Delen via

Gegevensversleuteling in Azure DocumentDB

Alle gegevens die worden beheerd door een Azure DocumentDB, worden altijd in rust versleuteld. Deze gegevens omvatten alle systeem- en gebruikersdatabases, tijdelijke bestanden, logboeken en back-ups.

Versleuteling in rust met door de service beheerde sleutel (SMK) of door de klant beheerde sleutel (CMK)

Azure DocumentDB ondersteunt twee modi voor gegevensversleuteling in rusttoestand: service-managed keys (SMK) en customer-managed keys (CMK). Gegevensversleuteling met door de service beheerde sleutels is de standaardmodus voor Azure DocumentDB. In deze modus beheert de service automatisch de versleutelingssleutels die worden gebruikt om uw gegevens te versleutelen. U hoeft geen actie te ondernemen om versleuteling in te schakelen of te beheren in deze modus.

In de door de klant beheerde sleutelsmodus kunt u uw eigen versleutelingssleutel gebruiken om uw gegevens te versleutelen. Wanneer u een door de klant beheerde sleutel opgeeft, wordt die sleutel gebruikt om de toegang tot de sleutel die uw gegevens versleutelt, te beveiligen en te beheren. Door de klant beheerde sleutels bieden meer flexibiliteit om toegangsbeheer te beheren. U moet uw eigen Azure Key Vault implementeren en configureren om de versleutelingssleutels op te slaan die worden gebruikt door uw Azure DocumentDB-cluster.

De configuratiemodus kan alleen worden geselecteerd tijdens het maken van het cluster. Het kan niet worden gewijzigd van de ene modus naar de andere voor de levensduur van het cluster.

Azure DocumentDB maakt gebruik van versleuteling aan de serverzijde van Azure Storage voor data-at-rest om de versleuteling van uw gegevens te bereiken. Wanneer u CMK gebruikt, bent u verantwoordelijk voor het leveren van sleutels voor het versleutelen en ontsleutelen van gegevens in Azure Storage-services. Deze sleutels moeten worden opgeslagen in Azure Key Vault.

Voordelen van elke modus (SMK of CMK)

Gegevensversleuteling met door de service beheerde sleutels voor Azure DocumentDB biedt de volgende voordelen:

  • De service beheert automatisch en volledig de toegang tot gegevens.
  • De service bepaalt automatisch en volledig de levenscyclus van uw sleutel, inclusief de rotatie van de sleutel.
  • U hoeft zich geen zorgen te maken over het beheren van gegevensversleutelingssleutels.
  • Gegevensversleuteling op basis van door de service beheerde sleutels heeft geen negatieve invloed op de prestaties van uw workloads.
  • Het vereenvoudigt het beheer van versleutelingssleutels (inclusief hun reguliere rotatie) en het beheer van de identiteiten die worden gebruikt voor toegang tot deze sleutels.

Gegevensversleuteling met door de klant beheerde sleutels voor Azure DocumentDB biedt de volgende voordelen:

  • U kunt de toegang tot gegevens volledig beheren. U kunt een sleutel intrekken om een database ontoegankelijk te maken.
  • U bepaalt de levenscyclus van een sleutel volledig om te voldoen aan het bedrijfsbeleid.
  • U kunt al uw versleutelingssleutels centraal beheren en organiseren in uw eigen exemplaren van Azure Key Vault.
  • Gegevensversleuteling op basis van door de klant beheerde sleutels heeft geen negatieve invloed op de prestaties van uw workloads.
  • U kunt scheiding van taken tussen beveiligingsmedewerkers, databasebeheerders en systeembeheerders implementeren.

CMK-vereisten

Met door de klant beheerde versleutelingssleutel neemt u alle verantwoordelijkheid voor het onderhouden van correct geconfigureerde onderdelen die nodig zijn om CMK te laten werken. Daarom moet u uw eigen Azure Key Vault implementeren en een door de gebruiker toegewezen beheerde identiteit opgeven. U moet uw eigen sleutel genereren of importeren. U moet vereiste machtigingen verlenen voor de Sleutelkluis, zodat uw Azure DocumentDB de benodigde acties op de sleutel kan uitvoeren. U moet alle netwerkaspecten van de Azure Key Vault configureren waarin de sleutel wordt bewaard, zodat uw Azure DocumentDB-exemplaar toegang heeft tot de sleutel. Het controleren van de toegang tot de sleutel is ook uw verantwoordelijkheid.

Wanneer u door de klant beheerde sleutels configureert voor een Azure DocumentDB voor MonogDB-cluster, verpakt Azure Storage de HOOFDgegevensversleutelingssleutel (DEK) voor het account met de door de klant beheerde sleutel in de bijbehorende sleutelkluis. De beveiliging van de hoofdversleutelingssleutel verandert, maar de gegevens in uw Azure Storage-account blijven altijd versleuteld. Er is geen extra actie vereist om ervoor te zorgen dat uw gegevens versleuteld blijven. Beveiliging door door de klant beheerde sleutels wordt onmiddellijk van kracht.

Azure Key Vault is een extern sleutelbeheersysteem in de cloud. Het is maximaal beschikbaar en biedt schaalbare, veilige opslag voor cryptografische RSA-sleutels. Het biedt geen directe toegang tot een opgeslagen sleutel, maar biedt versleutelings- en ontsleutelingsservices aan geautoriseerde entiteiten. Key Vault kan de sleutel genereren, importeren of ontvangen van een on-premises HSM-apparaat.

