Krypteringsalternativ för att skydda virtuella Windows- och Linux-datorer
Anta att företagets handelspartner har säkerhetsprinciper som kräver att deras handelsdata skyddas med stark kryptering. Du använder ett B2B-program som körs på dina Windows-servrar och lagrar data på serverdatadisken. Nu när du övergår till molnet behöver du visa dina affärspartners att de data som lagras på dina virtuella Azure-datorer inte kan nås av obehöriga användare, enheter eller program. Du måste välja en strategi för kryptering av dina B2B-data.
Dina granskningskrav kräver att dina krypteringsnycklar hanteras lokalt och inte av tredje part. Du vill också se till att prestanda och hanterbarhet för dina Azure-baserade servrar bibehålls. Så innan du implementerar kryptering vill du vara säker på att det inte påverkar dina prestanda.
Vad är kryptering?
Kryptering handlar om att omvandla meningsfull information till något som verkar meningslöst, till exempel en slumpmässig sekvens med bokstäver och siffror. I krypteringsprocessen används någon form av nyckel som ett led i algoritmen som skapar krypterade data. En nyckel krävs också för att utföra dekrypteringen. Nycklar kan vara symmetriska, där samma nyckel används för kryptering och dekryptering, eller asymmetrisk, där olika nycklar används. Ett exempel på det senare är de offentliga/privata nyckelpar som används för digitala certifikat.
Symmetrisk kryptering
Algoritmer som använder symmetriska nycklar, till exempel Advanced Encryption Standard (AES), är vanligtvis snabbare än algoritmer med offentliga nycklar och används ofta för att skydda stora datalager. Eftersom det finns bara en nyckel måste det finnas procedurer för att skydda nyckeln från att komma ut till allmänheten.
Asymmetrisk kryptering
Med asymmetriska algoritmer behöver endast den privata nyckeln i paret vara säker och privat. Som namnet antyder kan den offentliga nyckeln ges till vem som helst utan att krypterade data komprometteras. Nackdelen med offentliga nyckelalgoritmer är dock att de är mycket långsammare än symmetriska algoritmer och inte kan användas för att kryptera stora mängder data.
Nyckelhantering
I Azure kan Microsoft eller kunden hantera dina krypteringsnycklar. Ofta kommer efterfrågan på kundhanterade nycklar från organisationer som behöver demonstrera efterlevnad med HIPAA eller andra regler. Sådan efterlevnad kan kräva att åtkomst till nycklar loggas och att regelbundna nyckeländringar görs och registreras.
Diskkrypteringstekniker för Azure
De viktigaste krypteringsbaserade diskskyddsteknikerna för virtuella Azure-datorer är:
- Azure Storage Service Encryption (SSE)
- Azure Disk Encryption (ADE)
Handelshögskolan utförs på de fysiska diskarna i datacentret. Om någon skulle komma åt den fysiska disken direkt skulle data krypteras. När data nås från disken dekrypteras och läses de in i minnet.
ADE krypterar den virtuella datorns virtuella hårddiskar (VHD). Om en virtuell hårddisk skyddas med ADE är diskbilden endast tillgänglig för den virtuella dator som äger disken.
Det går att använda båda tjänsterna för att skydda dina data.
Kryptering för lagringstjänst
SSE är en krypteringstjänst som är inbyggd i Azure och som används för att skydda vilande data. Azures lagringsplattform krypterar data automatiskt innan de lagras hos flera lagringstjänster, inklusive Azure Managed Disks. 256-bitars AES-kryptering är aktiverad som standard, och hanteras av en administratör för lagringskontot.
SSE är aktiverat för alla nya och befintliga lagringskonton och kan inte inaktiveras. Dina data skyddas som standard. du behöver inte ändra din kod eller dina program för att dra nytta av SSE.
Handelshögskolan påverkar inte prestandan för Azure Storage-tjänster.
Azure Disk Encryption
Den virtuella datorns ägare hanterar ADE. ADE styr kryptering av VM-kontrollerade diskar med Windows och Linux med hjälp av BitLocker på virtuella Windows-datorer och DM-Crypt på virtuella Linux-datorer. BitLocker-diskkryptering är en dataskyddsfunktion som integreras med operativsystemet och hanterar hot om datastöld eller exponering från förlorade, stulna eller felaktigt inaktiverade datorer. På liknande sätt krypterar DM-Crypt vilande data för Linux innan de skrivs till lagring.
ADE säkerställer att alla data på virtuella datordiskar krypteras i vila i Azure-lagringen, och ADE krävs för virtuella datorer som säkerhetskopieras till Recovery-valvet.
När du använder ADE startar virtuella datorer under kundkontrollerade nycklar och principer. ADE är integrerat med Azure Key Vault för att hantera dessa diskkrypteringsnycklar och hemligheter.
Kommentar
ADE stöder inte kryptering av virtuella datorer på Basic-nivå och du kan inte använda en lokal nyckelhanteringstjänst (KMS) (KMS) med ADE.
När kryptering ska användas
Data utsätts för risk i rörelse (vid överföring över Internet eller ett annat nätverk) och när de är i vila (sparade på en lagringsenhet). Data i vila är det viktigaste när du skyddar data på diskar för virtuella Azure-datorer. Någon kan till exempel ladda ned VHD-filen (Virtual Hard Disk) som är associerad med en virtuell Azure-dator och spara den på sin bärbara dator. Om den virtuella hårddisken inte är krypterad är dess innehåll potentiellt tillgängligt för alla som kan montera VHD-filen på sin dator.
För operativsystemdiskar krypteras data som lösenord automatiskt, så även om själva den virtuella hårddisken inte är krypterad är det inte lätt att komma åt den informationen. Program kan också automatiskt kryptera sina egna data. Men även med sådana skydd, om någon med skadlig avsikt får åtkomst till en datadisk och själva disken inte krypterades, kanske de kan utnyttja alla kända svagheter i programmets dataskydd. Med diskkryptering på plats är sådana kryphål inte möjliga.
SSE är en del av Själva Azure och det bör inte ha någon märkbar prestandapåverkan på I/O för den virtuella datorn när du använder SSE. Hanterade diskar med SSE nu är standard och det bör inte finnas någon anledning att ändra den standardinställningen. ADE använder operativsystemets verktyg för virtuella datorer (BitLocker och DM-Crypt) så den virtuella datorn själv måste utföra en del arbete när kryptering eller dekryptering på virtuella datordiskar utförs. Den extra processorverksamheten hos den virtuella datorn som ingår i detta är normalt försumbar, med undantag för vissa situationer. Om du till exempel har ett processorintensivt program kan det vara bra att lämna OS-disken okrypterad för att maximera prestandan. I det här fallet kan du lagra programdata på en separat krypterad datadisk, vilket ger dig de prestanda du behöver utan att äventyra säkerheten.
Azure tillhandahåller två kompletterande krypteringstekniker som används för att skydda Virtuella Azure-diskar. Dessa tekniker (SSE och ADE) krypteras i olika lager och har olika syften. Båda använder AES-256-bitarskryptering. Genom användning av båda teknikerna får du ett djupgående skydd mot obehörig åtkomst till din Azure-lagring och specifika virtuella hårddiskar.