Overzicht van Azure-versleuteling
Dit artikel bevat een overzicht van hoe versleuteling wordt gebruikt in Microsoft Azure. Het behandelt de belangrijkste gebieden van versleuteling, waaronder versleuteling in rust, versleuteling in vlucht en sleutelbeheer met Azure Key Vault. Elke sectie bevat koppelingen naar meer gedetailleerde informatie.
Versleuteling van gegevens in rust
Data-at-rest bevat informatie die zich in permanente opslag op fysieke media bevindt, in elke digitale indeling. De media kunnen bestanden bevatten op magnetische of optische media, gearchiveerde gegevens en gegevensback-ups. Microsoft Azure biedt diverse oplossingen voor gegevensopslag om te voldoen aan verschillende behoeften, waaronder bestands-, schijf-, blob- en tabelopslag. Microsoft biedt ook versleuteling om Azure SQL Database, Azure Cosmos DB en Azure Data Lake te beveiligen.
Data encryption at rest is beschikbaar voor services in de SaaS-cloudmodellen (Software as a Service), Platform as a Service (PaaS) en IaaS-cloudmodellen (Infrastructure as a Service). In dit artikel vindt u een overzicht van de resources die u kunnen helpen bij het gebruik van de Azure-versleutelingsopties.
Zie Azure Data Encryption-at-Rest voor een gedetailleerdere bespreking van hoe data-at-rest wordt versleuteld in Azure.
Azure-versleutelingsmodellen
ondersteuning voor Azure verschillende versleutelingsmodellen, waaronder versleuteling aan de serverzijde die gebruikmaakt van door de service beheerde sleutels, door de klant beheerde sleutels in Key Vault of door de klant beheerde sleutels op door de klant beheerde hardware. Met versleuteling aan clientzijde kunt u sleutels on-premises of op een andere veilige locatie beheren en opslaan.
Clientversleuteling
Versleuteling aan de clientzijde wordt buiten Azure uitgevoerd. Deze bevat:
- Gegevens die zijn versleuteld door een toepassing die wordt uitgevoerd in het datacenter van de klant of door een servicetoepassing.
- Gegevens die al zijn versleuteld wanneer deze worden ontvangen door Azure.
Met versleuteling aan de clientzijde hebben cloudserviceproviders geen toegang tot de versleutelingssleutels en kunnen deze gegevens niet ontsleutelen. U behoudt volledige controle over de sleutels.
Versleuteling aan de serverzijde
De drie versleutelingsmodellen aan de serverzijde bieden verschillende kenmerken voor sleutelbeheer, die u kunt kiezen op basis van uw vereisten:
Door de service beheerde sleutels: biedt een combinatie van controle en gemak met lage overhead.
Door de klant beheerde sleutels: geeft u controle over de sleutels, waaronder BYOK-ondersteuning (Bring Your Own Keys) of kunt u nieuwe sleutels genereren.
Door de service beheerde sleutels in door de klant beheerde hardware: hiermee kunt u sleutels beheren in uw eigen opslagplaats, buiten Microsoft-beheer. Dit kenmerk wordt HYOK (Host Your Own Key) genoemd. De configuratie is echter complex en de meeste Azure-services bieden geen ondersteuning voor dit model.
Azure Disk Encryption
U kunt uw beheerde schijven beveiligen met behulp van Azure Disk Encryption voor Linux-VM's, die DM-Crypt of Azure Disk Encryption gebruikt voor Windows-VM's, die Gebruikmaken van Windows BitLocker, om zowel besturingssysteemschijven als gegevensschijven te beveiligen met volledige volumeversleuteling.
Versleutelingssleutels en geheimen worden beveiligd in uw Azure Key Vault-abonnement. Met behulp van de Azure Backup-service kunt u een back-up maken van versleutelde virtuele machines (VM's) die gebruikmaken van de KEK-configuratie (Key Encryption Key).
