Datakrypteringsmodeller
En förståelse för de olika krypteringsmodellerna och deras fördelar och nackdelar är viktig för att förstå hur de olika resursprovidrar i Azure implementerar kryptering i vila. Dessa definitioner delas mellan alla resursprovidrar i Azure för att säkerställa gemensamt språk och taxonomi.
Det finns tre scenarier för kryptering på serversidan:
Kryptering på serversidan med tjänsthanterade nycklar
- Azure Resource Providers utför krypterings- och dekrypteringsåtgärderna
- Microsoft hanterar nycklarna
- Fullständiga molnfunktioner
Kryptering på serversidan med kundhanterade nycklar i Azure Key Vault
- Azure Resource Providers utför krypterings- och dekrypteringsåtgärderna
- Kunden styr nycklar via Azure Key Vault
- Fullständiga molnfunktioner
Kryptering på serversidan med kundhanterade nycklar på kundkontrollerad maskinvara
- Azure Resource Providers utför krypterings- och dekrypteringsåtgärderna
- Kunden styr nycklar på kundkontrollerad maskinvara
- Fullständiga molnfunktioner
Krypteringsmodeller på serversidan refererar till kryptering som utförs av Azure-tjänsten. I den modellen utför resursprovidern krypterings- och dekrypteringsåtgärderna. Azure Storage kan till exempel ta emot data i oformaterade textåtgärder och utföra kryptering och dekryptering internt. Resursprovidern kan använda krypteringsnycklar som hanteras av Microsoft eller av kunden beroende på den angivna konfigurationen.
Var och en av krypteringen på serversidan i vilomodeller innebär distinkta egenskaper för nyckelhantering. Detta inkluderar var och hur krypteringsnycklar skapas och lagras samt åtkomstmodellerna och nyckelrotationsförfarandena.
Tänk på följande för kryptering på klientsidan:
- Azure-tjänster kan inte se dekrypterade data
- Kunder hanterar och lagrar nycklar lokalt (eller i andra säkra butiker). Nycklar är inte tillgängliga för Azure-tjänster
- Minskad molnfunktionalitet
De krypteringsmodeller som stöds i Azure delas upp i två huvudgrupper: "Klientkryptering" och "Kryptering på serversidan" som tidigare nämnts. Oberoende av den kryptering i vilomodell som används rekommenderar Azure-tjänster alltid användning av en säker transport, till exempel TLS eller HTTPS. Därför bör kryptering vid transport hanteras av transportprotokollet och bör inte vara en viktig faktor för att avgöra vilken kryptering i vila-modellen som ska användas.
Klientkrypteringsmodell
Klientkrypteringsmodellen refererar till kryptering som utförs utanför resursprovidern eller Azure av tjänsten eller det anropande programmet. Krypteringen kan utföras av tjänstprogrammet i Azure eller av ett program som körs i kundens datacenter. När du använder den här krypteringsmodellen tar Azure Resource Provider i båda fallen emot en krypterad datablob utan möjlighet att dekryptera data på något sätt eller ha åtkomst till krypteringsnycklarna. I den här modellen utförs nyckelhanteringen av den anropande tjänsten/programmet och är ogenomskinlig för Azure-tjänsten.
Kryptering på serversidan med tjänsthanterade nycklar
För många kunder är det grundläggande kravet att säkerställa att data krypteras när de är i vila. Kryptering på serversidan med tjänsthanterade nycklar möjliggör den här modellen genom att låta kunder markera den specifika resursen (lagringskonto, SQL DB osv.) för kryptering och lämna alla viktiga hanteringsaspekter som nyckelutfärdande, rotation och säkerhetskopiering till Microsoft. De flesta Azure-tjänster som stöder kryptering i vila stöder vanligtvis den här modellen för att avlasta hanteringen av krypteringsnycklarna till Azure. Azure-resursprovidern skapar nycklarna, placerar dem i säker lagring och hämtar dem när det behövs. Det innebär att tjänsten har fullständig åtkomst till nycklarna och att tjänsten har fullständig kontroll över livscykelhanteringen för autentiseringsuppgifter.
