Sdílet prostřednictvím

Šifrování dat

  • Článek

PLATÍ PRO: Flexibilní server Azure Database for PostgreSQL

Všechna data spravovaná instancí flexibilní služby Azure Database for PostgreSQL se vždy šifrují v klidovém stavu. Tato data zahrnují všechny systémové a uživatelské databáze, dočasné soubory, protokoly serveru, segmenty protokolů zápisu a zálohy.

K zajištění šifrování dat používá flexibilní server Azure Database for PostgreSQL šifrování neaktivních uložených dat v Azure Storage a poskytuje klíče pro šifrování a dešifrování dat ve službách Blob Storage a Azure Files. Tyto klíče musí být uložené ve službě Azure Key Vault nebo ve spravovaném modulu hardwarového zabezpečení (HSM) služby Azure Key Vault. Další informace najdete v tématu Klíče spravované zákazníkem pro šifrování služby Azure Storage.

Flexibilní server Azure Database for PostgreSQL podporuje konfiguraci šifrování dat ve dvou různých režimech: klíč spravovaný službou a klíč spravovaný zákazníkem. Režim konfigurace lze vybrat pouze při vytváření serveru. Po celou dobu životnosti serveru se nedá změnit z jednoho režimu na jiný.

Flexibilní server Azure Database for PostgreSQL spravovaného šifrovacím klíčem služby zajišťuje zřízení služby Azure Key Vault, ve které se klíče uchovávají, a předpokládá veškerou odpovědnost za poskytnutí klíče, se kterým se data šifrují a dešifrují. Služba se také stará o ukládání, ochranu, auditování přístupu, konfiguraci sítí a automatické obměně klíče.

S šifrovacím klíčem spravovaným zákazníkem převezmete veškerou odpovědnost. Proto musíte nasadit vlastní službu Azure Key Vault nebo HSM služby Azure Key Vault. Musíte vygenerovat nebo importovat vlastní klíč. Ve službě Key Vault musíte udělit požadovaná oprávnění, aby flexibilní server Azure Database for PostgreSQL mohl s klíčem provádět nezbytné akce. Musíte se postarat o konfiguraci všech aspektů sítě služby Azure Key Vault, ve které se klíč uchovává, aby flexibilní server Azure Database for PostgreSQL měl přístup ke klíči. Auditování přístupu ke klíči je také vaší zodpovědností. Nakonec zodpovídáte za obměna klíče a v případě potřeby aktualizujete konfiguraci flexibilního serveru Azure Database for PostgreSQL tak, aby odkazoval na obměněnou verzi klíče.

Když nakonfigurujete klíče spravované zákazníkem pro účet úložiště, Azure Storage zabalí kořenový šifrovací klíč dat (DEK) pro účet s klíčem spravovaným zákazníkem v přidruženém trezoru klíčů nebo spravovaném HSM. Ochrana kořenového šifrovacího klíče se změní, ale data ve vašem účtu Azure Storage zůstanou zašifrovaná vždy. Na vaší straně není potřeba žádná další akce, která zajistí, že vaše data zůstanou zašifrovaná. Ochrana pomocí klíčů spravovaných zákazníkem se projeví okamžitě.

Azure Key Vault je cloudový externí systém pro správu klíčů. Je vysoce dostupná a poskytuje škálovatelné zabezpečené úložiště pro kryptografické klíče RSA, volitelně zálohované moduly hardwarového zabezpečení (HSM) ověřeným standardem FIPS 140. Nepovoluje přímý přístup k uloženému klíči, ale poskytuje služby šifrování a dešifrování autorizovaným entitům. Key Vault může klíč vygenerovat, importovat ho nebo ho přijímat z místního zařízení HSM.

Výhody poskytované jednotlivými režimy

Šifrování dat s využitím klíčů spravovaných službou pro flexibilní server Azure Database for PostgreSQL nabízí následující výhody:

  • Služba automaticky a plně řídí přístup k datům.
  • Služba automaticky a plně řídí životní cyklus klíče, včetně obměně klíče.
  • Nemusíte se starat o správu šifrovacích klíčů dat.
  • Šifrování dat na základě klíčů spravovaných službou nemá negativní vliv na výkon vašich úloh.
  • Zjednodušuje správu

Šifrování dat s využitím klíčů spravovaných zákazníkem pro flexibilní server Azure Database for PostgreSQL nabízí následující výhody:

  • Plně řídíte přístup k datům. Pokud chcete znepřístupnit databázi, můžete klíč odebrat.
  • Životní cyklus klíče, včetně obměně klíče, plně řídíte tak, aby odpovídal firemním zásadám.
  • Všechny šifrovací klíče můžete centrálně spravovat a organizovat ve vlastních instancích služby Azure Key Vault.
  • Šifrování dat založené na klíčích spravovaných zákazníkem nemá negativní vliv na výkon vašich úloh.
  • Můžete implementovat oddělení povinností mezi bezpečnostními důstojníky, správci databází a správci systému.