Azure Storage Service-versleuteling
Data-at-rest in Azure Blob Storage en Azure-bestandsshares kunnen worden versleuteld in scenario's aan de serverzijde en aan de clientzijde.
Azure Storage Service Encryption (SSE) kan gegevens automatisch versleutelen voordat deze worden opgeslagen en de gegevens worden automatisch ontsleuteld wanneer u deze ophaalt. Het proces is volledig transparant voor gebruikers. Storage Service Encryption maakt gebruik van 256-bits AES-versleuteling (Advanced Encryption Standard), een van de sterkste blokcoderingen die beschikbaar zijn. AES verwerkt versleuteling, ontsleuteling en sleutelbeheer transparant.
Versleuteling aan de clientzijde van Azure-blobs
U kunt op verschillende manieren versleuteling aan de clientzijde van Azure-blobs uitvoeren.
U kunt het Pakket Azure Storage-clientbibliotheek voor .NET NuGet gebruiken om gegevens in uw clienttoepassingen te versleutelen voordat u deze uploadt naar uw Azure-opslag.
Zie Windows Azure Storage 8.3.0 voor meer informatie over het Azure Storage-clientbibliotheek voor .NET NuGet-pakket.
Wanneer u versleuteling aan de clientzijde gebruikt met Key Vault, worden uw gegevens versleuteld met behulp van een eenmalige symmetrische CEK (Content Encryption Key) die wordt gegenereerd door de Azure Storage-client-SDK. De CEK wordt versleuteld met behulp van een sleutelversleutelingssleutel (KEK). Dit kan een symmetrische sleutel of een asymmetrisch sleutelpaar zijn. U kunt het lokaal beheren of opslaan in Key Vault. De versleutelde gegevens worden vervolgens geüpload naar Azure Storage.
Voor meer informatie over versleuteling aan de clientzijde met Key Vault en aan de slag met instructies, raadpleegt u Zelfstudie: Blobs versleutelen en ontsleutelen in Azure Storage met behulp van Key Vault.
Ten slotte kunt u ook de Azure Storage-clientbibliotheek voor Java gebruiken om versleuteling aan de clientzijde uit te voeren voordat u gegevens uploadt naar Azure Storage en om de gegevens te ontsleutelen wanneer u deze naar de client downloadt. Deze bibliotheek biedt ook ondersteuning voor integratie met Key Vault voor sleutelbeheer van opslagaccounts.
Versleuteling van data-at-rest met Azure SQL Database
Azure SQL Database is een relationele databaseservice voor algemeen gebruik in Azure die ondersteuning biedt voor structuren zoals relationele gegevens, JSON, ruimtelijk en XML. SQL Database ondersteunt zowel versleuteling aan de serverzijde via de functie Transparent Data Encryption (TDE) als versleuteling aan de clientzijde via de functie Always Encrypted.
Transparante gegevensversleuteling
TDE wordt gebruikt voor het versleutelen van SQL Server-, Azure SQL Database- en Azure Synapse Analytics-gegevensbestanden in realtime, met behulp van een Database Encryption Key (DEK), die wordt opgeslagen in de databasestartrecord voor beschikbaarheid tijdens het herstel.
TDE beveiligt gegevens- en logboekbestanden met behulp van AES- en Triple Data Encryption Standard-versleutelingsalgoritmen (3DES). Versleuteling van het databasebestand wordt uitgevoerd op paginaniveau. De pagina's in een versleutelde database worden versleuteld voordat ze naar de schijf worden geschreven en worden ontsleuteld wanneer ze in het geheugen worden gelezen. TDE is nu standaard ingeschakeld voor nieuw gemaakte Azure SQL-databases.
Functie Always Encrypted
Met de functie Always Encrypted in Azure SQL kunt u gegevens in clienttoepassingen versleutelen voordat u deze opslaat in Azure SQL Database. U kunt ook delegering van on-premises databasebeheer aan derden inschakelen en de scheiding behouden tussen degenen die eigenaar zijn en de gegevens kunnen bekijken en degenen die deze beheren, maar er geen toegang toe hebben.