Kryptering på serversidan med tjänsthanterade nycklar åtgärdar därför snabbt behovet av att ha kryptering i vila med låg omkostnad för kunden. När det är tillgängligt öppnar en kund vanligtvis Azure-portalen för målprenumerationen och resursprovidern och kontrollerar en ruta som anger att de vill att data ska krypteras. I vissa resource managers är kryptering på serversidan med tjänsthanterade nycklar aktiverat som standard.
Kryptering på serversidan med Microsoft-hanterade nycklar innebär att tjänsten har fullständig åtkomst för att lagra och hantera nycklarna. Vissa kunder kanske vill hantera nycklarna eftersom de känner att de får större säkerhet, men kostnaden och risken som är kopplad till en anpassad nyckellagringslösning bör beaktas vid utvärdering av den här modellen. I många fall kan en organisation fastställa att resursbegränsningar eller risker för en lokal lösning kan vara större än risken för molnhantering av kryptering vid vilonycklar. Den här modellen kanske dock inte räcker för organisationer som har krav på att styra skapandet eller livscykeln för krypteringsnycklarna eller att låta annan personal hantera en tjänsts krypteringsnycklar än de som hanterar tjänsten (dvs. uppdelning av nyckelhantering från den övergripande hanteringsmodellen för tjänsten).
Nyckelåtkomst
När kryptering på serversidan med tjänsthanterade nycklar används hanteras alla nyckelskapande, lagring och tjänståtkomst av tjänsten. Vanligtvis lagrar de grundläggande Azure-resursprovidrar datakrypteringsnycklarna i ett lager som är nära data och snabbt tillgängliga och tillgängliga medan nyckelkrypteringsnycklarna lagras i ett säkert internt lager.
Fördelar
- Enkel installation
- Microsoft hanterar nyckelrotation, säkerhetskopiering och redundans
- Kunden har inte den kostnad som är kopplad till implementeringen eller risken för ett anpassat nyckelhanteringssystem.
Nackdelar
- Ingen kundkontroll över krypteringsnycklarna (nyckelspecifikation, livscykel, återkallande osv.)
- Ingen möjlighet att skilja nyckelhantering från den övergripande hanteringsmodellen för tjänsten
Kryptering på serversidan med kundhanterade nycklar i Azure Key Vault
För scenarier där kravet är att kryptera vilande data och styra krypteringsnycklarna kan kunder använda kryptering på serversidan med hjälp av kundhanterade nycklar i Key Vault. Vissa tjänster kanske bara lagrar rotnyckelkrypteringsnyckeln i Azure Key Vault och lagrar den krypterade datakrypteringsnyckeln på en intern plats närmare data. I det scenariot kan kunderna ta med sina egna nycklar till Key Vault (BYOK – Bring Your Own Key) eller generera nya och använda dem för att kryptera de önskade resurserna. Resursprovidern utför krypterings- och dekrypteringsåtgärderna, men använder den konfigurerade nyckelkrypteringsnyckeln som rotnyckel för alla krypteringsåtgärder.
Förlust av nyckelkrypteringsnycklar innebär dataförlust. Därför bör nycklar inte tas bort. Nycklar bör säkerhetskopieras när de skapas eller roteras. Skydd mot mjuk borttagning och rensning måste vara aktiverat på valv som lagrar nyckelkrypteringsnycklar för att skydda mot oavsiktlig eller skadlig kryptografisk radering. I stället för att ta bort en nyckel rekommenderar vi att du anger aktiverad till false på nyckelkrypteringsnyckeln. Använd åtkomstkontroller för att återkalla åtkomst till enskilda användare eller tjänster i Azure Key Vault eller Managed HSM.
