Overzicht van Azure-versleuteling

Dit artikel bevat een overzicht van hoe versleuteling wordt gebruikt in Microsoft Azure. Het behandelt de belangrijkste gebieden van versleuteling, waaronder versleuteling in rust, versleuteling in vlucht en sleutelbeheer met Azure Key Vault.

Versleuteling van gegevens in rust

Data-at-rest bevat informatie die zich in permanente opslag op fysieke media bevindt, in elke digitale indeling. Microsoft Azure biedt diverse oplossingen voor gegevensopslag om te voldoen aan verschillende behoeften, waaronder bestands-, schijf-, blob- en tabelopslag. Microsoft biedt ook versleuteling om Azure SQL Database, Azure Cosmos DB en Azure Data Lake te beveiligen.

Data-encryptie in rust met AES-256-versleuteling is beschikbaar voor services in de cloudmodellen Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS).

Zie Azure Data Encryption-at-Rest voor een gedetailleerde bespreking van hoe data-at-rest wordt versleuteld in Azure.

Azure-versleutelingsmodellen

ondersteuning voor Azure verschillende versleutelingsmodellen, waaronder versleuteling aan de serverzijde die gebruikmaakt van door de service beheerde sleutels, door de klant beheerde sleutels in Key Vault of door de klant beheerde sleutels op door de klant beheerde hardware. Met versleuteling aan clientzijde kunt u sleutels on-premises of op een andere veilige locatie beheren en opslaan.

Versleuteling aan de kant van de client

Versleuteling aan de clientzijde wordt buiten Azure uitgevoerd. Deze bevat:

• Gegevens die zijn versleuteld door een toepassing die wordt uitgevoerd in het datacenter van de klant of door een servicetoepassing
• Gegevens die al zijn versleuteld wanneer deze worden ontvangen door Azure

Met versleuteling aan de clientzijde hebben cloudserviceproviders geen toegang tot de versleutelingssleutels en kunnen deze gegevens niet ontsleutelen. U behoudt volledige controle over de sleutels.

Versleuteling aan de kant van de server

De drie versleutelingsmodellen aan de serverzijde bieden verschillende kenmerken voor sleutelbeheer:

• Door de service beheerde sleutels: biedt een combinatie van controle en gemak met lage overhead
• Door de klant beheerde sleutels: geeft u controle over de sleutels, waaronder BYOK-ondersteuning (Bring Your Own Keys) of kunt u nieuwe sleutels genereren
• Door de service beheerde sleutels in door de klant beheerde hardware: hiermee kunt u sleutels beheren in uw eigen opslagplaats, buiten Microsoft-beheer (ook wel Host Your Own Key of HYOK genoemd)

Azure Disk Encryption

Belangrijk

Azure Disk Encryption is gepland voor buitengebruikstelling op 15 september 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.

Gebruik versleuteling op de host voor nieuwe VM's. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host voor meer informatie.

Alle beheerde schijven, momentopnamen en installatiekopieën worden versleuteld met behulp van Storage Service Encryption met behulp van een door de service beheerde sleutel. Azure biedt ook opties voor het beveiligen van tijdelijke schijven, caches en het beheren van sleutels in Azure Key Vault. Zie Overzicht van versleutelingsopties voor beheerde schijven voor meer informatie.

Azure Storage Service-versleuteling

Data-at-rest in Azure Blob Storage en Azure-bestandsshares kunnen worden versleuteld in scenario's aan de serverzijde en aan de clientzijde.

Azure Storage Service Encryption (SSE) kan gegevens automatisch versleutelen voordat deze worden opgeslagen en de gegevens worden automatisch ontsleuteld wanneer u deze ophaalt. Storage Service Encryption maakt gebruik van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn.

Azure SQL Database-versleuteling

Azure SQL Database is een relationele databaseservice voor algemeen gebruik die ondersteuning biedt voor structuren zoals relationele gegevens, JSON, ruimtelijk en XML. SQL Database ondersteunt zowel versleuteling aan de serverzijde via de functie Transparent Data Encryption (TDE) als versleuteling aan de clientzijde via de functie Always Encrypted.

Transparante gegevensversleuteling

TDE versleutelt SQL Server-, Azure SQL Database- en Azure Synapse Analytics-gegevensbestanden in realtime met behulp van een DATABASE Encryption Key (DEK). TDE is standaard ingeschakeld voor nieuw gemaakte Azure SQL-databases.

Altijd versleuteld

Met de functie Always Encrypted in Azure SQL kunt u gegevens in clienttoepassingen versleutelen voordat u deze opslaat in Azure SQL Database. U kunt de delegatie van on-premises databasebeheer aan derden inschakelen en de scheiding behouden tussen degenen die eigenaar zijn van de gegevens en deze kunnen inzien, en degenen die het beheer uitvoeren.

Versleuteling op cel- of kolomniveau

Met Azure SQL Database kunt u symmetrische versleuteling toepassen op een kolom met gegevens met behulp van Transact-SQL. Deze benadering wordt versleuteling op celniveau of versleuteling op kolomniveau (CLE) genoemd, omdat u deze kunt gebruiken om specifieke kolommen of cellen met verschillende versleutelingssleutels te versleutelen, zodat u meer gedetailleerde versleutelingsmogelijkheden hebt dan TDE.

Azure Cosmos DB-databaseversleuteling

Azure Cosmos DB is de wereldwijd gedistribueerde database met meerdere modellen van Microsoft. Gebruikersgegevens die zijn opgeslagen in Azure Cosmos DB in niet-vluchtige opslag (solid-state drives) worden standaard versleuteld met behulp van door de service beheerde sleutels. U kunt een tweede versleutelingslaag met uw eigen sleutels toevoegen met behulp van de cmk-functie (door de klant beheerde sleutels ).

