Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure DocumentDB tarafından yönetilen tüm veriler bekleme sırasında her zaman şifrelenir. Bu veriler tüm sistem ve kullanıcı veritabanlarını, geçici dosyaları, günlükleri ve yedeklemeleri içerir.
Durağan veri şifreleme, hizmet tarafından yönetilen anahtar (SMK) veya müşteri tarafından yönetilen anahtar (CMK) ile yapılabilir.
Azure DocumentDB bekleyen iki veri şifreleme modunu destekler: hizmet tarafından yönetilen anahtarlar (SMK) ve müşteri tarafından yönetilen anahtarlar (CMK). Hizmet tarafından yönetilen anahtarlarla veri şifreleme, Azure DocumentDB için varsayılan moddur. Bu modda hizmet, verilerinizi şifrelemek için kullanılan şifreleme anahtarlarını otomatik olarak yönetir. Bu modda şifrelemeyi etkinleştirmek veya yönetmek için herhangi bir işlem yapmanız gerekmez.
Müşteri tarafından yönetilen anahtarlar modunda, verilerinizi şifrelemek için kendi şifreleme anahtarınızı getirebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde, bu anahtar verilerinizi şifreleyen anahtara erişimi korumak ve denetlemek için kullanılır. Müşteri tarafından yönetilen anahtarlar, erişim denetimlerini yönetmek için daha fazla esneklik sunar. Azure DocumentDB kümeniz tarafından kullanılan şifreleme anahtarlarını depolamak için kendi Azure Key Vault'unuzu dağıtmanız ve yapılandırmanız gerekir.
Yapılandırma modu yalnızca küme oluşturma zamanında seçilebilir. Kümenin ömrü boyunca bir moddan diğerine değiştirilemez.
Azure DocumentDB, verilerinizin şifrelenmesini sağlamak için hareketsiz durumdaki verilerin şifrelenmesi amacıyla Azure Depolama'nın sunucu tarafı şifrelemesini kullanır. CMK kullanırken, Azure Depolama hizmetlerindeki verileri şifrelemek ve şifresini çözmek için anahtar sağlamak sizin sorumluluğunuzdadır. Bu anahtarların Azure Key Vault'ta depolanması gerekir.
Her mod (SMK veya CMK) tarafından sağlanan avantajlar
Azure DocumentDB için hizmet tarafından yönetilen anahtarlarla veri şifreleme aşağıdaki avantajları sağlar:
- Hizmet, veri erişimini otomatik olarak ve tam olarak denetler.
- Hizmet, anahtarın dönüşü de dahil olmak üzere anahtarınızın yaşam döngüsünü otomatik olarak ve tam olarak denetler.
- Veri şifreleme anahtarlarını yönetme konusunda endişelenmeniz gerekmez.
- Hizmet tarafından yönetilen anahtarlara dayalı veri şifrelemesi, iş yüklerinizin performansını olumsuz etkilemez.
- Şifreleme anahtarlarının yönetimini (normal döndürmeleri dahil) ve bu anahtarlara erişmek için kullanılan kimliklerin yönetimini basitleştirir.
Azure DocumentDB için müşteri tarafından yönetilen anahtarlarla veri şifreleme aşağıdaki avantajları sağlar:
- Veri erişimini tam olarak denetlersiniz. Veritabanına erişilemez hale getirmek için bir anahtarı iptal edebilirsiniz.
- Bir anahtarın yaşam döngüsünü şirket ilkeleriyle uyumlu olacak şekilde tamamen denetlersiniz.
- Tüm şifreleme anahtarlarınızı kendi Azure Key Vault örneklerinizde merkezi olarak yönetebilir ve düzenleyebilirsiniz.
- Müşteri tarafından yönetilen anahtarlara dayalı veri şifrelemesi, iş yüklerinizin performansını olumsuz etkilemez.
- Güvenlik görevlileri, veritabanı yöneticileri ve sistem yöneticileri arasında görev ayrımı uygulayabilirsiniz.