Nyckelåtkomst
Krypteringsmodellen på serversidan med kundhanterade nycklar i Azure Key Vault innebär att tjänsten kommer åt nycklarna för att kryptera och dekryptera efter behov. Kryptering i vila nycklar görs tillgängliga för en tjänst via en princip för åtkomstkontroll. Den här principen ger tjänstidentiteten åtkomst för att ta emot nyckeln. En Azure-tjänst som körs för en associerad prenumeration kan konfigureras med en identitet i den prenumerationen. Tjänsten kan utföra Microsoft Entra-autentisering och ta emot en autentiseringstoken som identifierar sig som den tjänsten som agerar på uppdrag av prenumerationen. Denna token kan sedan visas för Key Vault för att hämta en nyckel som den har fått åtkomst till.
För åtgärder som använder krypteringsnycklar kan en tjänstidentitet beviljas åtkomst till någon av följande åtgärder: dekryptera, kryptera, unwrapKey, wrapKey, verifiera, signera, hämta, lista, uppdatera, skapa, importera, ta bort, säkerhetskopiera och återställa.
För att hämta en nyckel för användning vid kryptering eller dekryptering av data i vila körs tjänstidentiteten som Resource Manager-tjänstinstansen ska köra som måste ha UnwrapKey (för att hämta nyckeln för dekryptering) och WrapKey (för att infoga en nyckel i nyckelvalvet när du skapar en ny nyckel).
Kommentar
Mer information om Key Vault-auktorisering finns på sidan skydda ditt nyckelvalv i Azure Key Vault-dokumentationen.
Fördelar
- Fullständig kontroll över de nycklar som används – krypteringsnycklar hanteras i kundens Nyckelvalv under kundens kontroll.
- Möjlighet att kryptera flera tjänster till en huvudserver
- Kan skilja nyckelhantering från den övergripande hanteringsmodellen för tjänsten
- Kan definiera tjänst- och nyckelplats mellan regioner
Nackdelar
- Kunden har fullt ansvar för nyckelåtkomsthantering
- Kunden har fullt ansvar för nyckellivscykelhantering
- Ytterligare installations- och konfigurationskostnader
Kryptering på serversidan med kundhanterade nycklar i kundkontrollerad maskinvara
Vissa Azure-tjänster aktiverar hyok-nyckelhanteringsmodellen (Host Your Own Key). Det här hanteringsläget är användbart i scenarier där det finns ett behov av att kryptera data i vila och hantera nycklarna på en egen lagringsplats utanför Microsofts kontroll. I den här modellen måste tjänsten använda nyckeln från en extern plats för att dekryptera datakrypteringsnyckeln (DEK). Prestanda- och tillgänglighetsgarantier påverkas och konfigurationen är mer komplex. Eftersom tjänsten dessutom har åtkomst till DEK under krypterings- och dekrypteringsåtgärderna liknar de övergripande säkerhetsgarantierna för den här modellen när nycklarna hanteras av kunden i Azure Key Vault. Därför är den här modellen inte lämplig för de flesta organisationer om de inte har specifika krav för nyckelhantering. På grund av dessa begränsningar stöder de flesta Azure-tjänster inte kryptering på serversidan med kundhanterade nycklar i kundkontrollerad maskinvara. En av två nycklar i kryptering med dubbelnyckel följer den här modellen.
Nyckelåtkomst
När kryptering på serversidan med kundhanterade nycklar i kundkontrollerad maskinvara används underhålls nyckelkrypteringsnycklarna på ett system som har konfigurerats av kunden. Azure-tjänster som stöder den här modellen tillhandahåller ett sätt att upprätta en säker anslutning till ett nyckelarkiv som kunden har angett.
