Opcje szyfrowania na potrzeby ochrony maszyn wirtualnych z systemem Windows i Linux
Załóżmy, że partnerzy handlowi Twojej firmy mają zasady zabezpieczeń, które wymagają ich danych handlowych, są chronione za pomocą silnego szyfrowania. Używasz aplikacji B2B, która działa na serwerach z systemem Windows i przechowuje dane na dysku danych serwera. Teraz, gdy przechodzisz do chmury, musisz pokazać partnerom handlowym, że nieautoryzowani użytkownicy, urządzenia i aplikacje nie mają dostępu do danych przechowywanych na maszynach wirtualnych platformy Azure. Musisz wybrać strategię implementowania szyfrowania danych B2B.
Wymagania dotyczące inspekcji wymuszają, aby kluczami szyfrowania można było zarządzać wewnątrz w firmie zamiast zlecać tę czynność innej organizacji. Chcesz również upewnić się, że wydajność i możliwości zarządzania serwerami opartymi na platformie Azure są utrzymywane. Dlatego przed zaimplementowaniem szyfrowania upewnij się, że nie zostanie osiągnięty próg maksymalnej wydajności.
Co to jest szyfrowanie?
Szyfrowanie to konwertowanie istotnych informacji na coś, co wydaje się nie mieć znaczenia, na przykład na losową sekwencję liter i cyfr. Proces szyfrowania używa pewnego rodzaju klucza jako części algorytmu tworzącego zaszyfrowane dane. Klucz jest również potrzebny do przeprowadzenia odszyfrowywania. Klucze mogą być symetryczne, gdzie ten sam klucz jest używany do szyfrowania i odszyfrowywania lub asymetrycznego, gdzie są używane różne klucze. Przykładem drugiego przypadku są pary kluczy publiczny-prywatny używane w certyfikatach cyfrowych.
Szyfrowanie symetryczne
Algorytmy korzystające z kluczy symetrycznych, takich jak Advanced Encryption Standard (AES), są zwykle szybsze niż algorytmy kluczy publicznych i są często używane do ochrony dużych magazynów danych. Ponieważ istnieje tylko jeden klucz, procedury muszą być wykonywane na miejscu, aby uniemożliwić publiczne ujawnienie klucza.
Szyfrowanie asymetryczne
W przypadku algorytmów asymetrycznych tylko klucz prywatny musi być przechowywany w bezpiecznym i poufnym miejscu. Klucz publiczny, jak sama nazwa wskazuje, może być udostępniany dowolnej osobie bez narażania zaszyfrowanych danych. Wadą algorytmów kluczy publicznych jest jednak to, że są one znacznie wolniejsze niż algorytmy symetryczne i nie można ich używać do szyfrowania dużych ilości danych.
Zarządzanie kluczami
Na platformie Azure firma Microsoft lub klient może zarządzać kluczami szyfrowania. Często zapotrzebowanie na klucze zarządzane przez klienta pochodzi od organizacji, które muszą wykazać zgodność z przepisami HIPAA lub innymi przepisami. Taka zgodność może wymagać rejestrowania dostępu do kluczy oraz wprowadzania i rejestrowania regularnych zmian kluczy.
Technologie szyfrowania dysków na platformie Azure
Na platformie Azure funkcjonują następujące główne technologie ochrony dysku maszyn wirtualnych oparte na szyfrowaniu:
- Szyfrowanie usługi Azure Storage (SSE)
- Usługa Azure Disk Encryption (ADE)
Funkcja SSE jest wykonywana na dyskach fizycznych w centrum danych. Jeśli ktoś miał bezpośrednio uzyskać dostęp do dysku fizycznego, dane będą szyfrowane. Gdy dane są dostępne z dysku, są odszyfrowywane i ładowane do pamięci.
Program ADE szyfruje wirtualne dyski twarde (VHD) maszyny wirtualnej. Jeśli dysk VHD jest chroniony za pomocą usługi ADE, obraz dysku jest dostępny tylko przez maszynę wirtualną, która jest właścicielem dysku.
Istnieje możliwość ochrony danych za pomocą obu usług.
Szyfrowanie usługi Storage
SSE to usługa szyfrowania wbudowana w platformę Azure służącą do ochrony danych magazynowanych. Platforma Azure Storage automatycznie szyfruje dane przed ich zapisaniem w kilku usługach magazynu, w tym w funkcji Dyski zarządzane na platformie Azure. Szyfrowanie jest domyślnie włączone z użyciem 256-bitowego standardu AES i jest zarządzane przez administratora konta magazynu.
Funkcja SSE jest włączona dla wszystkich nowych i istniejących kont magazynu i nie można jej wyłączyć. Dane są domyślnie zabezpieczone; Nie musisz modyfikować kodu ani aplikacji, aby korzystać z funkcji SSE.
