Udostępnij za pośrednictwem

Zabezpieczenia i szyfrowanie danych w usłudze Azure Data Manager for Energy

  • Artykuł

Ten artykuł zawiera omówienie funkcji zabezpieczeń w usłudze Azure Data Manager for Energy. Obejmuje ona główne obszary szyfrowania magazynowanych, szyfrowanie podczas przesyłania, tls, https, klucze zarządzane przez firmę Microsoft i klucz zarządzany przez klienta.

Szyfrowanie danych magazynowanych

Usługa Azure Data Manager for Energy używa kilku zasobów magazynu do przechowywania metadanych, danych użytkownika, danych w pamięci itp. Platforma używa szyfrowania po stronie usługi do automatycznego szyfrowania wszystkich danych, gdy są utrwalane w chmurze. Szyfrowanie danych magazynowanych chroni dane, aby ułatwić spełnienie zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Wszystkie dane w usłudze Azure Data Manager for Energy są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Oprócz klucza zarządzanego przez firmę Microsoft możesz użyć własnego klucza szyfrowania, aby chronić dane w usłudze Azure Data Manager for Energy. Po określeniu klucza zarządzanego przez klienta ten klucz jest używany do ochrony i kontrolowania dostępu do klucza zarządzanego przez firmę Microsoft, który szyfruje dane.

Szyfrowanie danych przesyłanych

Usługa Azure Data Manager for Energy obsługuje protokół Transport Layer Security (TLS 1.2), aby chronić dane podczas podróży między usługami w chmurze a klientami. Protokół TLS zapewnia silne uwierzytelnianie, prywatność komunikatów i integralność (umożliwiając wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie i elastyczność algorytmu.

Oprócz protokołu TLS podczas interakcji z usługą Azure Data Manager for Energy wszystkie transakcje odbywają się za pośrednictwem protokołu HTTPS.

Konfigurowanie kluczy zarządzanych przez klienta (CMK) dla wystąpienia usługi Azure Data Manager for Energy

Ważne

Po utworzeniu wystąpienia usługi Azure Data Manager for Energy nie można edytować ustawień klucza zarządzania kluczami.

Wymagania wstępne

Krok 1. Konfigurowanie magazynu kluczy

  1. Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Aby dowiedzieć się więcej o usłudze Azure Key Vault, zobacz Omówienie usługi Azure Key Vault i Co to jest usługa Azure Key Vault?

  2. Używanie kluczy zarządzanych przez klienta z usługą Azure Data Manager for Energy wymaga włączenia ochrony przed usuwaniem nietrwałym i przeczyszczeniem magazynu kluczy. Usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przeczyszczania można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu.

  3. Aby dowiedzieć się, jak utworzyć magazyn kluczy za pomocą Azure Portal, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu Azure Portal. Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przeczyszczania.

    Zrzut ekranu przedstawiający włączanie ochrony przed przeczyszczeniem i usuwaniem nietrwałym podczas tworzenia magazynu kluczy

  4. Aby włączyć ochronę przeczyszczania w istniejącym magazynie kluczy, wykonaj następujące kroki:

    1. Przejdź do magazynu kluczy w Azure Portal.
    2. W obszarze Ustawienia wybierz pozycję Właściwości.
    3. W sekcji Ochrona przed przeczyszczaniem wybierz pozycję Włącz ochronę przeczyszczania.

Krok 2. Dodawanie klucza

  1. Następnie dodaj klucz do magazynu kluczy.
  2. Aby dowiedzieć się, jak dodać klucz za pomocą Azure Portal, zobacz Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu Azure Portal.
  3. Zaleca się, aby rozmiar klucza RSA wynosi 3072, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla konta usługi Azure Cosmos DB | Microsoft Learn.

Krok 3. Wybieranie tożsamości zarządzanej w celu autoryzowania dostępu do magazynu kluczy

  1. Po włączeniu kluczy zarządzanych przez klienta dla istniejącego wystąpienia usługi Azure Data Manager for Energy należy określić tożsamość zarządzaną, która będzie używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Tożsamość zarządzana musi mieć uprawnienia dostępu do klucza w magazynie kluczy.
  2. Możesz utworzyć tożsamość zarządzaną przypisaną przez użytkownika.

Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta

  1. Utwórz wystąpienie usługi Azure Data Manager for Energy .
  2. Wybierz kartę Szyfrowanie .

Zrzut ekranu przedstawiający kartę Szyfrowanie podczas tworzenia usługi Azure Data Manager for Energy.

  1. Na karcie Szyfrowanie wybierz pozycję Klucze zarządzane przez klienta (CMK).

  2. W przypadku korzystania z klucza cmK należy wybrać magazyn kluczy, w którym jest przechowywany klucz.

  3. Wybierz pozycję Klucz szyfrowania jako "Wybierz magazyn kluczy i klucz".

  4. Następnie wybierz pozycję "Wybierz magazyn kluczy i klucz".

  5. Następnie wybierz magazyn kluczy i klucz.

    Zrzut ekranu przedstawiający wybór subskrypcji, magazynu kluczy i klucza w okienku po prawej stronie po wybraniu pozycji

  6. Następnie wybierz tożsamość zarządzaną przypisaną przez użytkownika, która będzie używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz.

  7. Wybierz pozycję "Wybierz tożsamość użytkownika". Wybierz tożsamość zarządzaną przypisaną przez użytkownika utworzoną w wymaganiach wstępnych.

Zrzut ekranu przedstawiający magazyn kluczy, klucz, tożsamość przypisaną przez użytkownika i klucz cmK na karcie szyfrowania

  1. Ta tożsamość przypisana przez użytkownika musi mieć uprawnienia get key, list key, wrap key i unwrap key w magazynie kluczy. Aby uzyskać więcej informacji na temat przypisywania zasad dostępu do usługi Azure Key Vault, zobacz Przypisywanie zasad dostępu Key Vault.

    Zrzut ekranu przedstawiający zasady uzyskiwania, wyświetlania listy, zawijania i zawijania kluczy dostępu

  2. Możesz również wybrać pozycję Klucz szyfrowania jako "Wprowadź klucz z identyfikatora URI". Klucz musi mieć włączoną ochronę usuwania nietrwałego i przeczyszczania. Musisz to potwierdzić, zaznaczając pole wyboru pokazane poniżej.

    Zrzut ekranu przedstawiający identyfikator URI magazynu kluczy na potrzeby szyfrowania

  3. Następnie wybierz pozycję "Przejrzyj+utwórz" po ukończeniu innych kart.

  4. Wybierz przycisk "Utwórz".

  5. Wystąpienie usługi Azure Data Manager for Energy jest tworzone przy użyciu kluczy zarządzanych przez klienta.

  6. Po włączeniu klucza cmK na ekranie Przegląd zostanie wyświetlony jego stan.

    Zrzut ekranu przedstawiający zestaw CMK włączony na stronie przeglądu usługi Azure Data Manager for Energy.

  7. Możesz przejść do pozycji Szyfrowanie i zobaczyć, że klucz cmK jest włączony przy użyciu tożsamości zarządzanej przez użytkownika.

    Zrzut ekranu przedstawiający wyłączone ustawienia klucza zarządzanego po zainstalowaniu wystąpienia usługi Azure Data Manager for Energy.

Następne kroki

Aby dowiedzieć się więcej o łączach prywatnych.

Jak skonfigurować łącza prywatne