Gegevensversleuteling in Azure Cosmos DB
VAN TOEPASSING OP: NoSQL MongoDB Cassandra Gremlin Tafel
'Versleuteling-at-rest' is een woordgroep die vaak verwijst naar de versleuteling van gegevens op niet-compatibele opslagapparaten, zoals SSD's (solid-state drives) en hardeschijfstations (HDD's). Azure Cosmos DB slaat de primaire databases op OPSD's op. De mediabijlagen en back-ups worden opgeslagen in Azure Blob Storage, waarvan doorgaans een back-up wordt gemaakt door HDD's. Met de release van versleuteling-at-rest voor Azure Cosmos DB worden al uw databases, mediabijlagen en back-ups versleuteld. Uw gegevens worden nu versleuteld tijdens overdracht (via het netwerk) en at-rest (niet-compatibele opslag), waardoor u end-to-end-versleuteling krijgt.
Azure Cosmos DB is eenvoudig te gebruiken als platform as a service (PaaS). Omdat alle gebruikersgegevens die zijn opgeslagen in Azure Cosmos DB in rust en in transport zijn versleuteld, hoeft u geen actie te ondernemen. Met andere woorden, versleuteling-at-rest is standaard ingeschakeld. Er zijn geen besturingselementen om deze in of uit te schakelen. Azure Cosmos DB maakt gebruik van AES-256-versleuteling voor alle regio's waarop het account wordt uitgevoerd.
We bieden deze functie terwijl we blijven voldoen aan onze sla's (Service Level Agreements) voor beschikbaarheid en prestaties. Gegevens die zijn opgeslagen in uw Azure Cosmos DB-account, worden automatisch en naadloos versleuteld met sleutels die worden beheerd door Microsoft (door de service beheerde sleutels). U kunt er desgewenst voor kiezen om een tweede versleutelingslaag toe te voegen met uw eigen sleutels, zoals beschreven in het artikel met door de klant beheerde sleutels .
Implementatie van versleuteling-at-rest voor Azure Cosmos DB
Versleuteling-at-rest wordt geïmplementeerd met behulp van verschillende beveiligingstechnologieën, waaronder beveiligde sleutelopslagsystemen, versleutelde netwerken en cryptografische API's. Systemen die gegevens ontsleutelen en verwerken, moeten communiceren met systemen die sleutels beheren. In het diagram ziet u hoe de opslag van versleutelde gegevens en het beheer van sleutels wordt gescheiden.
De basisstroom van een gebruikersaanvraag is:
- Het gebruikersdatabaseaccount is gereed gemaakt en opslagsleutels worden opgehaald via een aanvraag bij de Beheerserviceresourceprovider.
- Een gebruiker maakt een verbinding met Azure Cosmos DB via HTTPS/veilig transport. (De SDK's abstraheren de details.)
- De gebruiker verzendt een JSON-document dat moet worden opgeslagen via de eerder gemaakte beveiligde verbinding.
- Het JSON-document wordt geïndexeerd, tenzij de gebruiker indexering heeft uitgeschakeld.
- Zowel het JSON-document als de indexgegevens worden geschreven om de opslag te beveiligen.
- Periodiek worden gegevens gelezen uit de beveiligde opslag en een back-up gemaakt van azure Encrypted Blob Store.
Veelgestelde vragen
Vind antwoorden op veelgestelde vragen over versleuteling.
Hoeveel meer kost Azure Storage als Storage Service Encryption is ingeschakeld?
Er zijn geen extra kosten.
Wie beheert de versleutelingssleutels?
Gegevens die zijn opgeslagen in uw Azure Cosmos DB-account, worden automatisch en naadloos versleuteld met sleutels die worden beheerd door Microsoft met behulp van door de service beheerde sleutels. U kunt er desgewenst voor kiezen om een tweede versleutelingslaag toe te voegen met sleutels die u beheert met behulp van door de klant beheerde sleutels.
Hoe vaak worden versleutelingssleutels gedraaid?
Microsoft heeft een reeks interne richtlijnen voor het rouleren van versleutelingssleutels, die Azure Cosmos DB volgt. De specifieke richtlijnen worden niet gepubliceerd. Microsoft publiceert de levenscyclus van beveiligingsontwikkeling, die wordt gezien als een subset van interne richtlijnen en bevat nuttige aanbevolen procedures voor ontwikkelaars.
Kan ik mijn eigen versleutelingssleutels gebruiken?
Ja, deze functie is beschikbaar voor nieuwe Azure Cosmos DB-accounts. Deze moet worden geïmplementeerd op het moment dat het account is gemaakt. Zie het document met door de klant beheerde sleutels voor meer informatie.
Waarschuwing
De volgende veldnamen zijn gereserveerd voor Cassandra-API-tabellen in accounts met behulp van door de klant beheerde sleutels:
id
ttl
_ts
_etag
_rid
_self
_attachments
_epk
Wanneer door de klant beheerde sleutels niet zijn ingeschakeld, zijn alleen veldnamen die beginnen met __sys_
gereserveerd.
Welke regio's hebben versleuteling ingeschakeld?
Alle Azure Cosmos DB-regio's hebben versleuteling ingeschakeld voor alle gebruikersgegevens.
Heeft versleuteling invloed op de sla's voor prestaties en doorvoer?
Er is geen effect of wijzigingen in de prestatie-SLA's, omdat versleuteling-at-rest nu is ingeschakeld voor alle bestaande en nieuwe accounts. Zie sla voor Azure Cosmos DB voor de meest recente garanties.
Biedt de lokale emulator ondersteuning voor versleuteling in rust?
De emulator is een zelfstandig hulpprogramma voor ontwikkelen/testen en maakt geen gebruik van de sleutelbeheerservices die door de beheerde Azure Cosmos DB-service worden gebruikt. U wordt aangeraden BitLocker in te schakelen op stations waar u gevoelige emulatortestgegevens opslaat. De emulator ondersteunt het wijzigen van de standaardgegevensmap en het gebruik van een bekende locatie.
Volgende stappen
- Zie het artikel door de klant beheerde sleutels voor meer informatie over het toevoegen van een tweede versleutelingslaag met uw eigen sleutels .
- Zie het Vertrouwenscentrum van Azure voor meer informatie over Microsoft-certificeringen.