Hieronder vindt u de lijst met vereisten en aanbevelingen voor de configuratie van gegevensversleuteling voor Azure DocumentDB:

Sleutelbewaarplaats

De sleutelkluis die wordt gebruikt voor cmk-installatie moet voldoen aan de volgende vereisten:

  • Key Vault en Azure DocumentDB moeten deel uitmaken van dezelfde Microsoft Entra-tenant.
  • Aanbeveling: Stel de dagen in voor het behouden van de instelling verwijderde kluizen voor Key Vault op 90 dagen. Deze configuratie-instelling kan alleen worden gedefinieerd tijdens het maken van de sleutelkluis. Zodra een instantie is aangemaakt, kan deze instelling niet gewijzigd worden.
  • Schakel de soft-delete functie in de sleutelkluis in om u te helpen beschermen tegen gegevensverlies als een sleutel of een sleutelkluisexemplaren per ongeluk worden verwijderd. Key Vault behoudt voorlopig verwijderde resources gedurende 90 dagen, tenzij de gebruiker deze ondertussen herstelt of opschoont. De herstel- en opschoningsacties hebben hun eigen machtigingen gekoppeld aan een sleutelkluis, een RBAC-rol (op rollen gebaseerd toegangsbeheer) of een machtiging voor toegangsbeleid. De zacht verwijderde functie staat standaard aan. Als u een sleutelkluis hebt die lang geleden is geïmplementeerd, is voorlopig verwijderen mogelijk nog steeds uitgeschakeld. In dat geval kunt u deze inschakelen.
  • Schakel beveiliging tegen opschonen in om een verplichte bewaarperiode af te dwingen voor verwijderde kluizen en kluisobjecten.
  • Configureer netwerktoegang om uw cluster toegang te geven tot de versleutelingssleutel in de sleutelkluis. Gebruik een van de volgende configuratieopties:
    • Openbare toegang vanuit alle netwerken toestaan dat alle hosts op internet toegang hebben tot de sleutelkluis.
    • Selecteer Openbare toegang uitschakelen en Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen om alle openbare toegang uit te schakelen, maar om uw cluster toegang te geven tot de sleutelkluis.

Coderingssleutel

De versleutelingssleutel die is geselecteerd voor CMK-configuratie moet voldoen aan de volgende vereisten:

  • De sleutel die wordt gebruikt voor het versleutelen van de gegevensversleutelingssleutel kan alleen asymmetrisch, RSA of RSA-HSM zijn. Sleutelgrootten van 2048, 3.072 en 4.096 worden ondersteund.
    • Aanbeveling: gebruik een 4096-bits sleutel voor betere beveiliging.
  • De datum en tijd voor sleutelactivering (indien ingesteld) moeten zich in het verleden bevinden. De datum en tijd voor vervaldatum (indien ingesteld) moeten in de toekomst zijn.
  • De sleutel moet de status Ingeschakeld hebben.
  • Als u een bestaande sleutel importeert in Azure Key Vault, geeft u deze op in de ondersteunde bestandsindelingen (.pfx, .byokof .backup).

Permissions

** Geef de beheerde identiteit toegewezen door de gebruiker van Azure DocumentDB toegang tot de encryptiesleutel.

  • Voorkeur: Azure Key Vault moet worden geconfigureerd met het RBAC-machtigingsmodel en de beheerde identiteit moet de rol Crypto Vault-versleutelingsgebruiker voor cryptoserviceversleuteling krijgen toegewezen.
  • Verouderd: Als Azure Key Vault is geconfigureerd met het machtigingsmodel voor toegangsbeleid, verleent u de volgende machtigingen aan de beheerde identiteit:
    • get: Om de eigenschappen en het openbare deel van de sleutel in de sleutelkluis op te halen.
    • lijst: Om de sleutels weer te geven en te herhalen die zijn opgeslagen in de sleutelkluis.
    • wrapKey: Om de gegevensversleutelingssleutel te versleutelen.
    • unwrapKey: De gegevensversleutelingssleutel ontsleutelen.

Updates van de CMK-sleutelversie

CMK in Azure DocumentDB ondersteunt automatische sleutelversie-updates, ook wel versieloze sleutels genoemd. De Azure DocumentDB-service haalt automatisch de nieuwe sleutelversie op en versleutelt de gegevensversleutelingssleutel opnieuw. Deze mogelijkheid kan worden gecombineerd met de functie voor automatischerotatie van Azure Key Vault.

Overwegingen

Wanneer u een door de klant beheerde sleutel gebruikt voor gegevensversleuteling, volgt u deze aanbevelingen om Key Vault te configureren:

Opmerking

Nadat u Openbare toegang uitschakelen hebt geselecteerd en Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen, krijgt u mogelijk een foutmelding die vergelijkbaar is met het volgende wanneer u openbare toegang probeert te gebruiken om Key Vault te beheren via de portal: 'U hebt het netwerktoegangsbeheer ingeschakeld. Alleen toegestane netwerken hebben toegang tot deze sleutelkluis.". Deze fout voorkomt niet dat tijdens het instellen van door de klant beheerde sleutels sleutels kunnen worden opgegeven of sleutels kunnen worden opgehaald uit Key Vault tijdens clusterbewerkingen.

  • Bewaar een kopie van de door de klant beheerde sleutel op een veilige plaats of borg deze naar een borgservice.
  • Als Key Vault de sleutel genereert, maakt u een sleutelback-up voordat u de sleutel voor de eerste keer gebruikt. U kunt de back-up alleen herstellen naar Key Vault.

Verwante inhoud

  • Last updated on