Azure Cosmos DB'de veri şifreleme

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: Nosql MongoDB Cassandra Gremlin Tablo

"Bekleyen şifreleme", katı hal sürücüleri (SSD'ler) ve sabit disk sürücüleri (HDD'ler) gibi kalıcı olmayan depolama cihazlarında verilerin şifrelenmesini ifade eden bir ifadedir. Azure Cosmos DB birincil veritabanlarını SSD'lerde depolar. Medya ekleri ve yedeklemeleri, genellikle HDD'ler tarafından yedeklenen Azure Blob Depolama depolanır. Azure Cosmos DB için bekleyen şifreleme sürümüyle tüm veritabanlarınız, medya ekleriniz ve yedeklemeleriniz şifrelenir. Verileriniz artık aktarım sırasında (ağ üzerinden) ve bekleme durumunda (kalıcı olmayan depolama) şifrelenerek size uçtan uca şifreleme sağlanır.

Hizmet olarak platform (PaaS) olarak Azure Cosmos DB'nin kullanımı kolaydır. Azure Cosmos DB'de depolanan tüm kullanıcı verileri beklemede ve aktarım sırasında şifrelendiğinden herhangi bir işlem yapmanız gerekmez. Başka bir deyişle bekleyen şifreleme varsayılan olarak "açık"tır. Kapatmak veya açmak için denetim yok. Azure Cosmos DB, hesabın çalıştığı tüm bölgelerde AES-256 şifrelemesini kullanır.

Kullanılabilirlik ve performans hizmet düzeyi sözleşmelerimizi (SLA) karşılamaya devam ederken bu özelliği sağlıyoruz. Azure Cosmos DB hesabınızda depolanan veriler, Microsoft tarafından yönetilen anahtarlarla (hizmet tarafından yönetilen anahtarlar) otomatik ve sorunsuz bir şekilde şifrelenir. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarlar makalesinde açıklandığı gibi kendi anahtarlarınızla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz.

Azure Cosmos DB için bekleyen şifrelemenin uygulanması

Bekleyen şifreleme, güvenli anahtar depolama sistemleri, şifrelenmiş ağlar ve şifreleme API'leri gibi çeşitli güvenlik teknolojileri kullanılarak uygulanır. Verilerin şifresini çözen ve işleyen sistemlerin anahtarları yöneten sistemlerle iletişim kurması gerekir. Diyagramda şifrelenmiş verilerin depolanması ve anahtarların yönetiminin nasıl ayrıldığı gösterilmektedir.

Diagram that shows data storage and key management design.

Kullanıcı isteğinin temel akışı:

  • Kullanıcı veritabanı hesabı hazır hale getirilir ve depolama anahtarları Yönetim Hizmeti Kaynak Sağlayıcısına gönderilen bir istek aracılığıyla alınır.
  • Kullanıcı, HTTPS/güvenli aktarım aracılığıyla Azure Cosmos DB'ye bağlantı oluşturur. (SDK'lar ayrıntıları soyutlar.)
  • Kullanıcı, daha önce oluşturulan güvenli bağlantı üzerinden depolanacak bir JSON belgesi gönderir.
  • Kullanıcı dizin oluşturmayı kapatmadığı sürece JSON belgesi dizine eklenir.
  • Hem JSON belgesi hem de dizin verileri güvenli depolama için yazılır.
  • Veriler düzenli aralıklarla güvenli depolama alanından okunur ve Azure Şifrelenmiş Blob Deposu'na yedeklenir.

Sık sorulan sorular

Şifreleme hakkında sık sorulan soruların yanıtlarını bulun.

Depolama Hizmet Şifrelemesi etkinleştirilirse Azure Depolama maliyeti ne kadardır?

Ek ücret alınmaz.

Şifreleme anahtarlarını kim yönetir?

Azure Cosmos DB hesabınızda depolanan veriler, hizmet tarafından yönetilen anahtarlar kullanılarak Microsoft tarafından yönetilen anahtarlarla otomatik ve sorunsuz bir şekilde şifrelenir. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarları kullanarak yönettiğiniz anahtarlarla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz.

Şifreleme anahtarları ne sıklıkta döndürülür?

Microsoft, Azure Cosmos DB'nin izlediği şifreleme anahtarı döndürmeye yönelik bir dizi iç yönergeye sahiptir. Belirli yönergeler yayımlanmaz. Microsoft, iç kılavuzun bir alt kümesi olarak görülen ve geliştiriciler için yararlı en iyi yöntemlere sahip olan Güvenlik Geliştirme Yaşam Döngüsü'ni yayımlar.

Kendi şifreleme anahtarlarımı kullanabilir miyim?

Evet, bu özellik yeni Azure Cosmos DB hesaplarında kullanılabilir. Hesap oluşturma sırasında dağıtılmalıdır. Daha fazla bilgi için müşteri tarafından yönetilen anahtarlar belgesine bakın.

Uyarı

Aşağıdaki alan adları, müşteri tarafından yönetilen anahtarlar kullanılarak hesaplardaki Cassandra API tablolarında ayrılmıştır:

  • id
  • ttl
  • _ts
  • _etag
  • _rid
  • _self
  • _attachments
  • _epk

Müşteri tarafından yönetilen anahtarlar etkinleştirilmediğinde, yalnızca ile __sys_ başlayan alan adları ayrılır.

Şifreleme hangi bölgelerde açıldı?

Tüm Azure Cosmos DB bölgelerinde tüm kullanıcı verileri için şifreleme açıktır.

Şifreleme, performans gecikme süresini ve aktarım hızı SLA'larını etkiler mi?

Bekleyen şifreleme artık tüm mevcut ve yeni hesaplar için etkinleştirildiğinden performans SLA'larında herhangi bir etki veya değişiklik yoktur. En son garantileri görmek için bkz . Azure Cosmos DB için SLA.

Yerel öykünücü bekleyen şifrelemeyi destekliyor mu?

Öykünücü tek başına bir geliştirme/test aracıdır ve yönetilen Azure Cosmos DB hizmetinin kullandığı anahtar yönetim hizmetlerini kullanmaz. Hassas öykünücü test verilerini depoladığınız sürücülerde BitLocker'ın etkinleştirilmesini öneririz. Öykünücü, varsayılan veri dizinini değiştirmeyi ve iyi bilinen bir konum kullanmayı destekler.

Sonraki adımlar

  • Kendi anahtarlarınızla ikinci bir şifreleme katmanı ekleme hakkında daha fazla bilgi edinmek için müşteri tarafından yönetilen anahtarlar makalesine bakın.
  • Azure Cosmos DB güvenliğine genel bakış ve en son iyileştirmeler için bkz . Azure Cosmos DB veritabanı güvenliği.
  • Microsoft sertifikaları hakkında daha fazla bilgi için bkz . Azure Güven Merkezi.