Overzicht van Azure-versleuteling

Dit artikel bevat een overzicht van hoe versleuteling wordt gebruikt in Microsoft Azure. Het behandelt de belangrijkste gebieden van versleuteling, waaronder versleuteling in rust, versleuteling in vlucht en sleutelbeheer met Azure Key Vault. Elke sectie bevat koppelingen naar meer gedetailleerde informatie.

Versleuteling van data-at-rest

Data-at-rest bevat informatie die zich in permanente opslag op fysieke media bevindt, in elke digitale indeling. De media kunnen bestanden bevatten op magnetische of optische media, gearchiveerde gegevens en gegevensback-ups. Microsoft Azure biedt diverse oplossingen voor gegevensopslag om aan verschillende behoeften te voldoen, waaronder bestands-, schijf-, blob- en tabelopslag. Microsoft biedt ook versleuteling om Azure SQL Database, Azure Cosmos DB en Azure Data Lake te beveiligen.

Data encryption at rest is beschikbaar voor services in de SaaS-cloudmodellen (Software as a Service), Platform as a Service (PaaS) en IaaS-cloudmodellen (Infrastructure as a Service). In dit artikel vindt u een overzicht van resources die u helpen bij het gebruik van de Versleutelingsopties van Azure.

Zie Azure Data Encryption-at-Rest voor een gedetailleerdere bespreking van hoe data-at-rest wordt versleuteld in Azure.

Azure-versleutelingsmodellen

Azure ondersteunt verschillende versleutelingsmodellen, waaronder versleuteling aan de serverzijde die gebruikmaakt van door de service beheerde sleutels, door de klant beheerde sleutels in Key Vault of door de klant beheerde sleutels op door de klant beheerde hardware. Met versleuteling aan clientzijde kunt u sleutels on-premises of op een andere veilige locatie beheren en opslaan.

Clientversleuteling

Versleuteling aan de clientzijde wordt uitgevoerd buiten Azure. Deze bevat:

  • Gegevens die worden versleuteld door een toepassing die wordt uitgevoerd in het datacenter van de klant of door een servicetoepassing.
  • Gegevens die al zijn versleuteld wanneer deze worden ontvangen door Azure.

Met versleuteling aan de clientzijde hebben cloudserviceproviders geen toegang tot de versleutelingssleutels en kunnen deze gegevens niet ontsleutelen. U behoudt volledige controle over de sleutels.

Versleuteling aan de serverzijde

De drie versleutelingsmodellen aan de serverzijde bieden verschillende kenmerken voor sleutelbeheer, die u kunt kiezen op basis van uw vereisten:

  • Door de service beheerde sleutels: biedt een combinatie van controle en gemak met lage overhead.

  • Door de klant beheerde sleutels: geeft u controle over de sleutels, inclusief BYOK-ondersteuning (Bring Your Own Keys) of kunt u nieuwe sleutels genereren.

  • Door de service beheerde sleutels in door de klant beheerde hardware: hiermee kunt u sleutels beheren in uw eigen opslagplaats, buiten Microsoft-beheer. Dit kenmerk heet Host Your Own Key (HYOK). De configuratie is echter complex en de meeste Azure-services bieden geen ondersteuning voor dit model.

Azure-schijfversleuteling

U kunt uw beheerde schijven beveiligen met behulp van Azure Disk Encryption voor Linux-VM's, die gebruikmaken van DM-Crypt of Azure Disk Encryption voor Windows-VM's, die Gebruikmaken van Windows BitLocker, om zowel besturingssysteemschijven als gegevensschijven te beveiligen met volledige volumeversleuteling.

Versleutelingssleutels en geheimen worden beveiligd in uw Azure Key Vault-abonnement. Met behulp van de Azure Backup-service kunt u een back-up maken van versleutelde virtuele machines (VM's) die gebruikmaken van de KEK-configuratie (Key Encryption Key).

