Datakrypteringsmodeller

Det är viktigt att förstå de olika krypteringsmodellerna och deras för- och nackdelar för att förstå hur de olika resursprovidrar i Azure implementerar kryptering i vila. Dessa definitioner delas mellan alla resursprovidrar i Azure för att säkerställa gemensamt språk och taxonomi.

Det finns tre scenarier för kryptering på serversidan:

  • Kryptering på serversidan med Service-Managed nycklar

    • Azure-resursprovidrar utför krypterings- och dekrypteringsåtgärderna
    • Microsoft hanterar nycklarna
    • Fullständig molnfunktionalitet
  • Kryptering på serversidan med kundhanterade nycklar i Azure Key Vault

    • Azure-resursprovidrar utför krypterings- och dekrypteringsåtgärderna
    • Kunden styr nycklar via Azure Key Vault
    • Fullständig molnfunktionalitet
  • Kryptering på serversidan med kundhanterade nycklar på kundkontrollerad maskinvara

    • Azure-resursprovidrar utför krypterings- och dekrypteringsåtgärderna
    • Kunden styr nycklar på kundkontrollerad maskinvara
    • Fullständig molnfunktionalitet

Krypteringsmodeller på serversidan refererar till kryptering som utförs av Azure-tjänsten. I den modellen utför resursprovidern krypterings- och dekrypteringsåtgärderna. Azure Storage kan till exempel ta emot data i oformaterade textåtgärder och utföra kryptering och dekryptering internt. Resursprovidern kan använda krypteringsnycklar som hanteras av Microsoft eller av kunden beroende på den angivna konfigurationen.

Server

Var och en av krypteringen på serversidan i vilomodeller innebär särskiljande egenskaper hos nyckelhantering. Detta inkluderar var och hur krypteringsnycklar skapas och lagras samt åtkomstmodeller och nyckelrotationsförfaranden.

Överväg följande för kryptering på klientsidan:

  • Azure-tjänster kan inte se dekrypterade data
  • Kunder hanterar och lagrar nycklar lokalt (eller i andra säkra butiker). Nycklar är inte tillgängliga för Azure-tjänster
  • Minskad molnfunktionalitet

De krypteringsmodeller som stöds i Azure är uppdelade i två huvudgrupper: "Klientkryptering" och "Kryptering på serversidan" som nämnts tidigare. Oberoende av kryptering i vilomodell som används rekommenderar Azure-tjänster alltid användning av en säker transport, till exempel TLS eller HTTPS. Därför bör kryptering vid transport hanteras av transportprotokollet och bör inte vara en viktig faktor för att avgöra vilken kryptering i vila-modellen som ska användas.

Klientkrypteringsmodell

Klientkrypteringsmodellen refererar till kryptering som utförs utanför resursprovidern eller Azure av tjänsten eller anropande program. Krypteringen kan utföras av tjänstprogrammet i Azure eller av ett program som körs i kundens datacenter. När du använder den här krypteringsmodellen tar Azure-resursprovidern i båda fallen emot en krypterad blob med data utan att kunna dekryptera data på något sätt eller ha åtkomst till krypteringsnycklarna. I den här modellen utförs nyckelhanteringen av den anropande tjänsten/programmet och är ogenomskinlig för Azure-tjänsten.

Client

Kryptering på serversidan med tjänsthanterade nycklar

För många kunder är det viktigaste kravet att säkerställa att data krypteras när de är i vila. Kryptering på serversidan med tjänsthanterade nycklar möjliggör den här modellen genom att låta kunder markera den specifika resursen (lagringskonto, SQL DB osv.) för kryptering och lämna alla viktiga hanteringsaspekter som nyckelutfärdande, rotation och säkerhetskopiering till Microsoft. De flesta Azure-tjänster som stöder kryptering i vila stöder vanligtvis den här modellen för att avlasta hanteringen av krypteringsnycklarna till Azure. Azure-resursprovidern skapar nycklarna, placerar dem i säker lagring och hämtar dem när det behövs. Det innebär att tjänsten har fullständig åtkomst till nycklarna och att tjänsten har fullständig kontroll över livscykelhanteringen för autentiseringsuppgifter.

