Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usługa Azure Cosmos DB for PostgreSQL nie jest już obsługiwana w przypadku nowych projektów. Nie używaj tej usługi dla nowych projektów. Zamiast tego użyj jednej z tych dwóch usług:
Użyj usługi Azure Cosmos DB for NoSQL dla rozproszonego rozwiązania bazy danych przeznaczonego dla scenariuszy o dużej skali z umową dotyczącą poziomu usług dostępności 99,999% (SLA), natychmiastowym skalowaniem automatycznym i automatycznym przejściem w tryb failover w wielu regionach.
Użyj funkcji Elastic Clusters usługi Azure Database for PostgreSQL na potrzeby fragmentowanej bazy danych PostgreSQL przy użyciu rozszerzenia Citus typu open source.
Dane przechowywane w klastrze usługi Azure Cosmos DB for PostgreSQL są automatycznie i bezproblemowo szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Te klucze nazywane są kluczami zarządzanymi przez usługę. Usługa Azure Cosmos DB for PostgreSQL domyślnie używa funkcji szyfrowania przy użyciu Azure Storage do szyfrowania danych w stanie spoczynku przy użyciu kluczy zarządzanych przez usługę. Opcjonalnie możesz dodać dodatkową warstwę zabezpieczeń, włączając szyfrowanie przy użyciu kluczy zarządzanych przez klienta.
Klucze zarządzane przez usługę
Usługa Azure Cosmos DB for PostgreSQL używa zweryfikowanego modułu kryptograficznego FIPS 140-2 do szyfrowania danych magazynowanych. Wszystkie dane, w tym kopie zapasowe i pliki tymczasowe utworzone podczas uruchamiania zapytań, są szyfrowane na dysku. Usługa używa 256-bitowego szyfru AES zawartego w szyfrowaniu usługi Azure Storage, a klucze są zarządzane przez system. Szyfrowanie magazynu jest zawsze włączone i nie można go wyłączyć.
Klucze zarządzane przez klienta
Wiele organizacji wymaga pełnej kontroli dostępu do danych przy użyciu klucza zarządzanego przez klienta (CMK). Szyfrowanie danych przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Cosmos DB for PostgreSQL umożliwia korzystanie z własnego klucza w celu ochrony danych w spoczynku. Umożliwia to również organizacjom rozdzielanie obowiązków związanych z zarządzaniem kluczami i danymi. W przypadku szyfrowania zarządzanego przez klienta odpowiadasz za cykl życia klucza, uprawnienia użycia i inspekcję operacji.
Szyfrowanie danych przy użyciu kluczy zarządzanych przez klienta dla usługi Azure Cosmos DB for PostgreSQL jest ustawione na poziomie serwera. Dane, w tym kopie zapasowe, są szyfrowane na dysku. To szyfrowanie obejmuje pliki tymczasowe utworzone podczas uruchamiania zapytań. W przypadku danego klastra klucz zarządzany przez klienta, nazywany kluczem szyfrowania klucza (KEK), jest używany do szyfrowania klucza szyfrowania danych usługi (DEK). Klucz KEK jest kluczem asymetrycznym przechowywanym w wystąpieniu usługi Azure Key Vault należącym do klienta i zarządzanym przez klienta.
