkobling i PowerShell
Opprette et virtuelt nettverk med en VPN-tilkobling fra område til område ved hjelp av CLI
Kryptering under overføring i Data Lake
Data i transitt (også kalt data i bevegelse) krypteres også alltid i Data Lake Store. I tillegg til å kryptere data før de lagres i vedvarende medier, er dataene også alltid sikret i transitt ved hjelp av HTTPS. HTTPS er den eneste protokollen som støttes for REST-grensesnittene i Data Lake Store.
Hvis du vil lære mer om kryptering av data i transitt i Data Lake, kan du se Kryptering av data i Data Lake Store.
Nøkkelstyring med Key Vault
Uten riktig beskyttelse og administrasjon av nøklene, blir kryptering gjort ubrukelig. Key Vault er den Microsoft-anbefalte løsningen for administrasjon og kontroll av tilgang til krypteringsnøkler som brukes av skytjenester. Tilgangsnøkler kan tilordnes til tjenester eller brukere via Microsoft Entra-kontoer.
Key Vault avlaster organisasjoner med behovet for å konfigurere, oppdatere og vedlikeholde maskinvaresikkerhetsmoduler (HSM-er) og viktig administrasjonsprogramvare. Når du bruker Key Vault, beholder du kontrollen. Microsoft ser aldri nøklene dine, og programmer har ikke direkte tilgang til dem. Du kan også importere eller generere nøkler i HSM-er.