Hanterade

Kryptering på serversidan med tjänsthanterade nycklar tar därför snabbt itu med behovet av att ha kryptering i vila med låg belastning för kunden. När det är tillgängligt öppnar en kund vanligtvis Azure-portalen för målprenumerationen och resursprovidern och kontrollerar en ruta som anger att de vill att data ska krypteras. I vissa Resource Managers är kryptering på serversidan med tjänsthanterade nycklar aktiverat som standard.

Kryptering på serversidan med Microsoft-hanterade nycklar innebär att tjänsten har fullständig åtkomst för att lagra och hantera nycklarna. Vissa kunder kanske vill hantera nycklarna eftersom de känner att de får större säkerhet, men kostnaden och risken som är kopplad till en anpassad nyckellagringslösning bör övervägas när du utvärderar den här modellen. I många fall kan en organisation fastställa att resursbegränsningar eller risker med en lokal lösning kan vara större än risken för molnhantering av krypteringen vid vilande nycklar. Den här modellen kanske dock inte räcker för organisationer som har krav på att styra skapandet eller livscykeln för krypteringsnycklarna eller för att låta annan personal hantera en tjänsts krypteringsnycklar än de som hanterar tjänsten (det vill sa uppdelning av nyckelhantering från den övergripande hanteringsmodellen för tjänsten).

Nyckelåtkomst

När kryptering på serversidan med tjänsthanterade nycklar används hanteras alla nyckelskapande, lagring och tjänståtkomst av tjänsten. Vanligtvis lagrar de grundläggande Azure-resursprovidrar datakrypteringsnycklarna i ett arkiv som är nära data och snabbt tillgängligt och tillgängligt medan nyckelkrypteringsnycklarna lagras i ett säkert internt arkiv.

Fördelar

  • Enkel installation
  • Microsoft hanterar nyckelrotation, säkerhetskopiering och redundans
  • Kunden har inte den kostnad som är kopplad till implementeringen eller risken för ett anpassat nyckelhanteringsschema.

Nackdelar

  • Ingen kundkontroll över krypteringsnycklarna (nyckelspecifikation, livscykel, återkallande osv.)
  • Ingen möjlighet att skilja nyckelhantering från den övergripande hanteringsmodellen för tjänsten

Kryptering på serversidan med kundhanterade nycklar i Azure Key Vault

För scenarier där kravet är att kryptera vilande data och styra krypteringsnycklarna kan kunderna använda kryptering på serversidan med hjälp av kundhanterade nycklar i Key Vault. Vissa tjänster kan endast lagra rotnyckelkrypteringsnyckeln i Azure Key Vault och lagra den krypterade datakrypteringsnyckeln på en intern plats närmare data. I det scenariot kan kunderna ta med sina egna nycklar till Key Vault (BYOK – Bring Your Own Key) eller generera nya och använda dem för att kryptera önskade resurser. Resursprovidern utför krypterings- och dekrypteringsåtgärderna, men använder den konfigurerade nyckelkrypteringsnyckeln som rotnyckel för alla krypteringsåtgärder.

Förlust av nyckelkrypteringsnycklar innebär dataförlust. Därför bör nycklar inte tas bort. Nycklar bör säkerhetskopieras när de skapas eller roteras. Skydd mot mjuk borttagning och rensning måste vara aktiverat på valv som lagrar nyckelkrypteringsnycklar för att skydda mot oavsiktlig eller skadlig kryptografisk radering. I stället för att ta bort en nyckel rekommenderar vi att du anger falskt för nyckelkrypteringsnyckeln. Använd åtkomstkontroller för att återkalla åtkomst till enskilda användare eller tjänster i Azure Key Vault eller Managed HSM.

Nyckelåtkomst

Krypteringsmodellen på serversidan med kundhanterade nycklar i Azure Key Vault innebär att tjänsten har åtkomst till nycklarna för att kryptera och dekryptera efter behov. Vilande krypteringsnycklar görs tillgängliga för en tjänst via en åtkomstkontrollprincip. Den här principen ger tjänstidentiteten åtkomst för att ta emot nyckeln. En Azure-tjänst som körs för en associerad prenumeration kan konfigureras med en identitet i prenumerationen. Tjänsten kan utföra Azure Active Directory-autentisering och ta emot en autentiseringstoken som identifierar sig som den tjänsten som agerar för prenumerationen. Token kan sedan visas för Key Vault för att hämta en nyckel som den har fått åtkomst till.