Fördelar
- Fullständig kontroll över rotnyckeln som används – krypteringsnycklar hanteras av ett kundhanterat arkiv
- Möjlighet att kryptera flera tjänster till en huvudserver
- Kan skilja nyckelhantering från den övergripande hanteringsmodellen för tjänsten
- Kan definiera tjänst- och nyckelplats mellan regioner
Nackdelar
- Fullständigt ansvar för nyckellagring, säkerhet, prestanda och tillgänglighet
- Fullständigt ansvar för nyckelåtkomsthantering
- Fullständigt ansvar för nyckellivscykelhantering
- Betydande kostnader för installation, konfiguration och löpande underhåll
- Ökat beroende av nätverkstillgänglighet mellan kundens datacenter och Azure-datacenter.
Stödtjänster
De Azure-tjänster som stöder varje krypteringsmodell:
Produkt, funktion eller tjänst | Serversidan med hjälp av tjänsthanterad nyckel | Serversidan med kundhanterad nyckel | Klientsidan med klienthanterad nyckel |
---|---|---|---|
AI och Mašinsko učenje | |||
Azure AI-sökning | Ja | Ja | - |
Azure AI-tjänster | Ja | Ja, inklusive Hanterad HSM | - |
Azure Machine Learning | Ja | Ja | - |
Content Moderator | Ja | Ja, inklusive Hanterad HSM | - |
Ansikte | Ja | Ja, inklusive Hanterad HSM | - |
Language Understanding | Ja | Ja, inklusive Hanterad HSM | - |
Azure OpenAI | Ja | Ja, inklusive Hanterad HSM | - |
Personanpassning | Ja | Ja, inklusive Hanterad HSM | - |
QnA Maker | Ja | Ja, inklusive Hanterad HSM | - |
Speech Services | Ja | Ja, inklusive Hanterad HSM | - |
Translator Text | Ja | Ja, inklusive Hanterad HSM | - |
Power Platform | Ja | Ja, inklusive Hanterad HSM | - |
Dataverse | Ja | Ja, inklusive Hanterad HSM | - |
Dynamics 365 | Ja | Ja, inklusive Hanterad HSM | - |
Analys | |||
Azure Stream Analytics | Ja | Ja**, inklusive hanterad HSM | - |
Event Hubs | Ja | Ja | - |
Funktioner | Ja | Ja | - |
Azure Analysis Services | Ja | - | - |
Azure Data Catalog | Ja | - | - |
Azure HDInsight | Ja | Ja | - |
Azure Monitor Application Insights | Ja | Ja | - |
Azure Monitor Log Analytics | Ja | Ja, inklusive Hanterad HSM | - |
Öppna Azure-datautforskaren | Ja | Ja | - |
Azure Data Factory | Ja | Ja, inklusive Hanterad HSM | - |
Azure Data Lake Store | Ja | Ja, RSA 2048-bitars | - |
Fraktbehållare | |||
Azure Kubernetes Service | Ja | Ja, inklusive Hanterad HSM | - |
Container Instances | Ja | Ja | - |
Container Registry | Ja | Ja | - |
Beräkning | |||
Virtual Machines | Ja | Ja, inklusive Hanterad HSM | - |
Skaluppsättning för virtuella datorer | Ja | Ja, inklusive Hanterad HSM | - |
SAP HANA | Ja | Ja | - |
App Service | Ja | Ja**, inklusive hanterad HSM | - |
Automation | Ja | Ja | - |
Azure Functions | Ja | Ja**, inklusive hanterad HSM | - |
Azure Portal | Ja | Ja**, inklusive hanterad HSM | - |
Azure VMware Solution | Ja | Ja, inklusive Hanterad HSM | - |
Logic Apps | Ja | Ja | - |
Azure-hanterade program | Ja | Ja**, inklusive hanterad HSM | - |
Service Bus | Ja | Ja | - |
Site Recovery | Ja | Ja | - |
Databaser | |||
SQL Server på virtuella datorer | Ja | Ja | Ja |
