Безопасность и шифрование данных в Azure Data Manager для энергетики

В этой статье представлен обзор функций безопасности в Azure Data Manager для энергетики. Он охватывает основные области шифрования неактивных данных, шифрования при передаче, TLS, https, ключей, управляемых корпорацией Майкрософт, и ключа, управляемого клиентом.

Шифрование неактивных данных

Azure Data Manager для энергетики использует несколько ресурсов хранилища для хранения метаданных, пользовательских данных, данных в памяти и т. д. Платформа использует шифрование на стороне службы для автоматического шифрования всех данных при их сохранении в облаке. Шифрование неактивных данных защищает ваши данные, помогая выполнять обязательства организации по обеспечению безопасности и соответствию требованиям. По умолчанию все данные в Azure Data Manager for Energy шифруются с помощью ключей, управляемых Корпорацией Майкрософт. Помимо ключа, управляемого корпорацией Майкрософт, вы можете использовать собственный ключ шифрования для защиты данных в Azure Data Manager for Energy. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления доступом к ключу, управляемому корпорацией Майкрософт, который шифрует ваши данные.

Шифрование передаваемых данных

Azure Data Manager for Energy поддерживает протокол TLS 1.2 для защиты данных при их перемещении между облачными службами и клиентами. TLS обеспечивает надежную проверку подлинности, конфиденциальность и целостность сообщений (позволяет обнаруживать незаконное изменение, перехват и подделку сообщений), взаимодействие и гибкость алгоритмов.

В дополнение к ПРОТОКОЛу TLS при взаимодействии с Azure Data Manager for Energy все транзакции выполняются по протоколу HTTPS.

Настройка управляемых клиентом ключей (CMK) для экземпляра Azure Data Manager for Energy

Важно!

Вы не сможете изменить параметры CMK после создания экземпляра Azure Data Manager for Energy.

Предварительные требования

Шаг 1. Настройка хранилища ключей

1. Для хранения ключей, управляемых клиентом, можно использовать новое или существующее хранилище ключей. Дополнительные сведения об Azure Key Vault см. в разделах Общие сведения об Azure Key Vault и Что такое azure Key Vault?

2. Для использования ключей, управляемых клиентом, с Azure Data Manager for Energy требуется включить для хранилища ключей как обратимое удаление, так и защиту от очистки. Обратимое удаление активируется по умолчанию при создании хранилища ключей, отключить его нельзя. Защиту от очистки можно включить при создании хранилища ключей или позднее.

3. О том, как создать хранилище ключей с помощью портала Azure см. в этом кратком руководстве. При создании хранилища ключей выберите Включить защиту от очистки.

   

4. Чтобы включить защиту от очистки в существующем хранилище ключей, выполните следующие действия.

   1. Откройте хранилище ключей на портале Azure.
   2. В разделе Параметры выберите Свойства.
   3. В разделе Защита от очистки выберите Включить защиту от очистки.

Шаг 2. Добавление ключа

1. Далее добавьте ключ в хранилище ключей.
2. О том, как добавить ключ с помощью портала Azure, см. в статье Краткое руководство. Настройка и получение ключа из Azure Key Vault с помощью портала Azure.
3. Рекомендуется, чтобы размер ключа RSA был равен 3072. См. статью Настройка ключей, управляемых клиентом, для учетной записи Azure Cosmos DB | Microsoft Learn.

Шаг 3. Выбор управляемого удостоверения для авторизации доступа к хранилищу ключей

1. При включении ключей, управляемых клиентом, для существующего экземпляра Azure Data Manager for Energy необходимо указать управляемое удостоверение, которое будет использоваться для авторизации доступа к хранилищу ключей, содержащему ключ. Управляемое удостоверение должно иметь разрешения на доступ к ключу в хранилище ключей.
2. Вы можете создать управляемое удостоверение, назначаемое пользователем.

Настройка ключей, управляемых клиентом, для существующей учетной записи

1. Создайте экземпляр Azure Data Manager для energy .
2. Перейдите на вкладку Шифрование .

3. На вкладке шифрование выберите Ключи, управляемые клиентом (CMK).

4. Для использования CMK необходимо выбрать хранилище ключей, в котором хранится ключ.

5. Выберите Ключ шифрования для параметра "Выберите хранилище ключей и ключ".

6. Затем выберите "Выбрать хранилище ключей и ключ".

7. Затем выберите хранилище ключей и ключ.

   

8. Затем выберите управляемое удостоверение, назначаемое пользователем, которое будет использоваться для авторизации доступа к хранилищу ключей, которое содержит ключ.

9. Выберите "Выбрать удостоверение пользователя". Выберите управляемое удостоверение, назначаемое пользователем, которое вы создали в предварительных требованиях.

10. Это удостоверение, назначаемое пользователем, должно иметь разрешения на получение ключа, ключ списка, перенос ключа и распаковку ключа в хранилище ключей. Дополнительные сведения о назначении политик доступа azure Key Vault см. в статье Назначение политики доступа Key Vault.

    

11. Вы также можете выбрать Ключ шифрования для параметра "Ввести ключ из URI". Обязательное включение защиты от обратимого удаления и очистки ключа. Это необходимо подтвердить, установив флажок, показанный ниже.

    

12. Затем выберите "Просмотр и создание" после завершения других вкладок.

13. Нажмите кнопку "Создать".

14. Экземпляр Azure Data Manager for Energy создается с ключами, управляемыми клиентом.

15. После включения CMK вы увидите его состояние на экране Обзор .

    

16. Вы можете перейти к разделу Шифрование и увидеть, что CMK включен с управляемым пользователем удостоверением.

    

Дальнейшие действия

Дополнительные сведения о приватных каналах.

Настройка приватных каналов