Azure Storage Service Encryption

Data-at-rest in Azure Blob Storage en Azure-bestandsshares kunnen worden versleuteld in scenario's aan de serverzijde en aan de clientzijde.

Azure Storage Service Encryption (SSE) kan gegevens automatisch versleutelen voordat deze worden opgeslagen en ontsleutelt de gegevens automatisch wanneer u deze ophaalt. Het proces is volledig transparant voor gebruikers. Storage Service Encryption maakt gebruik van 256-bits AES-versleuteling (Advanced Encryption Standard), een van de sterkste blokcoderingen die beschikbaar zijn. AES verwerkt versleuteling, ontsleuteling en sleutelbeheer transparant.

Versleuteling aan de clientzijde van Azure-blobs

U kunt versleuteling aan de clientzijde van Azure-blobs op verschillende manieren uitvoeren.

U kunt het Azure Storage-clientbibliotheek voor .NET NuGet-pakket gebruiken om gegevens in uw clienttoepassingen te versleutelen voordat u deze uploadt naar uw Azure-opslag.

Zie Windows Azure Storage 8.3.0 voor meer informatie over het Azure Storage-clientbibliotheek voor .NET NuGet-pakket.

Wanneer u versleuteling aan de clientzijde gebruikt met Key Vault, worden uw gegevens versleuteld met behulp van een eenmalige symmetrische CEK (Content Encryption Key) die wordt gegenereerd door de Azure Storage-client-SDK. De CEK wordt versleuteld met behulp van een KEK (Key Encryption Key), dat een symmetrische sleutel of een asymmetrisch sleutelpaar kan zijn. U kunt het lokaal beheren of opslaan in Key Vault. De versleutelde gegevens worden vervolgens geüpload naar Azure Storage.

Zie Zelfstudie: Blobs versleutelen en ontsleutelen in Azure Storage met behulp van Key Vault voor meer informatie over versleuteling aan clientzijde met Key Vault en aan de slag met instructies.

Ten slotte kunt u ook de Azure Storage-clientbibliotheek voor Java gebruiken om versleuteling aan de clientzijde uit te voeren voordat u gegevens uploadt naar Azure Storage en om de gegevens te ontsleutelen wanneer u deze naar de client downloadt. Deze bibliotheek ondersteunt ook integratie met Key Vault voor sleutelbeheer van opslagaccounts.

Versleuteling van data-at-rest met Azure SQL Database

Azure SQL Database is een relationele databaseservice voor algemeen gebruik in Azure die ondersteuning biedt voor structuren zoals relationele gegevens, JSON, ruimtelijk en XML. SQL Database ondersteunt zowel versleuteling aan de serverzijde via de functie Transparent Data Encryption (TDE) als versleuteling aan de clientzijde via de functie Always Encrypted.

Transparante gegevensversleuteling

TDE wordt gebruikt voor het versleutelen van SQL Server- Azure SQL Database- en Azure Synapse Analytics-gegevensbestanden in realtime met behulp van een Database Encryption Key (DEK), die wordt opgeslagen in de databasestartrecord voor beschikbaarheid tijdens het herstel.

TDE beveiligt gegevens- en logboekbestanden met behulp van AES- en Triple Data Encryption Standard-versleutelingsalgoritmen (3DES). Versleuteling van het databasebestand wordt uitgevoerd op paginaniveau. De pagina's in een versleutelde database worden versleuteld voordat ze naar de schijf worden geschreven en worden ontsleuteld wanneer ze in het geheugen worden gelezen. TDE is nu standaard ingeschakeld voor nieuw gemaakte Azure SQL databases.

Always Encrypted functie

Met de functie Always Encrypted in Azure SQL kunt u gegevens in clienttoepassingen versleutelen voordat u deze opslaat in Azure SQL Database. U kunt ook delegering van on-premises databasebeheer aan derden inschakelen en scheiding onderhouden tussen degenen die eigenaar zijn en de gegevens kunnen bekijken en degenen die deze beheren, maar er geen toegang toe hebben.