Požadavky

Následuje seznam požadavků na konfiguraci šifrování dat pro flexibilní server Azure Database for PostgreSQL:

  • Flexibilní server Key Vault a Azure Database for PostgreSQL musí patřit do stejného tenanta Microsoft Entra. Interakce se službou Key Vault a serverem mezi tenanty se nepodporují. Přesunutí prostředku služby Key Vault poté vyžaduje, abyste překonfigurovat šifrování dat.
  • Doporučuje se nastavit dny pro zachování konfigurace odstraněných trezorů pro Key Vault na 90 dnů. Pokud jste nakonfigurovali existující instanci služby Key Vault s nižším číslem, měla by být stále platná. Pokud ale chcete toto nastavení upravit a zvýšit hodnotu, je nutné vytvořit novou instanci služby Key Vault. Po vytvoření instance není možné toto nastavení změnit.
  • Povolte funkci obnovitelného odstranění ve službě Key Vault, která vám pomůže s ochranou před ztrátou dat, pokud dojde k náhodnému odstranění klíče nebo instance služby Key Vault. Služba Key Vault uchovává obnovitelné odstraněné prostředky po dobu 90 dnů, pokud je uživatel mezitím neobnoví nebo vyprázdní. Akce obnovení a vymazání mají svá vlastní oprávnění přidružená k roli RBAC služby Key Vault nebo k oprávnění zásad přístupu. Funkce obnovitelného odstranění je ve výchozím nastavení zapnutá. Pokud máte službu Key Vault, která byla nasazena už dávno, může mít stále zakázané obnovitelné odstranění. V takovém případě ho můžete zapnout pomocí Azure CLI.
  • Povolením ochrany před vymazáním vynucujte povinnou dobu uchovávání pro odstraněné trezory a objekty trezoru.
  • Udělte flexibilnímu serveru Azure Database for PostgreSQL přístup ke spravované identitě přiřazené uživatelem:
    • Preferováno: Služba Azure Key Vault by měla být nakonfigurovaná s modelem oprávnění RBAC a spravovaná identita by měla mít přiřazenou roli uživatele šifrování šifrovací služby Key Vault.
    • Starší verze: Pokud je služba Azure Key Vault nakonfigurovaná s modelem oprávnění zásad přístupu, udělte spravované identitě následující oprávnění:
      • get: Načtení vlastností a veřejné části klíče ve službě Key Vault.
      • list: Seznam a iterace prostřednictvím klíčů uložených ve službě Key Vault.
      • wrapKey: Šifrování šifrovacího klíče dat.
      • unwrapKey: Dešifrování šifrovacího klíče dat.
  • Klíč použitý k šifrování šifrovacího klíče dat může být pouze asymetrický, RSA nebo RSA-HSM. Podporují se velikosti klíčů 2 048, 3 072 a 4 096. Pro lepší zabezpečení doporučujeme použít 4 096bitový klíč.
  • Datum a čas aktivace klíče (pokud je nastavená) musí být v minulosti. Datum a čas vypršení platnosti (pokud je nastaveno) musí být v budoucnu.
  • Klíč musí být ve stavu Povoleno .
  • Pokud importujete existující klíč do služby Key Vault, zadejte ho v podporovaných formátech souborů (.pfx.byoknebo.backup).

Doporučení

Při použití klíče spravovaného zákazníkem pro šifrování dat postupujte podle těchto doporučení ke konfiguraci služby Key Vault:

  • Nastavte zámek prostředku ve službě Key Vault, abyste zabránili náhodnému nebo neoprávněnému odstranění tohoto kritického prostředku.
  • Povolte auditování a vytváření sestav u všech šifrovacích klíčů. Key Vault poskytuje protokoly, které se dají snadno vložit do jiných nástrojů pro správu událostí a informací o zabezpečení (SIEM). Protokoly služby Azure Monitor jsou jedním z příkladů služby, která je už integrovaná.
  • Uzamkněte službu Key Vault výběrem možnosti Zakázat veřejný přístup a Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall.

Poznámka:

Po výběru možnosti Zakázat veřejný přístup a Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall, může se při pokusu o použití veřejného přístupu ke správě služby Key Vault přes portál zobrazit chyba podobná následující: "Povolili jste řízení přístupu k síti. K tomuto trezoru klíčů budou mít přístup pouze povolené sítě." Tato chyba nebrání možnosti poskytovat klíče během instalace klíče spravovaného zákazníkem nebo načítání klíčů ze služby Key Vault během operací serveru.

