Datasäkerhet och kryptering i Azure Data Manager for Energy

  • Artikel

Den här artikeln innehåller en översikt över säkerhetsfunktioner i Azure Data Manager för energi. Den omfattar de viktigaste områdena kryptering i vila, kryptering under överföring, TLS, https, microsoft-hanterade nycklar och kundhanterad nyckel.

Kryptera data i vila

Azure Data Manager for Energy använder flera lagringsresurser för att lagra metadata, användardata, minnesintern data osv. Plattformen använder kryptering på tjänstsidan för att automatiskt kryptera alla data när de sparas i molnet. Datakryptering i vila skyddar dina data så att du kan uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Alla data i Azure Data Manager for Energy krypteras som standard med Microsoft-hanterade nycklar. Förutom Microsoft-hanterad nyckel kan du använda din egen krypteringsnyckel för att skydda data i Azure Data Manager for Energy. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till den Microsoft-hanterade nyckel som krypterar dina data.

Kryptera data under överföring

Azure Data Manager for Energy stöder TLS 1.2-protokoll (Transport Layer Security) för att skydda data när de överförs mellan molntjänsterna och kunderna. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av manipulering, avlyssning och förfalskning), interoperabilitet och flexibilitet för algoritmer.

Förutom TLS sker alla transaktioner via HTTPS när du interagerar med Azure Data Manager for Energy.

Konfigurera kundhanterade nycklar (CMK) för Azure Data Manager for Energy-instans

Viktigt

Du kan inte redigera CMK-inställningarna när Azure Data Manager for Energy-instansen har skapats.

Förutsättningar

Steg 1: Konfigurera nyckelvalvet

  1. Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?

  2. Användning av kundhanterade nycklar med Azure Data Manager for Energy kräver att både mjuk borttagning och rensningsskydd är aktiverat för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats.

  3. Information om hur du skapar ett nyckelvalv med Azure Portal finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure Portal. När du skapar nyckelvalvet väljer du Aktivera rensningsskydd.

    Skärmbild av aktivering av rensningsskydd och mjuk borttagning när nyckelvalvet skapas

  4. Följ dessa steg om du vill aktivera rensningsskydd för ett befintligt nyckelvalv:

    1. Gå till nyckelvalvet i Azure Portal.
    2. Under Inställningar väljer du Egenskaper.
    3. I avsnittet rensningsskydd väljer du Aktivera rensningsskydd.

Steg 2: Lägg till en nyckel

  1. Lägg sedan till en nyckel i nyckelvalvet.
  2. Information om hur du lägger till en nyckel med Azure Portal finns i Snabbstart: Ange och hämta en nyckel från Azure Key Vault med hjälp av Azure Portal.
  3. Vi rekommenderar att RSA-nyckelstorleken är 3072. Se Konfigurera kundhanterade nycklar för ditt Azure Cosmos DB-konto | Microsoft Learn.

Steg 3: Välj en hanterad identitet för att auktorisera åtkomst till nyckelvalvet

  1. När du aktiverar kundhanterade nycklar för en befintlig Azure Data Manager for Energy-instans måste du ange en hanterad identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Den hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet.
  2. Du kan skapa en användartilldelad hanterad identitet.

Konfigurera kundhanterade nycklar för ett befintligt konto

  1. Skapa en Azure Data Manager for Energy-instans .
  2. Välj fliken Kryptering .

Skärmbild av fliken Kryptering när du skapar Azure Data Manager for Energy.

  1. På krypteringsfliken väljer du Kundhanterade nycklar (CMK).

  2. För att använda CMK måste du välja det nyckelvalv där nyckeln lagras.

  3. Välj Krypteringsnyckel som "Välj ett nyckelvalv och nyckel".

  4. Välj sedan "Välj ett nyckelvalv och en nyckel".

  5. Välj sedan nyckelvalvet och nyckeln.

    Skärmbild som visar val av prenumeration, nyckelvalv och nyckel i den högra rutan som öppnas när du har valt

  6. Välj sedan den användartilldelade hanterade identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln.

  7. Välj "Välj en användaridentitet". Välj den användartilldelade hanterade identiteten som du skapade i förutsättningarna.

Skärmbild av nyckelvalv, nyckel, användartilldelad identitet och CMK på krypteringsfliken

  1. Den här användartilldelade identiteten måste ha behörigheterna hämta nyckel, listnyckel, omslutningsnyckel och avskrivningsnyckel för nyckelvalvet. Mer information om hur du tilldelar Åtkomstprinciper för Azure Key Vault finns i Tilldela en Key Vault åtkomstprincip.

    Skärmbild av åtkomstprincipen get, list, wrap och upwrap

  2. Du kan också välja Krypteringsnyckel som "Ange nyckel från URI". Det är obligatoriskt att nyckeln har mjuk borttagning och rensningsskydd som ska aktiveras. Du måste bekräfta det genom att markera rutan nedan.

    Skärmbild av nyckelvalvs-URI för kryptering

  3. Välj sedan "Granska+Skapa" när du har slutfört andra flikar.

  4. Välj knappen "Skapa".

  5. En Azure Data Manager for Energy-instans skapas med kundhanterade nycklar.

  6. När CMK har aktiverats visas dess status på skärmen Översikt .

    Skärmbild av CMK aktiverat på översiktssidan för Azure Data Manager for Energy.

  7. Du kan gå till Kryptering och se att CMK är aktiverat med användarhanterad identitet.

    Skärmbild av CMK-inställningar inaktiverade när Azure Data Manager for Energy-instansen har installerats.

Nästa steg

Mer information om privata länkar.

Så här konfigurerar du privata länkar