Versleuteling op celniveau of kolomniveau

Met Azure SQL Database kunt u symmetrische versleuteling toepassen op een kolom met gegevens met behulp van Transact-SQL. Deze methode wordt versleuteling op celniveau of versleuteling op kolomniveau genoemd, omdat u deze kunt gebruiken om specifieke kolommen of zelfs specifieke cellen met gegevens met verschillende versleutelingssleutels te versleutelen. Dit biedt u meer gedetailleerde versleutelingsmogelijkheden dan TDE, waarmee gegevens op pagina's worden versleuteld.

CLE heeft ingebouwde functies die u kunt gebruiken om gegevens te versleutelen met behulp van symmetrische of asymmetrische sleutels, de openbare sleutel van een certificaat of een wachtwoordzin met behulp van 3DES.

Azure Cosmos DB-databaseversleuteling

Azure Cosmos DB is de wereldwijd gedistribueerde database met meerdere modellen van Microsoft. Gebruikersgegevens die zijn opgeslagen in Azure Cosmos DB in niet-vluchtige opslag (solid-state drives) worden standaard versleuteld. Er zijn geen besturingselementen om deze in of uit te schakelen. Versleuteling at rest wordt geïmplementeerd met behulp van een aantal beveiligingstechnologieën, waaronder beveiligde sleutelopslagsystemen, versleutelde netwerken en cryptografische API's. Versleutelingssleutels worden beheerd door Microsoft en worden geroteerd volgens interne richtlijnen van Microsoft. U kunt er desgewenst voor kiezen om een tweede versleutelingslaag toe te voegen met sleutels die u beheert met behulp van de door de klant beheerde sleutels of CMK-functie .

At-rest-versleuteling in Data Lake

Azure Data Lake is een opslagplaats voor de hele onderneming van elk type gegevens dat op één plaats wordt verzameld vóór een formele definitie van vereisten of schema. Data Lake Store biedt ondersteuning voor 'standaard ingeschakeld', transparante versleuteling van data-at-rest, die is ingesteld tijdens het maken van uw account. Azure Data Lake Store beheert standaard de sleutels voor u, maar u hebt de mogelijkheid om ze zelf te beheren.

Er worden drie typen sleutels gebruikt voor het versleutelen en ontsleutelen van gegevens: DEK (Master Encryption Key), Data Encryption Key (DEK) en BeK (Block Encryption Key). De MEK wordt gebruikt voor het versleutelen van de DEK, die is opgeslagen op permanente media, en de BEK wordt afgeleid van de DEK en het gegevensblok. Als u uw eigen sleutels beheert, kunt u de MEK draaien.

Versleuteling van gegevens die onderweg zijn

Azure biedt veel mechanismen voor het privé houden van gegevens wanneer deze van de ene locatie naar de andere worden verplaatst.

Wanneer azure-klantverkeer wordt verplaatst tussen datacenters( buiten fysieke grenzen die niet worden beheerd door Microsoft (of namens Microsoft)- wordt een methode voor gegevenskoppelingslaagversleuteling toegepast met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) vanaf een punt-naar-punt over de onderliggende netwerkhardware. De pakketten worden versleuteld en ontsleuteld op de apparaten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Omdat deze technologie is geïntegreerd op de netwerkhardware zelf, biedt het versleuteling van regelsnelheid op de netwerkhardware zonder meetbare koppelingslatentieverhoging. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Verkeer van Azure binnen een regio of tussen regio's en er is geen actie vereist voor het inschakelen van klanten.

TLS-versleuteling in Azure

Microsoft biedt klanten de mogelijkheid om het TLS-protocol (Transport Layer Security ) te gebruiken om gegevens te beveiligen wanneer ze reizen tussen de cloudservices en klanten. Microsoft-datacenters onderhandelen over een TLS-verbinding met clientsystemen die verbinding maken met Azure-services. TLS biedt sterke verificatie, privacy en integriteit van berichten (waardoor berichten worden gemanipuleerd, onderschept en vervalst), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak en gebruiksgemak.