Azure SQL Database | Ja | Ja, RSA 3072-bitars, inklusive Hanterad HSM | Ja |
Azure SQL Managed Instance | Ja | Ja, RSA 3072-bitars, inklusive Hanterad HSM | Ja |
Azure SQL Database for MariaDB | Ja | - | - |
Azure SQL Database for MySQL | Ja | Ja, inklusive Hanterad HSM | - |
Azure SQL Database for PostgreSQL | Ja | Ja, inklusive Hanterad HSM | - |
Azure Synapse Analytics (endast dedikerad SQL-pool (tidigare ENDAST SQL DW) | Ja | Ja, RSA 3072-bitars, inklusive Hanterad HSM | - |
SQL Server Stretch Database | Ja | Ja, RSA 3072-bitars | Ja |
Table Storage | Ja | Ja | Ja |
Azure Cosmos DB | Ja (läs mer) | Ja, inklusive Managed HSM (läs mer och lär dig mer) | - |
Azure Databricks | Ja | Ja, inklusive Hanterad HSM | - |
Azure Database Migration Service | Ja | GÄLLER INTE* | - |
Identitet | |||
Microsoft Entra ID | Ja | - | - |
Microsoft Entra Domain Services | Ja | Ja | - |
Integration | |||
Service Bus | Ja | Ja | - |
Event Grid | Ja | - | - |
API Management | Ja | - | - |
IoT-tjänster | |||
IoT Hub | Ja | Ja | Ja |
IoT Hub-enhetsetablering | Ja | Ja | - |
Hantering och styrning | |||
Azure Managed Grafana | Ja | - | Ej tillämpligt |
Azure Site Recovery | Ja | - | - |
Azure Migrate | Ja | Ja | - |
Medium | |||
Media Services | Ja | Ja | Ja |
Säkerhet | |||
Microsoft Defender for IoT | Ja | Ja | - |
Microsoft Sentinel | Ja | Ja, inklusive Hanterad HSM | - |
Storage | |||
Blob Storage | Ja | Ja, inklusive Hanterad HSM | Ja |
Premium Blob Storage | Ja | Ja, inklusive Hanterad HSM | Ja |
Disklagring | Ja | Ja, inklusive Hanterad HSM | - |
Ultra Disk Storage | Ja | Ja, inklusive Hanterad HSM | - |
Lagring med Managed Disks | Ja | Ja, inklusive Hanterad HSM | - |
File Storage | Ja | Ja, inklusive Hanterad HSM | - |
File Premium Storage | Ja | Ja, inklusive Hanterad HSM | - |
Filsynkronisering | Ja | Ja, inklusive Hanterad HSM | - |
Queue Storage | Ja | Ja, inklusive Hanterad HSM | Ja |
Data Lake Storage Gen2 | Ja | Ja, inklusive Hanterad HSM | Ja |
Avere vFXT | Ja | - | - |
Azure Cache for Redis | Ja | Ja***, inklusive hanterad HSM | - |
Azure NetApp Files | Ja | Ja, inklusive Hanterad HSM | Ja |
Arkivlagring | Ja | Ja | - |
StorSimple | Ja | Ja | Ja |
Azure Backup | Ja | Ja, inklusive Hanterad HSM | Ja |
Data Box | Ja | - | Ja |
Azure Stack Edge | Ja | Ja | - |
Övrigt | |||
Azure Data Manager for Energy | Ja | Ja | Ja |
* Den här tjänsten bevarar inte data. Eventuella tillfälliga cacheminnen krypteras med en Microsoft-nyckel.
** Den här tjänsten stöder lagring av data i ditt eget Nyckelvalv, Lagringskonto eller annan databevarande tjänst som redan har stöd för kryptering på serversidan med kundhanterad nyckel.
Tillfälliga data som lagras tillfälligt på diskar, till exempel sidfiler eller växlingsfiler, krypteras med en Microsoft-nyckel (alla nivåer) eller en kundhanterad nyckel (med hjälp av Enterprise- och Enterprise Flash-nivåerna). Mer information finns i Konfigurera diskkryptering i Azure Cache for Redis.