För åtgärder som använder krypteringsnycklar kan en tjänstidentitet beviljas åtkomst till någon av följande åtgärder: dekryptera, kryptera, unwrapKey, wrapKey, verifiera, signera, hämta, lista, uppdatera, skapa, importera, ta bort, säkerhetskopiera och återställa.

Om du vill hämta en nyckel för användning vid kryptering eller dekryptering av data i vila måste tjänstidentiteten som Resource Manager-tjänstinstansen ska köra som ha UnwrapKey (för att hämta nyckeln för dekryptering) och WrapKey (för att infoga en nyckel i nyckelvalvet när du skapar en ny nyckel).

Anteckning

Mer information om Key Vault-auktorisering finns på sidan skydda ditt nyckelvalv i Azure Key Vault-dokumentationen.

Fördelar

  • Fullständig kontroll över de nycklar som används – krypteringsnycklar hanteras i kundens Nyckelvalv under kundens kontroll.
  • Möjlighet att kryptera flera tjänster till en huvudserver
  • Kan skilja nyckelhantering från den övergripande hanteringsmodellen för tjänsten
  • Kan definiera tjänst- och nyckelplats mellan regioner

Nackdelar

  • Kunden har fullt ansvar för nyckelåtkomsthantering
  • Kunden har fullt ansvar för nyckellivscykelhantering
  • Ytterligare konfigurationskostnader för konfiguration &

Kryptering på serversidan med kundhanterade nycklar i kundkontrollerad maskinvara

Vissa Azure-tjänster aktiverar HYOK-nyckelhanteringsmodellen (Host Your Own Key). Det här hanteringsläget är användbart i scenarier där det finns ett behov av att kryptera vilande data och hantera nycklarna på en egen lagringsplats utanför Microsofts kontroll. I den här modellen måste tjänsten använda nyckeln från en extern plats för att dekryptera datakrypteringsnyckeln (DEK). Prestanda- och tillgänglighetsgarantier påverkas och konfigurationen är mer komplex. Eftersom tjänsten dessutom har åtkomst till DEK under krypterings- och dekrypteringsåtgärderna liknar de övergripande säkerhetsgarantierna för den här modellen när nycklarna hanteras av kunden i Azure Key Vault. Därför är den här modellen inte lämplig för de flesta organisationer om de inte har specifika viktiga hanteringskrav. På grund av dessa begränsningar stöder de flesta Azure-tjänster inte kryptering på serversidan med kundhanterade nycklar i kundkontrollerad maskinvara. En av två nycklar i kryptering med dubbel nyckel följer den här modellen.

Nyckelåtkomst

När kryptering på serversidan med kundhanterade nycklar i kundkontrollerad maskinvara används underhålls nyckelkrypteringsnycklarna i ett system som konfigurerats av kunden. Azure-tjänster som stöder den här modellen ger ett sätt att upprätta en säker anslutning till ett nyckelarkiv som kunden tillhandahåller.

Fördelar

  • Fullständig kontroll över rotnyckeln som används – krypteringsnycklar hanteras av en kund som tillhandahålls av butiken
  • Möjlighet att kryptera flera tjänster till en huvudserver
  • Kan skilja nyckelhantering från den övergripande hanteringsmodellen för tjänsten
  • Kan definiera tjänst- och nyckelplats mellan regioner

Nackdelar

  • Fullständigt ansvar för nyckellagring, säkerhet, prestanda och tillgänglighet
  • Fullständigt ansvar för nyckelåtkomsthantering
  • Fullständigt ansvar för nyckellivscykelhantering
  • Betydande kostnader för installation, konfiguration och löpande underhåll
  • Ökat beroende av nätverkstillgänglighet mellan kundens datacenter och Azure-datacenter.