Funkcja SSE nie ma wpływu na wydajność usług Azure Storage.
Usługa Azure Disk Encryption
Właściciel maszyny wirtualnej zarządza usługą ADE. Steruje ona szyfrowaniem dysków kontrolowanych przez maszyny wirtualne z systemem Windows i Linux przy użyciu funkcji BitLocker na maszynach wirtualnych z systemem Windows i programu DM-Crypt na maszynach wirtualnych z systemem Linux. Szyfrowanie dysków funkcją BitLocker to funkcja ochrony danych, która integruje się z systemem operacyjnym i eliminuje zagrożenia kradzieży lub narażenia danych przed utratą, kradzieżą lub niewłaściwie zlikwidowanymi komputerami. Podobnie program DM-Crypt szyfruje dane magazynowane w systemie Linux przed zapisaniem ich w magazynie.
Usługa ADE gwarantuje, że wszystkie dane na dyskach maszyn wirtualnych są szyfrowane w spoczynku w usłudze Azure Storage. Usługa ADE jest również wymagana dla maszyn wirtualnych mających kopię zapasową w magazynie odzyskiwania.
W przypadku korzystania z usługi ADE maszyny wirtualne są uruchamiane na podstawie kluczy i zasad kontrolowanych przez klienta. Usługa ADE jest zintegrowana z usługą Azure Key Vault w celu zarządzania tymi kluczami i wpisami tajnymi szyfrowania dysków.
Uwaga
Usługa ADE nie obsługuje szyfrowania maszyn wirtualnych w warstwie Podstawowa i nie można używać lokalnej usługa zarządzania kluczami (KMS) z usługą ADE.
Kiedy należy używać szyfrowania
Dane przetwarzane na komputerze są zagrożone podczas transferu (przesyłania ich przez Internet lub w innej sieci) oraz w stanie spoczynku (gdy są zapisane na urządzeniu magazynującym). Scenariusz dotyczący danych magazynowanych jest podstawową kwestią w przypadku ochrony danych na dyskach maszyn wirtualnych platformy Azure. Na przykład ktoś może pobrać plik wirtualnego dysku twardego (VHD) skojarzony z maszyną wirtualną platformy Azure i zapisać go na laptopie. Jeśli plik VHD nie jest zaszyfrowany, jego zawartość jest potencjalnie dostępna dla każdej osoby, która potrafi zainstalować plik VHD na swoim komputerze.
W przypadku dysków systemu operacyjnego (OS) dane, takie jak hasła, są szyfrowane automatycznie, więc nawet jeśli sam dysk VHD nie jest zaszyfrowany, nie jest łatwy do uzyskania dostępu do tych informacji. Aplikacje mogą również automatycznie szyfrować własne dane. Jednak nawet w przypadku takich zabezpieczeń, jeśli ktoś z złośliwą intencją uzyska dostęp do dysku danych, a sam dysk nie został zaszyfrowany, może być w stanie wykorzystać wszelkie znane słabości w ochronie danych tej aplikacji. W przypadku szyfrowania dysków takie luki nie są możliwe.
Usługa SSE jest częścią samej platformy Azure i nie powinna mieć zauważalnego wpływu na wydajność operacji we/wy dysku maszyny wirtualnej podczas korzystania z funkcji SSE. Dyski zarządzane z funkcją SSE są teraz opcją domyślną, której nie należy zmieniać bez powodu. Program ADE korzysta z narzędzi systemu operacyjnego maszyny wirtualnej (BitLocker i DM-Crypt), więc sama maszyna wirtualna musi wykonać pewną pracę podczas wykonywania szyfrowania lub odszyfrowywania dysków maszyny wirtualnej. Wpływ tego dodatkowego obciążenia procesora maszyny wirtualnej jest przeważnie nieistotny, z wyjątkiem niektórych sytuacji. Jeśli na przykład masz aplikację intensywnie korzystającą z procesora CPU, może wystąpić przypadek pozostawienia dysku systemu operacyjnego niezaszyfrowanego w celu zmaksymalizowania wydajności. W takiej sytuacji można przechowywać dane aplikacji na oddzielnym zaszyfrowanym dysku danych, co zapewnia wydajność, której potrzebujesz bez naruszania zabezpieczeń.
Platforma Azure oferuje dwie uzupełniające się technologie szyfrowania, które są używane do zabezpieczania dysków maszyn wirtualnych platformy Azure. Te technologie (SSE i ADE) szyfrują się w różnych warstwach i służą różnym celom. Obie zapewniają 256-bitowe szyfrowanie za pomocą algorytmu AES. Użycie obu tych technologii zapewnia kompleksową ochronę przed nieautoryzowanym dostępem do magazynu na platformie Azure oraz do określonych wirtualnych dysków twardych.