Versleuteling op cel- of kolomniveau
Met Azure SQL Database kunt u symmetrische versleuteling toepassen op een kolom met gegevens met behulp van Transact-SQL. Deze methode wordt versleuteling op celniveau of versleuteling op kolomniveau genoemd, omdat u deze kunt gebruiken om specifieke kolommen of zelfs specifieke cellen met gegevens met verschillende versleutelingssleutels te versleutelen. Dit biedt u meer gedetailleerde versleutelingsmogelijkheden dan TDE, waarmee gegevens in pagina's worden versleuteld.
CLE heeft ingebouwde functies die u kunt gebruiken om gegevens te versleutelen met behulp van symmetrische of asymmetrische sleutels, de openbare sleutel van een certificaat of een wachtwoordzin met behulp van 3DES.
Azure Cosmos DB-databaseversleuteling
Azure Cosmos DB is de wereldwijd gedistribueerde database met meerdere modellen van Microsoft. Gebruikersgegevens die zijn opgeslagen in Azure Cosmos DB in niet-vluchtige opslag (solid-state drives) worden standaard versleuteld. Er zijn geen besturingselementen om deze in of uit te schakelen. Versleuteling-at-rest wordt geïmplementeerd met behulp van een aantal beveiligingstechnologieën, waaronder beveiligde sleutelopslagsystemen, versleutelde netwerken en cryptografische API's. Versleutelingssleutels worden beheerd door Microsoft en worden geroteerd volgens interne richtlijnen van Microsoft. U kunt er desgewenst voor kiezen om een tweede versleutelingslaag toe te voegen met sleutels die u beheert met behulp van de door de klant beheerde sleutels of CMK-functie .
At-rest-versleuteling in Data Lake
Azure Data Lake is een opslagplaats voor het hele bedrijf van elk type gegevens dat op één plaats wordt verzameld voordat een formele definitie van vereisten of schema's wordt gedefinieerd. Data Lake Store biedt ondersteuning voor 'standaard ingeschakeld', transparante versleuteling van data-at-rest, die is ingesteld tijdens het maken van uw account. Azure Data Lake Store beheert standaard de sleutels voor u, maar u hebt de mogelijkheid om ze zelf te beheren.
Er worden drie typen sleutels gebruikt voor het versleutelen en ontsleutelen van gegevens: DEK (Master Encryption Key), Data Encryption Key (DEK) en BeK (Block Encryption Key). De MEK wordt gebruikt voor het versleutelen van de DEK, die is opgeslagen op permanente media, en de BEK wordt afgeleid van de DEK en het gegevensblok. Als u uw eigen sleutels beheert, kunt u de MEK draaien.
Versleuteling van gegevens in transit
Azure biedt veel mechanismen voor het privé houden van gegevens wanneer deze van de ene locatie naar de andere worden verplaatst.
Gegevenskoppelingslaagversleuteling in Azure
Wanneer azure-klantverkeer tussen datacenters wordt verplaatst( buiten fysieke grenzen die niet worden beheerd door Microsoft (of namens Microsoft)-- wordt een methode voor gegevenskoppelingslaagversleuteling toegepast met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) van punt-naar-punt over de onderliggende netwerkhardware. De pakketten worden versleuteld op de apparaten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Omdat deze technologie is geïntegreerd op de netwerkhardware zelf, biedt deze regelsnelheidversleuteling op de netwerkhardware zonder meetbare toename van de koppelingslatentie. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Verkeer van Azure binnen een regio of tussen regio's en er is geen actie vereist voor het onderdeel van klanten om dit in te schakelen.