Stödtjänster

De Azure-tjänster som stöder varje krypteringsmodell:

Produkt, funktion eller tjänst Server-Side med Service-Managed nyckel Server-Side med Customer-Managed nyckel Client-Side med Client-Managed nyckel
AI och maskininlärning
Azure Cognitive Search Ja Ja -
Azure Cognitive Services Ja Ja -
Azure Machine Learning Ja Ja -
Content Moderator Ja Ja -
Ansikte Ja Ja -
Language Understanding Ja Ja -
Personanpassning Ja Ja -
QnA Maker Ja Ja -
Speech Services Ja Ja -
Translator Text Ja Ja -
Power BI Yes Ja, RSA 4096-bitars -
Analys
Azure Stream Analytics Yes Ja**, inklusive hanterad HSM -
Event Hubs Ja Ja -
Functions Ja Ja -
Azure Analysis Services Ja - -
Azure Data Catalog Yes - -
Azure HDInsight Yes Alla -
Azure Monitor Application Insights Ja Ja -
Azure Monitor Log Analytics Ja Ja -
Azure-datautforskaren Ja Ja -
Azure Data Factory Yes Ja, inklusive Hanterad HSM -
Azure Data Lake Store Ja Ja, RSA 2048-bitars -
Containrar
Azure Kubernetes Service Yes Ja, inklusive Hanterad HSM -
Container Instances Ja Ja -
Container Registry Ja Ja -
Beräkning
Virtual Machines Yes Ja, inklusive Hanterad HSM -
Vm-skalningsuppsättning Yes Ja, inklusive Hanterad HSM -
SAP HANA Ja Ja -
App Service Yes Ja**, inklusive hanterad HSM -
Automation Ja Ja -
Azure Functions Yes Ja**, inklusive hanterad HSM -
Azure Portal Yes Ja**, inklusive hanterad HSM -
Logic Apps Ja Ja -
Azure-hanterade program Yes Ja**, inklusive hanterad HSM -
Service Bus Ja Ja -
Site Recovery Ja Ja -
Databaser
SQL Server på virtuella datorer Ja Ja Ja
Azure SQL Database Ja Ja, RSA 3072-bitars, inklusive Hanterad HSM Yes
Hanterad Azure SQL-instans Yes Ja, RSA 3072-bitars, inklusive Hanterad HSM Yes
Azure SQL Database for MariaDB Yes - -
Azure SQL Database for MySQL Ja Ja -
Azure SQL Database for PostgreSQL Ja Ja -
Azure Synapse Analytics Yes Ja, RSA 3072-bitars, inklusive Hanterad HSM -
SQL Server Stretch Database Yes Ja, RSA 3072-bitars Yes
Table Storage Ja Ja Ja
Azure Cosmos DB Ja (läs mer) Ja (läs mer) -
Azure Databricks Ja Ja -
Azure Database Migration Service Yes N/A* -
Identitet
Azure Active Directory Yes - -
Azure Active Directory Domain Services Ja Ja -
Integrering
Service Bus Ja Ja Ja
Event Grid Yes - -
API Management Yes - -
IoT-tjänster
IoT Hub Ja Ja Ja
IoT Hub enhetsetablering Ja Ja -
Hantering och styrning
Azure Managed Grafana Yes - Ej tillämpligt
Azure Site Recovery Yes - -
Azure Migrate Ja Ja -
Media
Media Services Ja Ja Ja
Säkerhet
Microsoft Defender for IoT Ja Ja -
Microsoft Sentinel Ja Ja -
Storage
Blob Storage Ja Ja, inklusive Hanterad HSM Yes
Premium Blob Storage Yes Ja, inklusive Hanterad HSM Yes
Disklagring Yes Ja, inklusive Hanterad HSM -
Ultra Disk Storage Yes Ja, inklusive Hanterad HSM -
Hanterad disklagring Yes Ja, inklusive Hanterad HSM -
File Storage Ja Ja, inklusive Hanterad HSM -
Fil Premium Storage Yes Ja, inklusive Hanterad HSM -
File Sync Yes Ja, inklusive Hanterad HSM -
Queue Storage Yes Ja, inklusive Hanterad HSM Yes
Data Lake Storage Gen2 Yes Ja, inklusive Hanterad HSM Yes
Avere vFXT Yes - -
Azure Cache for Redis Yes N/A* -
Azure NetApp Files Ja Ja -
Arkivlagring Ja Ja -
StorSimple Ja Ja Ja
Azure Backup Ja Ja Ja
Data Box Ja - Ja
Data Box Edge Ja Ja -
Övrigt
Microsoft Energy Data Services Ja - Ja

* Den här tjänsten bevarar inte data. Eventuella tillfälliga cacheminnen krypteras med en Microsoft-nyckel.

** Den här tjänsten stöder lagring av data i din egen Key Vault, lagringskonto eller annan datalagringstjänst som redan stöder Server-Side kryptering med Customer-Managed nyckel.

Nästa steg