Dela via

Kryptering av data i Azure Data Lake Storage Gen1

  • Artikel

Kryptering i Azure Data Lake Storage Gen1 hjälper dig att skydda dina data, implementera företagssäkerhetsprinciper och uppfylla regelefterlevnadskrav. Den här artikeln innehåller en översikt över designen och beskriver några av de tekniska aspekterna av genomförandet.

Data Lake Storage Gen1 stöder kryptering av data både i vila och under överföring. För vilande data stöder Data Lake Storage Gen1 transparent kryptering "på som standard". En liten förklaring av vad detta betyder:

  • På som standard: När du skapar ett nytt Data Lake Storage Gen1 konto aktiverar standardinställningen kryptering. Därefter krypteras alltid data som lagras i Data Lake Storage Gen1 innan de lagras på beständiga medier. Detta beteende gäller för alla data och kan inte ändras efter att ett konto har skapats.
  • Transparent: Data Lake Storage Gen1 krypterar data automatiskt före beständighet och dekrypterar data före hämtning. Krypteringen konfigureras och hanteras på Data Lake Storage Gen1 kontonivå av en administratör. Inga ändringar görs i dataåtkomst API: er. Därför krävs inga ändringar i program och tjänster som interagerar med Data Lake Storage Gen1 på grund av kryptering.

Data under överföring (även kallade data i rörelse) krypteras också alltid i Data Lake Storage Gen1. Förutom att kryptera data före lagring till permanenta media skyddas alltid även data under överföring eller i rörelse med hjälp av HTTPS. HTTPS är det enda protokoll som stöds för Data Lake Storage Gen1 REST-gränssnitt. Följande diagram visar hur data krypteras i Data Lake Storage Gen1:

Diagram över datakryptering i Data Lake Storage Gen1

Konfigurera kryptering med Data Lake Storage Gen1

Kryptering för Data Lake Storage Gen1 konfigureras när kontot skapas och aktiveras alltid som standard. Du kan antingen hantera nycklarna själv eller låta Data Lake Storage Gen1 hantera dem åt dig (detta är standardinställningen).

Mer information finns i Komma igång.

Så här fungerar kryptering i Data Lake Storage Gen1

Följande information beskriver hur du hanterar huvudkrypteringsnycklar och förklarar de tre olika typerna av nycklar som du kan använda i datakryptering för Data Lake Storage Gen1.

Huvudkrypteringsnycklar

Data Lake Storage Gen1 tillhandahåller två lägen för hantering av huvudkrypteringsnycklar (MEK). Anta att huvudkrypteringsnyckeln är nyckeln på högsta nivån. Åtkomst till huvudkrypteringsnyckeln krävs för att dekryptera data som lagras i Data Lake Storage Gen1.

Det finns två lägen för att hantera huvudkrypteringsnyckeln:

  • Tjänsthanterade nycklar
  • Kundhanterade nycklar

I båda lägena skyddas huvudkrypteringsnyckeln genom att den lagras i Azure Key Vault. Key Vault är en fullständigt hanterad tjänst på Azure med mycket hög säkerhet som kan användas för att skydda kryptografiska nycklar. Mer information finns i Key Vault.

Här är en kort jämförelse av funktionerna som tillhandahålls i de två lägena för att hantera huvudkrypteringsnycklar.

Fråga Tjänsthanterade nycklar Kundhanterade nycklar
Hur lagras data? Data krypteras alltid innan de lagras. Data krypteras alltid innan de lagras.
Var lagras huvudkrypteringsnyckeln? Key Vault Key Vault
Finns det krypteringsnycklar som lagras i klartext utanför Key Vault? Inga Inga
Kan huvudkrypteringsnyckeln hämtas från Key Vault? Nej. När den har lagrats i Key Vault kan den endast användas för kryptering och dekryptering. Nej. När den har lagrats i Key Vault kan den endast användas för kryptering och dekryptering.
Vem äger Key Vault-instansen och huvudkrypteringsnyckeln? Tjänsten Data Lake Storage Gen1 Du äger nyckelvalvsinstansen som ingår i din Azure-prenumeration. Huvudkrypteringsnyckeln i Key Vault kan hanteras av programvara eller maskinvara.
Kan du återkalla åtkomsten till mek för Data Lake Storage Gen1-tjänsten? Nej Ja. Du kan hantera åtkomstkontrollistor i Key Vault och ta bort åtkomstkontrollposter till tjänstidentiteten för Data Lake Storage Gen1-tjänsten.
Kan man ta bort huvudkrypteringsnyckeln permanent? Nej Ja. Om du tar bort mek från Key Vault kan inte data i Data Lake Storage Gen1-kontot dekrypteras av någon, inklusive Data Lake Storage Gen1-tjänsten.

Om du uttryckligen har säkerhetskopierat MEK innan du tog bort den från nyckelvalvet kan MEK återställas, och data kan återställas. Men om du inte har säkerhetskopierat mek innan du tar bort den från Key Vault, kan data i Data Lake Storage Gen1-kontot aldrig dekrypteras därefter.