Perfect Forward Secrecy (PFS) beschermt verbindingen tussen clientsystemen van klanten en Microsoft-cloudservices met unieke sleutels. Verbindingen gebruiken ook op RSA gebaseerde 2048-bits versleutelingssleutellengten. Deze combinatie maakt het moeilijk voor iemand om gegevens te onderscheppen en te openen die onderweg zijn.

Azure Storage-transacties

Wanneer u via de Azure Portal met Azure Storage werkt, vinden alle transacties plaats via HTTPS. U kunt ook de Storage REST API via HTTPS gebruiken om te communiceren met Azure Storage. U kunt het gebruik van HTTPS afdwingen wanneer u de REST API's aanroept voor toegang tot objecten in opslagaccounts door de beveiligde overdracht in te schakelen die vereist is voor het opslagaccount.

Shared Access Signatures (SAS), dat kan worden gebruikt voor het delegeren van toegang tot Azure Storage-objecten, bevat een optie om op te geven dat alleen het HTTPS-protocol kan worden gebruikt wanneer u Shared Access Signatures gebruikt. Deze aanpak zorgt ervoor dat iedereen die koppelingen met SAS-tokens verzendt het juiste protocol gebruikt.

SMB 3.0, die wordt gebruikt voor toegang tot Azure Files shares, ondersteunt versleuteling en is beschikbaar in Windows Server 2012 R2, Windows 8, Windows 8.1 en Windows 10. Het biedt toegang tot meerdere regio's en zelfs toegang op het bureaublad.

Versleuteling aan de clientzijde versleutelt de gegevens voordat deze naar uw Azure Storage-exemplaar worden verzonden, zodat deze worden versleuteld wanneer deze via het netwerk worden verzonden.

SMB-versleuteling via virtuele Azure-netwerken

Met behulp van SMB 3.0 in VIRTUELE machines waarop Windows Server 2012 of hoger wordt uitgevoerd, kunt u gegevensoverdrachten beveiligen door gegevens te versleutelen die worden overgedragen via virtuele Azure-netwerken. Door gegevens te versleutelen, kunt u bescherming bieden tegen manipulatie- en afluisteraanvallen. Beheerders kunnen SMB-versleuteling inschakelen voor de hele server of alleen specifieke shares.

Nadat SMB-versleuteling is ingeschakeld voor een share of server, hebben alleen SMB 3.0-clients toegang tot de versleutelde shares.

In-transit-versleuteling in VM's

Gegevens die onderweg zijn naar, van en naar vm's waarop Windows wordt uitgevoerd, kunnen op verschillende manieren worden versleuteld, afhankelijk van de aard van de verbinding.

RDP-sessies

U kunt verbinding maken en aanmelden bij een VIRTUELE machine met behulp van Remote Desktop Protocol (RDP) vanaf een Windows-clientcomputer of vanaf een Mac waarop een RDP-client is geïnstalleerd. Gegevens die onderweg zijn via het netwerk in RDP-sessies kunnen worden beveiligd door TLS.

U kunt extern bureaublad ook gebruiken om verbinding te maken met een Virtuele Linux-machine in Azure.

Toegang tot Linux-VM's beveiligen met SSH

Voor extern beheer kunt u Secure Shell (SSH) gebruiken om verbinding te maken met Linux-VM's die worden uitgevoerd in Azure. SSH is een versleuteld verbindingsprotocol waarmee beveiligde aanmeldingen via onbeveiligde verbindingen worden toegestaan. Het is het standaardverbindingsprotocol voor Linux-VM's die worden gehost in Azure. Door SSH-sleutels voor verificatie te gebruiken, hoeft u zich niet meer aan te melden. SSH maakt gebruik van een openbaar/persoonlijk sleutelpaar (asymmetrische versleuteling) voor verificatie.

Azure VPN-versleuteling

U kunt verbinding maken met Azure via een virtueel particulier netwerk dat een beveiligde tunnel maakt om de privacy te beschermen van de gegevens die via het netwerk worden verzonden.