TLS-versleuteling in Azure
Microsoft biedt klanten de mogelijkheid om het TLS-protocol (Transport Layer Security) te gebruiken om gegevens te beveiligen wanneer ze reizen tussen de cloudservices en klanten. Microsoft-datacenters onderhandelen over een TLS-verbinding met clientsystemen die verbinding maken met Azure-services. TLS biedt sterke verificatie, privacy en integriteit van berichten (waardoor berichten worden gemanipuleerd, onderschept en vervalst), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak en gebruiksgemak.
Perfect Forward Secrecy (PFS) beschermt verbindingen tussen clientsystemen van klanten en Microsoft-cloudservices met unieke sleutels. Verbinding maken ions gebruiken ook op RSA gebaseerde 2048-bits versleutelingssleutellengten. Deze combinatie maakt het moeilijk voor iemand om gegevens te onderscheppen en te openen die onderweg zijn.
Azure Storage-transacties
Wanneer u via Azure Portal met Azure Storage communiceert, vinden alle transacties plaats via HTTPS. U kunt de Storage REST API ook via HTTPS gebruiken om te communiceren met Azure Storage. U kunt het gebruik van HTTPS afdwingen wanneer u de REST API's aanroept voor toegang tot objecten in opslagaccounts door de beveiligde overdracht in te schakelen die vereist is voor het opslagaccount.
Shared Access Signatures (SAS), die kan worden gebruikt voor het delegeren van toegang tot Azure Storage-objecten, bevat een optie om op te geven dat alleen het HTTPS-protocol kan worden gebruikt wanneer u Shared Access Signatures gebruikt. Deze aanpak zorgt ervoor dat iedereen die koppelingen met SAS-tokens verzendt, gebruikmaakt van het juiste protocol.
SMB 3.0, die wordt gebruikt voor toegang tot Azure Files-shares, ondersteunt versleuteling en is beschikbaar in Windows Server 2012 R2, Windows 8, Windows 8.1 en Windows 10. Het biedt toegang tussen regio's en zelfs toegang op het bureaublad.
Versleuteling aan de clientzijde versleutelt de gegevens voordat deze naar uw Azure Storage-exemplaar worden verzonden, zodat deze worden versleuteld terwijl deze via het netwerk worden verzonden.
SMB-versleuteling via virtuele Azure-netwerken
Met behulp van SMB 3.0 in VM's met Windows Server 2012 of hoger kunt u gegevensoverdrachten beveiligen door gegevens te versleutelen die worden verzonden via virtuele Azure-netwerken. Door gegevens te versleutelen, kunt u bescherming bieden tegen manipulatie- en afluisteraanvallen. Beheer istrators kunnen SMB-versleuteling inschakelen voor de hele server of alleen specifieke shares.
Nadat SMB-versleuteling is ingeschakeld voor een share of server, hebben alleen SMB 3.0-clients toegang tot de versleutelde shares.
In-transit-versleuteling in VM's
Gegevens die onderweg zijn naar, van en tussen VM's waarop Windows wordt uitgevoerd, kunnen op verschillende manieren worden versleuteld, afhankelijk van de aard van de verbinding.
RDP-sessies
U kunt verbinding maken en u aanmelden bij een virtuele machine met behulp van Remote Desktop Protocol (RDP) vanaf een Windows-clientcomputer of vanaf een Mac waarop een RDP-client is geïnstalleerd. Gegevens die worden overgedragen via het netwerk in RDP-sessies kunnen worden beveiligd door TLS.
U kunt extern bureaublad ook gebruiken om verbinding te maken met een Virtuele Linux-machine in Azure.
Toegang tot Linux-VM's beveiligen met SSH
Voor extern beheer kunt u Secure Shell (SSH) gebruiken om verbinding te maken met virtuele Linux-machines die worden uitgevoerd in Azure. SSH is een versleuteld verbindingsprotocol waarmee beveiligde aanmeldingen via onbeveiligde verbindingen mogelijk zijn. Het is het standaardverbindingsprotocol voor Linux-VM's die worden gehost in Azure. Door SSH-sleutels te gebruiken voor verificatie, hoeft u zich niet meer aan te melden met wachtwoorden. SSH maakt gebruik van een openbaar/persoonlijk sleutelpaar (asymmetrische versleuteling) voor verificatie.