Azure Data Lake-versleuteling

Azure Data Lake is een opslagplaats voor de hele onderneming met gegevens. Data Lake Store ondersteunt standaard "automatische" transparante versleuteling van gegevens in rust, die wordt geconfigureerd tijdens het aanmaken van het account. Azure Data Lake Store beheert standaard de sleutels voor u, maar u hebt de mogelijkheid om ze zelf te beheren.

Versleuteling van gegevens in transit

Azure biedt veel mechanismen voor het privé houden van gegevens wanneer deze van de ene locatie naar de andere worden verplaatst.

Gegevenskoppelingslaagversleuteling

Wanneer azure-klantverkeer wordt verplaatst tussen datacenters( buiten fysieke grenzen die niet worden beheerd door Microsoft), wordt een versleutelingsmethode voor gegevenskoppelingslagen met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) toegepast vanaf punt-naar-punt over de onderliggende netwerkhardware. De pakketten worden versleuteld op de apparaten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Verkeer van Azure binnen een regio of tussen regio's.

TLS-versleuteling

Microsoft biedt klanten de mogelijkheid om het TLS-protocol (Transport Layer Security) te gebruiken om gegevens te beveiligen wanneer ze reizen tussen cloudservices en klanten. Microsoft-datacenters onderhandelen over een TLS-verbinding met clientsystemen die verbinding maken met Azure-services. TLS biedt sterke verificatie, berichtprivacy en integriteit.

Belangrijk

Azure gaat over naar tls 1.2 of hoger voor alle verbindingen met Azure-services. De meeste Azure-services hebben deze overgang met 31 augustus 2025 voltooid. Zorg ervoor dat uw toepassingen TLS 1.2 of hoger gebruiken.

Perfect Forward Secrecy (PFS) beschermt verbindingen tussen clientsystemen van klanten en Microsoft-cloudservices met unieke sleutels. Verbindingen ondersteunen op RSA gebaseerde 2048-bits sleutellengten, ECC 256-bits sleutellengten, SHA-384-berichtverificatie en AES-256-gegevensversleuteling.

Azure Storage-transacties

Wanneer u via Azure Portal met Azure Storage communiceert, vinden alle transacties plaats via HTTPS. U kunt de Storage REST API ook via HTTPS gebruiken om te communiceren met Azure Storage. U kunt het gebruik van HTTPS afdwingen wanneer u de REST API's aanroept door de vereiste voor veilige overdracht voor het opslagaccount in te schakelen.

Shared Access Signatures (SAS) die kunnen worden gebruikt voor het delegeren van toegang tot Azure Storage-objecten, bevatten een optie om op te geven dat alleen het HTTPS-protocol kan worden gebruikt.

SMB-versleuteling

SMB 3.0, gebruikt voor toegang tot Azure Files-shares, ondersteunt versleuteling en is beschikbaar in Windows Server 2012 R2, Windows 8, Windows 8.1 en Windows 10. Het biedt toegang tot meerdere regio's en bureaubladtoegang.

VPN-versleuteling

U kunt verbinding maken met Azure via een virtueel particulier netwerk dat een beveiligde tunnel maakt om de privacy te beschermen van de gegevens die via het netwerk worden verzonden.

Azure VPN Gateways

Azure VPN-gateway kan versleuteld verkeer verzenden tussen uw virtuele netwerk en uw on-premises locatie via een openbare verbinding of tussen virtuele netwerken. Site-naar-site-VPN's gebruiken IPsec voor transportversleuteling.

Punt-naar-site-VPN's

Punt-naar-site VPN's bieden afzonderlijke clientcomputers toegang tot een virtueel Azure-netwerk. Het Secure Socket Tunneling Protocol (SSTP) wordt gebruikt om de VPN-tunnel te maken. Zie Een punt-naar-site-verbinding met een virtueel netwerk configureren voor meer informatie.

Site-naar-site-VPN's

Een site-naar-site-VPN-gatewayverbinding verbindt uw on-premises netwerk met een virtueel Azure-netwerk via een IPsec-/IKE VPN-tunnel. Zie Een site-naar-site-verbinding maken voor meer informatie.

Sleutelbeheer met Key Vault

Zonder de juiste beveiliging en het juiste beheer van sleutels wordt versleuteling zinloos. Azure Key Vault is de door Microsoft aanbevolen oplossing voor het beheren en beheren van de toegang tot versleutelingssleutels die worden gebruikt door cloudservices.

Met Key Vault hoeven organisaties hardwarebeveiligingsmodules (Hardware Security Modules of HSM's) en sleutelbeheersoftware niet zelf te configureren, te onderhouden en hiervoor patches toe te passen. Met Key Vault behoudt u de controle. Microsoft ziet uw sleutels nooit en toepassingen hebben geen directe toegang tot deze sleutels. U kunt ook sleutels importeren of genereren in HSM's.

Zie Sleutelbeheer in Azure voor meer informatie over sleutelbeheer in Azure.

Volgende stappen

• Overzicht van Azure-beveiliging
• Overzicht van Azure-netwerkbeveiliging
• Overzicht van azure-databasebeveiliging
• Beveiligingsoverzicht van virtuele Azure-machines
• Versleuteling van gegevens in rusttoestand
• Best practices voor gegevensbeveiliging en -versleuteling
• Sleutelbeheer in Azure