Förutom skillnaden när det gäller vem som hanterar huvudkrypteringsnyckeln och det nyckelvalv som nyckeln finns i är den övriga designen densamma för båda lägena.

Det är viktigt att komma ihåg följande när du väljer läge för huvudkrypteringsnycklarna:

  • Du kan välja om du vill använda kundhanterade nycklar eller tjänsthanterade nycklar när du etablerar ett Data Lake Storage Gen1 konto.
  • När ett Data Lake Storage Gen1 konto har etablerats går det inte att ändra läget.

Kryptering och dekryptering av data

Det finns tre typer av nycklar som används i utformningen av datakryptering. I följande tabell visas en sammanfattning:

Nyckel Förkortning Kopplad till Lagringsplats Typ Kommentarer
Huvudkrypteringsnyckel MEK Ett Data Lake Storage Gen1 konto Key Vault Asymmetrisk Den kan hanteras av Data Lake Storage Gen1 eller dig.
Datakrypteringsnyckel DEK Ett Data Lake Storage Gen1 konto Beständig lagring som hanteras av Data Lake Storage Gen1-tjänsten Symmetrisk DEK krypteras av MEK. Den krypterade DEK lagras på permanenta medier.
Blockkrypteringsnyckel BEK Ett datablock Ingen Symmetrisk BEK härleds från DEK och datablocket.

Följande diagram illustrerar dessa begrepp:

Nycklar i datakryptering

Pseudo-algoritm när en fil ska dekrypteras:

  1. Kontrollera om DEK för Data Lake Storage Gen1-kontot är cachelagrat och redo att användas.
    • Om inte, läser du den krypterade DEK från den beständiga lagringen och skickar den till Key Vault för dekryptering. Cachelagra den dekrypterade DEK i minnet. Nu är den redo att användas.
  2. För varje datablock i filen:
    • Läs det krypterade datablocket från den beständiga lagringen.
    • Generera BEK från DEK och det krypterade datablocket.
    • Använd BEK för att dekryptera data.

Pseudo-algoritm när ett datablock ska krypteras:

  1. Kontrollera om DEK för Data Lake Storage Gen1-kontot är cachelagrat och redo att användas.
    • Om inte, läser du den krypterade DEK från den beständiga lagringen och skickar den till Key Vault för dekryptering. Cachelagra den dekrypterade DEK i minnet. Nu är den redo att användas.
  2. Generera en unik BEK för datablocket från DEK.
  3. Kryptera datablocket med BEK med hjälp av AES-256-kryptering.
  4. Lagra det krypterade datablocket i den beständiga lagringen.

Anteckning

DEK lagras alltid krypterat av MEK på beständiga media eller i cacheminnet.

Nyckelrotation

När du använder kundhanterade nycklar kan du rotera huvudkrypteringsnyckeln. Information om hur du konfigurerar ett Data Lake Storage Gen1 konto med kundhanterade nycklar finns i Komma igång.

Förutsättningar

När du konfigurerar Data Lake Storage Gen1-kontot har du valt att använda dina egna nycklar. Det här alternativet kan inte ändras efter att kontot har skapats. I anvisningarna nedan antas att du använder kundhanterade nycklar (att du valt egna nycklar från ditt nyckelvalv).

Observera att om du använder standardalternativen för kryptering krypteras dina data alltid med hjälp av nycklar som hanteras av Data Lake Storage Gen1. I det här alternativet har du inte möjlighet att rotera nycklar eftersom de hanteras av Data Lake Storage Gen1.

Så här roterar du mek i Data Lake Storage Gen1

  1. Logga in på Azure-portalen.

  2. Bläddra till den Key Vault instans som lagrar dina nycklar som är associerade med ditt Data Lake Storage Gen1-konto. Välj Nycklar.

    Skärmbild av Key Vault

  3. Välj den nyckel som är associerad med ditt Data Lake Storage Gen1-konto och skapa en ny version av den här nyckeln. Observera att Data Lake Storage Gen1 för närvarande endast stöder nyckelrotation till en ny version av en nyckel. Det stöder inte rotering till en annan nyckel.

    Skärmbild av nyckelfönstret med den nya versionen markerad

  4. Bläddra till Data Lake Storage Gen1-kontot och välj Kryptering.

    Skärmbild av Data Lake Storage Gen1 kontofönster med Kryptering markerat

  5. Ett meddelande informerar dig om att det finns en ny tillgänglig nyckelversion. Klicka på knappen Rotate (Rotera) för att uppdatera nyckeln till den nya versionen.

    Skärmbild av Data Lake Storage Gen1 fönster med meddelandet och rotationsnyckeln markerade

Den här åtgärden tar normalt mindre än två minuter och ingen stilleståndstid förväntas på grund av nyckelrotationen. När åtgärden har slutförts används den nya versionen av nyckeln.

Viktigt

När nyckelrotationen har slutförts används inte längre den gamla versionen av nyckeln aktivt för kryptering av nya data. Det kan dock finnas fall där åtkomst till äldre data kan behöva den gamla nyckeln. Om du vill tillåta läsning av sådana äldre data ska du inte ta bort den gamla nyckeln