Azure VPN-versleuteling
U kunt verbinding maken met Azure via een virtueel particulier netwerk dat een beveiligde tunnel maakt om de privacy te beschermen van de gegevens die via het netwerk worden verzonden.
Azure VPN Gateways
U kunt een Azure VPN-gateway gebruiken om versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie te verzenden via een openbare verbinding of om verkeer tussen virtuele netwerken te verzenden.
Site-naar-site-VPN's gebruiken IPsec voor transportversleuteling. Azure VPN-gateways maken gebruik van een set standaardvoorstellen. U kunt Azure VPN-gateways configureren voor het gebruik van een aangepast IPsec-/IKE-beleid met specifieke cryptografische algoritmen en belangrijke sterke punten, in plaats van de standaardbeleidssets van Azure.
Punt-naar-site-VPN's
Punt-naar-site VPN's bieden afzonderlijke clientcomputers toegang tot een virtueel Azure-netwerk. Het Secure Socket Tunneling Protocol (SSTP) wordt gebruikt om de VPN-tunnel te maken. Het kan firewalls passeren (de tunnel wordt weergegeven als een HTTPS-verbinding). U kunt uw eigen PKI-basiscertificeringsinstantie (Public Key Infrastructure) gebruiken voor punt-naar-site-connectiviteit.
U kunt een punt-naar-site-VPN-verbinding met een virtueel netwerk configureren met behulp van Azure Portal met certificaatverificatie of PowerShell.
Zie voor meer informatie over punt-naar-site-VPN-verbindingen met virtuele Azure-netwerken:
Site-naar-site-VPN's
U kunt een site-naar-site-VPN-gatewayverbinding gebruiken om uw on-premises netwerk te verbinden met een virtueel Azure-netwerk via een VPN-tunnel van IPsec/IKE (IKEv1 of IKEv2). Dit type verbinding vereist een on-premises VPN-apparaat waaraan een extern openbaar IP-adres is toegewezen.
U kunt een site-naar-site-VPN-verbinding met een virtueel netwerk configureren met behulp van Azure Portal, PowerShell of Azure CLI.
Zie voor meer informatie:
Een site-naar-site-verbinding maken in Azure Portal
Een site-naar-site-verbinding maken in PowerShell
Een virtueel netwerk maken met een site-naar-site-VPN-verbinding met behulp van CLI
In-transit-versleuteling in Data Lake
Gegevens tijdens overdracht (ook wel gegevens in beweging genoemd) worden ook altijd versleuteld in Data Lake Store. Naast het versleutelen van gegevens voordat ze worden opgeslagen in permanente media, worden de gegevens ook altijd beveiligd tijdens overdracht met behulp van HTTPS. HTTPS is het enige protocol dat wordt ondersteund voor de Data Lake Store REST-interfaces.
Sleutelbeheer met Key Vault
Zonder de juiste beveiliging en beheer van de sleutels wordt versleuteling nutteloos weergegeven. Key Vault is de door Microsoft aanbevolen oplossing voor het beheren en beheren van de toegang tot versleutelingssleutels die worden gebruikt door cloudservices. Machtigingen voor toegangssleutels kunnen worden toegewezen aan services of aan gebruikers via Microsoft Entra-accounts.
Met Key Vault hoeven organisaties hardwarebeveiligingsmodules (Hardware Security Modules of HSM's) en sleutelbeheersoftware niet zelf te configureren, te onderhouden en hiervoor patches toe te passen. Wanneer u Key Vault gebruikt, behoudt u de controle. Microsoft ziet uw sleutels nooit en toepassingen hebben geen directe toegang tot deze sleutels. U kunt ook sleutels importeren of genereren in HSM's.