Datakryptering i Azure Cosmos DB

GÄLLER FÖR: Nosql Mongodb Cassandra Gremlin Tabell

"Kryptering i vila" är en fras som ofta refererar till kryptering av data på icke-volatila lagringsenheter, till exempel solid state-enheter (SSD) och hårddiskar (HDD). Azure Cosmos DB lagrar sina primära databaser på SSD:er. Dess mediebilagor och säkerhetskopior lagras i Azure Blob Storage, som vanligtvis säkerhetskopieras av hårddiskar. När krypteringen är i vila för Azure Cosmos DB krypteras alla dina databaser, mediebilagor och säkerhetskopior. Dina data krypteras nu under överföring (över nätverket) och i vila (icke-volatil lagring), vilket ger dig kryptering från slutpunkt till slutpunkt.

Som plattform som en tjänst (PaaS) är Azure Cosmos DB enkelt att använda. Eftersom alla användardata som lagras i Azure Cosmos DB krypteras i vila och under transport behöver du inte vidta några åtgärder. Med andra ord är kryptering i vila "på" som standard. Det finns inga kontroller att inaktivera eller aktivera. Azure Cosmos DB använder AES-256-kryptering i alla regioner där kontot körs.

Vi tillhandahåller den här funktionen medan vi fortsätter att uppfylla våra serviceavtal (SLA) för tillgänglighet och prestanda. Data som lagras i ditt Azure Cosmos DB-konto krypteras automatiskt och sömlöst med nycklar som hanteras av Microsoft (tjänsthanterade nycklar). Du kan också välja att lägga till ett andra krypteringslager med dina egna nycklar enligt beskrivningen i artikeln kundhanterade nycklar .

Implementering av vilande kryptering för Azure Cosmos DB

Kryptering i vila implementeras med hjälp av flera säkerhetstekniker, inklusive säkra nyckellagringssystem, krypterade nätverk och kryptografiska API:er. System som dekrypterar och bearbetar data måste kommunicera med system som hanterar nycklar. Diagrammet visar hur lagring av krypterade data och hantering av nycklar separeras.

Det grundläggande flödet för en användarbegäran är:

• Användarkontot är klart och lagringsnycklar hämtas via en begäran till resursprovidern för hanteringstjänsten.
• En användare skapar en anslutning till Azure Cosmos DB via HTTPS/säker transport. (SDK:erna sammanfattar informationen.)
• Användaren skickar ett JSON-dokument som ska lagras över den tidigare skapade säkra anslutningen.
• JSON-dokumentet indexeras om inte användaren har inaktiverat indexering.
• Både JSON-dokumentet och indexdata skrivs för att skydda lagringen.
• Data läse regelbundet från den säkra lagringen och säkerhetskopieras till Azure Encrypted Blob Store.

Vanliga frågor och svar

Hitta svar på vanliga frågor om kryptering.

Hur mycket mer kostar Azure Storage om kryptering för lagringstjänst är aktiverat?

Det finns ingen extra kostnad.

Vem hanterar krypteringsnycklarna?

Data som lagras i ditt Azure Cosmos DB-konto krypteras automatiskt och sömlöst med nycklar som hanteras av Microsoft med hjälp av tjänsthanterade nycklar. Du kan också välja att lägga till ett andra krypteringslager med nycklar som du hanterar med hjälp av kundhanterade nycklar.

Hur ofta roteras krypteringsnycklar?

Microsoft har en uppsättning interna riktlinjer för krypteringsnyckelrotation, som Azure Cosmos DB följer. De specifika riktlinjerna publiceras inte. Microsoft publicerar livscykeln för säkerhetsutveckling, som ses som en delmängd av intern vägledning och har användbara metodtips för utvecklare.

Kan jag använda mina egna krypteringsnycklar?

Ja, den här funktionen är tillgänglig för nya Azure Cosmos DB-konton. Den bör distribueras när kontot skapas. Mer information finns i dokumentet med kundhanterade nycklar .

Varning

Följande fältnamn är reserverade för Cassandra API-tabeller i konton med hjälp av kundhanterade nycklar:

• id
• ttl
• _ts
• _etag
• _rid
• _self
• _attachments
• _epk

När kundhanterade nycklar inte är aktiverade är endast fältnamn som börjar med __sys_ reserverade.

Vilka regioner har kryptering aktiverat?

Alla Azure Cosmos DB-regioner har kryptering aktiverat för alla användardata.

Påverkar kryptering serviceavtalen för prestandafördröjning och dataflöde?

Det finns ingen effekt eller ändringar i serviceavtalen för prestanda eftersom kryptering i vila nu är aktiverat för alla befintliga och nya konton. De senaste garantierna finns i Serviceavtal för Azure Cosmos DB.

Stöder den lokala emulatorn kryptering i vila?

Emulatorn är ett fristående utvecklings-/testverktyg och använder inte de nyckelhanteringstjänster som den hanterade Azure Cosmos DB-tjänsten använder. Vi rekommenderar att du aktiverar BitLocker på enheter där du lagrar känsliga emulatortestdata. Emulatorn har stöd för att ändra standarddatakatalogen och använda en välkänd plats.

Nästa steg

• Mer information om hur du lägger till ett andra krypteringslager med dina egna nycklar finns i artikeln kundhanterade nycklar .
• En översikt över Azure Cosmos DB-säkerhet och de senaste förbättringarna finns i Azure Cosmos DB-databassäkerhet.
• Mer information om Microsoft-certifieringar finns i Azure Trust Center.