Azure VPN-gateways

U kunt een Azure VPN-gateway gebruiken om versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie te verzenden via een openbare verbinding of om verkeer tussen virtuele netwerken te verzenden.

Site-naar-site-VPN's gebruiken IPsec voor transportversleuteling. Azure VPN-gateways maken gebruik van een set standaardvoorstellen. U kunt Azure VPN-gateways configureren voor het gebruik van een aangepast IPsec-/IKE-beleid met specifieke cryptografische algoritmen en belangrijke sterke punten, in plaats van de standaardbeleidssets van Azure.

Punt-naar-site-VPN's

Punt-naar-site-VPN's staan afzonderlijke clientcomputers toegang tot een virtueel Azure-netwerk toe. Het Secure Socket Tunneling Protocol (SSTP) wordt gebruikt om de VPN-tunnel te maken. Het kan firewalls passeren (de tunnel wordt weergegeven als een HTTPS-verbinding). U kunt uw eigen PKI-basiscertificeringsinstantie (Public Key Infrastructure) gebruiken voor punt-naar-site-connectiviteit.

U kunt een punt-naar-site-VPN-verbinding met een virtueel netwerk configureren met behulp van de Azure Portal met certificaatverificatie of PowerShell.

Zie voor meer informatie over punt-naar-site-VPN-verbindingen met virtuele Azure-netwerken:

Een punt-naar-site-verbinding met een virtueel netwerk configureren met behulp van certificeringsverificatie: Azure Portal

Een punt-naar-site-verbinding met een virtueel netwerk configureren met behulp van certificaatverificatie: PowerShell

Site-naar-site-VPN's

U kunt een site-naar-site VPN-gatewayverbinding gebruiken om uw on-premises netwerk te verbinden met een virtueel Azure-netwerk via een VPN-tunnel van IPsec/IKE (IKEv1 of IKEv2). Dit type verbinding vereist een on-premises VPN-apparaat waaraan een extern openbaar IP-adres is toegewezen.

U kunt een site-naar-site-VPN-verbinding met een virtueel netwerk configureren met behulp van de Azure Portal, PowerShell of Azure CLI.

Zie voor meer informatie:

Een site-naar-site-verbinding maken in de Azure Portal

Een site-naar-site-verbinding maken in PowerShell

Een virtueel netwerk maken met een site-naar-site-VPN-verbinding met behulp van CLI

In-transitversleuteling in Data Lake

Gegevens tijdens overdracht (ook wel gegevens in beweging genoemd) worden ook altijd versleuteld in Data Lake Store. Naast het versleutelen van gegevens voordat ze worden opgeslagen in permanente media, worden de gegevens ook altijd tijdens overdracht beveiligd met behulp van HTTPS. HTTPS is het enige protocol dat wordt ondersteund voor de Data Lake Store REST-interfaces.

Zie Versleuteling van gegevens in Data Lake voor meer informatie over versleuteling van gegevens die onderweg zijn in Data Lake Store.

Sleutelbeheer met Key Vault

Zonder de juiste beveiliging en beheer van de sleutels wordt versleuteling nutteloos weergegeven. Key Vault is de door Microsoft aanbevolen oplossing voor het beheren en beheren van de toegang tot versleutelingssleutels die worden gebruikt door cloudservices. Machtigingen voor toegangssleutels kunnen worden toegewezen aan services of aan gebruikers via Azure Active Directory-accounts.

Met Key Vault hoeven organisaties hardwarebeveiligingsmodules (Hardware Security Modules of HSM's) en sleutelbeheersoftware niet zelf te configureren, te onderhouden en hiervoor patches toe te passen. Wanneer u Key Vault gebruikt, behoudt u de controle. Microsoft ziet uw sleutels nooit en toepassingen hebben geen directe toegang tot deze sleutels. U kunt ook sleutels importeren of genereren in HSM's.

Volgende stappen