| Opis | |
|---|---|
| Klucz szyfrowania danych (DEK) | Klucz szyfrowania danych jest symetrycznym kluczem AES256 używanym do szyfrowania partycji lub bloku danych. Szyfrowanie każdego bloku danych przy użyciu innego klucza sprawia, że ataki analizy kryptograficznej są trudniejsze. Dostawca zasobów lub wystąpienie aplikacji, które szyfruje i odszyfrowuje określony blok, wymaga dostępu do usługi DEKs. Po zastąpieniu klucza szyfrowania danych (DEK) nowym kluczem, tylko dane w skojarzonym bloku muszą zostać ponownie zaszyfrowane przy użyciu nowego klucza. |
| Klucz szyfrowania klucza (KEK) | Klucz główny to klucz szyfrujący używany do szyfrowania kluczy danych (DEK). Klucz KEK, który nigdy nie opuszcza magazynu kluczy, pozwala na szyfrowanie i kontrolowanie kluczy szyfrowania danych. Jednostka, która ma dostęp do klucza KEK, może być inna niż jednostka, która wymaga klucza szyfrowania danych. Ponieważ klucz KEK jest wymagany do odszyfrowywania kluczy DEK, klucz KEK stanowi pojedynczy punkt awarii i jego usunięcie skutecznie usuwa klucze DEK. |
Uwaga
Usługa Azure Key Vault to oparty na chmurze system zarządzania kluczami. Jest wysoko dostępna i zapewnia skalowalny, bezpieczny magazyn dla kluczy kryptograficznych RSA, opcjonalnie wspierana przez sprzętowe moduły zabezpieczeń zatwierdzone zgodnie ze standardem FIPS 140. Magazyn kluczy nie zezwala na bezpośredni dostęp do przechowywanego klucza, ale umożliwia korzystanie z usług szyfrowania i odszyfrowywania dla autoryzowanych jednostek. Magazyn kluczy może wygenerować klucz, zaimportować go lub przenieść go z lokalnego urządzenia HSM.
Zaszyfrowane klucze DEK przy użyciu kluczy KEK są przechowywane oddzielnie. Tylko jednostka z dostępem do klucza KEK może odszyfrować te klucze DEK. Aby uzyskać więcej informacji, zobacz Bezpieczeństwo szyfrowania danych w stanie spoczynku.
Jak działa szyfrowanie danych przy użyciu klucza zarządzanego przez klienta
Aby klaster mógł używać kluczy zarządzanych przez klienta przechowywanych w usłudze Key Vault do szyfrowania DEK, administrator usługi Key Vault przyznaje serwerowi następujące prawa dostępu:
| Opis | |
|---|---|
| Pobierz | Umożliwia pobranie publicznej części i właściwości klucza w magazynie kluczy. |
| wrapKey | Umożliwia szyfrowanie klucza danych (DEK). Zaszyfrowany DEK jest przechowywany w usłudze Azure Cosmos DB for PostgreSQL. |
| unwrapKey | Umożliwia odszyfrowanie DEK (klucza szyfrowania danych). Usługa Azure Cosmos DB dla PostgreSQL wymaga odszyfrowanego DEK do szyfrowania i odszyfrowywania danych. |
Administrator magazynu kluczy może również włączyć rejestrowanie zdarzeń inspekcji usługi Key Vault, aby można je było przeprowadzić później. Gdy klaster usługi Azure Cosmos DB for PostgreSQL jest skonfigurowany do używania klucza zarządzanego przez klienta przechowywanego w magazynie kluczy, klaster wysyła klucz danych (DEK) do magazynu kluczy w celu szyfrowania. Usługa Key Vault zwraca zaszyfrowany DEK, który jest przechowywany w bazie danych użytkownika. Podobnie, w razie potrzeby serwer wysyła chroniony klucz szyfrowania danych do magazynu kluczy na potrzeby odszyfrowywania. Audytorzy mogą używać usługi Azure Monitor do przeglądania dzienników zdarzeń inspekcji usługi Key Vault, jeśli rejestrowanie jest włączone.
Świadczenia
Szyfrowanie danych przy użyciu kluczy zarządzanych przez klienta dla usługi Azure Cosmos DB for PostgreSQL zapewnia następujące korzyści:
- Możesz w pełni kontrolować dostęp do danych z możliwością usunięcia klucza i uniemożliwić dostęp do bazy danych.
- Pełna kontrola nad cyklem życia klucza, w tym rotacją klucza w celu dostosowania do określonych zasad firmy.
- Centralne zarządzanie i organizacja kluczy w usłudze Azure Key Vault.
- Możliwość wdrożenia rozdzielenia obowiązków między funkcjonariuszami zabezpieczeń, administratorami bazy danych i administratorami systemu.
- Włączenie szyfrowania nie ma żadnego dodatkowego wpływu na wydajność z kluczami zarządzanymi przez klienta lub bez tych kluczy. Usługa Azure Cosmos DB for PostgreSQL korzysta z usługi Azure Storage na potrzeby szyfrowania danych zarówno w scenariuszach kluczy zarządzanych przez klienta, jak i zarządzanych przez usługę.