CMK gereksinimleri
Müşteri tarafından yönetilen şifreleme anahtarıyla, CMK'nin çalışması için gereken düzgün yapılandırılmış bileşenlerin bakımını yapma sorumluluğunun tamamını üstlenirsiniz. Bu nedenle, kendi Azure Key Vault'unuzu dağıtmanız ve kullanıcı tarafından atanan bir yönetilen kimlik sağlamanız gerekir. Kendi anahtarınızı oluşturmanız veya içeri aktarmanız gerekir. Azure DocumentDB'nizin anahtar üzerinde gerekli eylemleri gerçekleştirebilmesi için Key Vault üzerinde gerekli izinleri vermelisiniz. Azure DocumentDB örneğinizin anahtara erişebilmesi için anahtarın tutulduğu Azure Key Vault'un tüm ağ özelliklerini yapılandırmayla ilgilenmeniz gerekir. Anahtara erişimi denetlemek de sizin sorumluluğunuzdadır.
MongoDB için Azure DocumentDB kümesi için müşteri tarafından yönetilen anahtarları yapılandırdığınızda, Azure Depolama, hesabın kök veri şifreleme anahtarını (DEK), ilişkili anahtar kasasında müşteri tarafından yönetilen anahtarla sarar. Kök şifreleme anahtarının koruması değişir, ancak Azure Depolama hesabınızdaki veriler her zaman şifrelenmiş olarak kalır. Verilerinizin şifrelenmesini sağlamak için ek bir işlem yapmanız gerekmez. Müşteri tarafından yönetilen anahtarlara göre koruma hemen geçerli olur.
Azure Key Vault bulut tabanlı bir dış anahtar yönetim sistemidir. Yüksek oranda kullanılabilir ve RSA şifreleme anahtarları için ölçeklenebilir, güvenli depolama alanı sağlar. Depolanan anahtara doğrudan erişime izin vermez, ancak yetkili varlıklara şifreleme ve şifre çözme hizmetleri sağlar. Key Vault, anahtarı oluşturabilir, içeri aktarabilir veya şirket içi HSM cihazından aktarılmasını sağlayabilir.
Azure DocumentDB için veri şifreleme yapılandırmasına yönelik gereksinimlerin ve önerilerin listesi aşağıdadır:
Güvenli Anahtar Havuzu
CMK kurulumu için kullanılan anahtar kasası aşağıdaki gereksinimleri karşılamalıdır:
- Anahtar kasası ve Azure DocumentDB aynı Microsoft Entra kiracısına ait olmalıdır.
- Öneri: Key Vault için silinen kasaları saklama süresi ayarını 90 gün olarak ayarlayın. Bu yapılandırma ayarı yalnızca anahtar kasası oluşturulurken tanımlanabilir. Bir örnek oluşturulduktan sonra bu ayarı değiştirmek mümkün değildir.
-
soft-deleteAnahtar veya anahtar kasası örneği yanlışlıkla silinirse veri kaybından korunmanıza yardımcı olması için anahtar kasasında özelliği etkinleştirin. Kullanıcı, geçici olarak silinen kaynakları kurtarmadığı veya kalıcı olarak silmediği sürece, anahtar kasası bu kaynakları 90 gün boyunca saklar. Kurtarma ve temizleme eylemlerinin bir anahtar kasası, rol tabanlı erişim denetimi (RBAC) rolü veya erişim ilkesi izniyle ilişkili kendi izinleri vardır. Geçici olarak silinen özellik varsayılan olarak açıktır. Uzun bir süre önce dağıtılan bir anahtar kasanız varsa, geçici silme (soft-delete) devre dışı bırakılmış olabilir. Bu durumda, açabilirsiniz. - Silinen kasalar ve kasa nesneleri için zorunlu saklama süresi uygulamak amacıyla silme korumasını etkinleştirin.
- Kümenizin anahtar kasasında şifreleme anahtarına erişmesine izin vermek için ağ erişimini yapılandırın. Aşağıdaki yapılandırma seçeneklerinden birini kullanın:
- Tüm ağlardan genel erişime izin ver , İnternet üzerindeki tüm konakların anahtar kasasına erişmesine izin verir.
- Tüm genel erişimi devre dışı bırakmak ancak kümenizin anahtar kasasına erişmesine izin vermek için Genel erişimi devre dışı bırak ve Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver'i seçin.
