Gegevensbeveiliging en -versleuteling in Azure Data Manager for Energy

  • Artikel

Dit artikel bevat een overzicht van beveiligingsfuncties in Azure Data Manager for Energy. Het behandelt de belangrijkste gebieden van versleuteling-at-rest, versleuteling tijdens overdracht, TLS, https, door Microsoft beheerde sleutels en door de klant beheerde sleutel.

Data-at-rest versleutelen

Azure Data Manager voor Energie maakt gebruik van verschillende opslagresources voor het opslaan van metagegevens, gebruikersgegevens, in-memory gegevens, enzovoort. Het platform maakt gebruik van versleuteling aan de servicezijde om alle gegevens automatisch te versleutelen wanneer deze in de cloud worden bewaard. Gegevensversleuteling-at-rest beschermt uw gegevens, zodat u kunt voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Alle gegevens in Azure Data Manager for Energy worden standaard versleuteld met door Microsoft beheerde sleutels. Naast de door Microsoft beheerde sleutel kunt u uw eigen versleutelingssleutel gebruiken om de gegevens in Azure Data Manager for Energy te beveiligen. Wanneer u een door de klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de door Microsoft beheerde sleutel waarmee uw gegevens worden versleuteld.

Actieve gegevens versleutelen

Azure Data Manager for Energy ondersteunt het TLS 1.2-protocol (Transport Layer Security) om gegevens te beveiligen wanneer deze worden verplaatst tussen de cloudservices en klanten. TLS biedt sterke verificatie, berichtprivacy en integriteit (waardoor de detectie van manipulatie van berichten, onderschepping en vervalsing mogelijk is), interoperabiliteit en flexibiliteit van algoritmen.

Naast TLS vinden alle transacties via HTTPS plaats wanneer u met Azure Data Manager for Energy communiceert.

Door klant beheerde sleutels (CMK) instellen voor azure Data Manager for Energy-exemplaar

Belangrijk

U kunt CMK-instellingen niet bewerken nadat het Azure Data Manager for Energy-exemplaar is gemaakt.

Vereisten

Stap 1: de sleutelkluis configureren

  1. U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. Zie Overzicht van Azure Key Vault en Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

  2. Voor het gebruik van door de klant beheerde sleutels met Azure Data Manager for Energy moet zowel voorlopig verwijderen als beveiliging tegen opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en kan niet worden uitgeschakeld. U kunt beveiliging tegen opschonen inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt.

  3. Zie Quickstart: Een sleutelkluis maken met de Azure Portal voor meer informatie over het maken van een sleutelkluis met de Azure Portal. Wanneer u de sleutelkluis maakt, selecteert u Beveiliging tegen opschonen inschakelen.

    Schermopname van het inschakelen van beveiliging tegen opschonen en voorlopig verwijderen tijdens het maken van een sleutelkluis

  4. Voer de volgende stappen uit om beveiliging tegen opschonen in te schakelen voor een bestaande sleutelkluis:

    1. Navigeer naar uw sleutelkluis in de Azure Portal.
    2. Kies onder Instellingende optie Eigenschappen.
    3. Kies in de sectie Beveiliging tegen opschonende optie Beveiliging tegen opschonen inschakelen.

Stap 2: Een sleutel toevoegen

  1. Voeg vervolgens een sleutel toe aan de sleutelkluis.
  2. Zie Quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van de Azure Portal voor meer informatie over het toevoegen van een sleutel met de Azure Portal.
  3. Het wordt aanbevolen dat de RSA-sleutelgrootte 3072 is. Zie Door de klant beheerde sleutels configureren voor uw Azure Cosmos DB-account | Microsoft Learn.

Stap 3: Kies een beheerde identiteit om toegang tot de sleutelkluis te autoriseren

  1. Wanneer u door de klant beheerde sleutels inschakelt voor een bestaand Azure Data Manager for Energy-exemplaar, moet u een beheerde identiteit opgeven die wordt gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. De beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis.
  2. U kunt een door de gebruiker toegewezen beheerde identiteit maken.

Door de klant beheerde sleutels configureren voor een bestaand account

  1. Een Azure Data Manager for Energy-exemplaar maken.
  2. Selecteer het tabblad Versleuteling .

Schermopname van het tabblad Versleuteling tijdens het maken van Azure Data Manager voor Energie.

  1. Selecteer op het tabblad Versleuteling de optie Door de klant beheerde sleutels (CMK).

  2. Als u CMK wilt gebruiken, moet u de sleutelkluis selecteren waarin de sleutel is opgeslagen.

  3. Selecteer Versleutelingssleutel als 'Selecteer een sleutelkluis en sleutel'.

  4. Selecteer vervolgens 'Selecteer een sleutelkluis en sleutel'.

  5. Selecteer vervolgens de sleutelkluis en sleutel.

    Schermopname van de selectie van het abonnement, de sleutelkluis en de sleutel in het rechterdeelvenster dat wordt geopend nadat u 'een sleutelkluis en sleutel selecteren' hebt gekozen

  6. Selecteer vervolgens de door de gebruiker toegewezen beheerde identiteit die wordt gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat.

  7. Selecteer 'Selecteer een gebruikersidentiteit'. Selecteer de door de gebruiker toegewezen beheerde identiteit die u hebt gemaakt in de vereisten.

Schermopname van de sleutelkluis, sleutel, door de gebruiker toegewezen identiteit en CMK op het tabblad Versleuteling

  1. Deze door de gebruiker toegewezen identiteit moet machtigingen hebben voor de sleutel ophalen, lijstsleutel, sleutel verpakken en sleutel uitpakken voor de sleutelkluis. Zie Een Key Vault toegangsbeleid toewijzen voor meer informatie over het toewijzen van toegangsbeleid voor Azure Key Vault.

    Schermopname van het toegangsbeleid voor ophalen, weergeven, verpakken en upwrapen van sleutels

  2. U kunt ook Versleutelingssleutel selecteren als 'Enter key from URI'. Het is verplicht voor de sleutel om de beveiliging voor voorlopig verwijderen en opschonen in te schakelen. U moet dit bevestigen door het onderstaande vakje in te schakelen.

    Schermopname van de sleutelkluis-URI voor versleuteling

  3. Selecteer vervolgens Beoordelen en maken nadat u andere tabbladen hebt voltooid.

  4. Selecteer de knop Maken.

  5. Er wordt een Azure Data Manager for Energy-exemplaar gemaakt met door de klant beheerde sleutels.

  6. Zodra CMK is ingeschakeld, ziet u de status ervan op het scherm Overzicht .

    Schermopname van CMK ingeschakeld op de overzichtspagina van Azure Data Manager voor Energie.

  7. U kunt naar Versleuteling navigeren en zien dat CMK is ingeschakeld met een door de gebruiker beheerde identiteit.

    Schermopname van CMK-instellingen uitgeschakeld zodra het Exemplaar van Azure Data Manager for Energy is geïnstalleerd.

Volgende stappen

Voor meer informatie over Privékoppelingen.

Privékoppelingen instellen