Şifreleme anahtarı
CMK yapılandırması için seçilen şifreleme anahtarı aşağıdaki gereksinimleri karşılamalıdır:
- Veri şifreleme anahtarını şifrelemek için kullanılan anahtar yalnızca asimetrik, RSA veya RSA-HSM olabilir. 2.048, 3.072 ve 4.096 anahtar boyutları desteklenir.
- Öneri: Daha iyi güvenlik için 4.096 bit anahtar kullanın.
- Anahtar etkinleştirme tarihi ve saati (ayarlandıysa) geçmişte olmalıdır. Süre sonu tarihi ve saati (ayarlandıysa) gelecekte olmalıdır.
- Anahtar Etkin durumda olmalıdır.
- Mevcut bir anahtarı Azure Key Vault'a aktarıyorsanız, bunu desteklenen dosya biçimlerinde (
.pfx,.byokveya.backup) sağlayın.
Permissions
Azure DocumentDB'ye ait kullanıcı tarafından atanan yönetilen kimliğe şifreleme anahtarına erişim izni verin.
- Tercih edilen: Azure Key Vault RBAC izin modeliyle yapılandırılmalıdır ve yönetilen kimliğe Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolü atanmalıdır.
-
Eski: Azure Key Vault Erişim ilkesi izin modeliyle yapılandırılmışsa yönetilen kimlik için aşağıdaki izinleri verin:
- get: Anahtar kasasında anahtarın özelliklerine ve genel kısmına erişmek için.
- list: Key Vault'ta depolanan anahtarları listelemek ve üzerinde gezinmek için.
- wrapKey: Veri şifreleme anahtarını şifrelemek için.
- unwrapKey: Veri şifreleme anahtarının şifresini çözmek için.
CMK anahtar sürümü güncelleştirmeleri
Azure DocumentDB'de CMK, sürüm olmayan anahtarlar olarak da bilinen otomatik anahtar sürüm güncelleştirmelerini destekler. Azure DocumentDB hizmeti yeni anahtar sürümünü otomatik olarak alır ve veri şifreleme anahtarını yeniden şifreler. Bu özellik, Azure Key Vault'un otomatik döndürme özelliğiyle birleştirilebilir.
Değerlendirmeler
Veri şifrelemesi için müşteri tarafından yönetilen bir anahtar kullanırken Key Vault'u yapılandırmak için şu önerileri izleyin:
- Bu kritik kaynağın yanlışlıkla veya yetkisiz silinmesini önlemek için anahtar kasasında bir Azure kaynak kilidi ayarlayın.
- Azure Key Vault kullanılabilirlik ve yedeklilik seçeneklerini gözden geçirin ve etkinleştirin.
- Azure Key Vault örneğinde, anahtarları depolamak için kullanılan günlük kaydını ve uyarıları etkinleştirin. Anahtar kasası, diğer güvenlik bilgi ve olay yönetimi (SIEM) araçlarına kolayca entegre edilebilen günlükler sağlar. Azure İzleyici Günlükleri, zaten tümleştirilmiş bir hizmet örneğidir.
- Anahtar otomatik döndürmeyi etkinleştirin. Azure DocumentDB hizmeti her zaman seçili anahtarın en son sürümünü alır.
- Genel erişimi devre dışı bırak ve Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver'i seçerek Key Vault'a genelağ erişimini kilitleyin.
Uyarı
Genel erişimi devre dışı bırak'ı ve Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver'i seçtikten sonra, portal aracılığıyla Key Vault'u yönetmek için genel erişimi kullanmaya çalıştığınızda aşağıdakine benzer bir hata alabilirsiniz: "Ağ erişim denetimini etkinleştirmişsiniz. Bu anahtar kasasına yalnızca izin verilen ağlar erişebilir." Bu hata, müşteri tarafından yönetilen anahtar kurulumu sırasında anahtar sağlama veya küme işlemleri sırasında Anahtar Kasası'ndan anahtar getirme özelliğini ortadan kaldırmaz.
- Müşteri tarafından manged anahtarının bir kopyasını güvenli bir yerde tutun veya bir emanet hizmetine emanet edin.
- Anahtarı Key Vault oluşturuyorsa, anahtarı ilk kez kullanmadan önce bir anahtar yedeklemesi oluşturun. Yedeklemeyi yalnızca Key Vault'a geri yükleyebilirsiniz.