  • Uchovávejte kopii klíče spravovaného zákazníkem na bezpečném místě nebo ji uložte do služby escrow.
  • Pokud Key Vault tento klíč vygeneruje, vytvořte zálohu klíče před prvním použitím klíče. Zálohu můžete obnovit jenom do služby Key Vault.

Speciální předpoklady

Náhodné odvolání přístupu ke klíči ze služby Key Vault

Někdo s dostatečnými přístupovými právy ke službě Key Vault může omylem zakázat přístup serveru ke klíči:

  • Přiřazení uživatele šifrování šifrovací služby Key Vault role RBAC nebo odvolání oprávnění z identity, která se používá k načtení klíče ve službě Key Vault.
  • Odstranění klíče
  • Odstranění instance služby Key Vault
  • Změna pravidel brány firewall služby Key Vault
  • Odstranění spravované identity serveru v Microsoft Entra ID

Monitorování klíčů uložených ve službě Azure Key Vault

Pokud chcete monitorovat stav databáze a zapnout výstrahy pro ztrátu přístupu k ochraně šifrování dat, nakonfigurujte následující funkce Azure:

  • Stav prostředku: Po odepření prvního připojení k databázi se zobrazí databáze, která ztratila přístup k cmk, jako nepřístupná .
  • Protokol aktivit: Pokud přístup k klíči CMK v instanci služby Key Vault spravované zákazníkem selže, položky se přidají do protokolu aktivit. Pokud vytvoříte upozornění na tyto události co nejdříve, můžete přístup obnovit.
  • Skupiny akcí: Definujte tyto skupiny pro příjem oznámení a upozornění na základě vašich preferencí.

Obnovení záloh serveru nakonfigurovaného pomocí klíče spravovaného zákazníkem

Po šifrování flexibilního serveru Azure Database for PostgreSQL pomocí klíče spravovaného zákazníkem uloženým ve službě Key Vault se zašifruje také všechna nově vytvořená kopie serveru. Tuto novou kopii můžete vytvořit prostřednictvím operace obnovení k určitému bodu v čase (PITR) nebo replik pro čtení.

Když nastavujete šifrování dat pomocí klíče spravovaného zákazníkem, během operace, jako je obnovení zálohy nebo vytvoření repliky pro čtení, můžete se vyhnout problémům pomocí těchto kroků na primárních a obnovených serverech nebo serverech replik:

  • Zahajte proces obnovení nebo proces vytvoření repliky pro čtení z primární instance flexibilního serveru Azure Database for PostgreSQL.
  • Na obnoveného serveru nebo serveru repliky můžete změnit klíč spravovaný zákazníkem a spravovanou identitu přiřazenou uživatelem, která se používá pro přístup ke službě Key Vault. Ujistěte se, že identita přiřazená na nově vytvořeném serveru má požadovaná oprávnění ke službě Key Vault.
  • Po obnovení neodvolejte původní klíč. V tuto chvíli nepodporujeme odvolání klíčů po obnovení serveru s klíčem spravovaným zákazníkem na jiný server.

Spravované hsmy

Moduly hardwarového zabezpečení (HSM) jsou hardwarová zařízení odolná proti manipulaci, která pomáhají zabezpečit kryptografické procesy generováním, ochranou a správou klíčů používaných k šifrování dat, dešifrování dat, vytváření digitálních podpisů a vytváření digitálních certifikátů. Moduly HSM se testují, ověřují a certifikují podle nejvyšších standardů zabezpečení, včetně standardu FIPS 140 a společných kritérií.

Spravovaný HSM služby Azure Key Vault je plně spravovaná, vysoce dostupná cloudová služba vyhovující standardům s jedním tenantem. Můžete ho použít k ochraně kryptografických klíčů pro cloudové aplikace prostřednictvím ověření HSM FIPS 140-3.

Při vytváření nových instancí flexibilního serveru Azure Database for PostgreSQL na webu Azure Portal pomocí klíče spravovaného zákazníkem můžete jako úložiště klíčů zvolit spravovaný HSM služby Azure Key Vault jako alternativu ke službě Azure Key Vault. Požadavky, pokud jde o uživatelsky definovanou identitu a oprávnění, jsou stejné jako u služby Azure Key Vault (jak je uvedeno výše v tomto článku). Další informace o tom, jak vytvořit spravovanou instanci HSM, její výhody a rozdíly od sdíleného úložiště certifikátů založeného na službě Key Vault a jak importovat klíče do spravovaného HSM, najdete v tématu Co je spravovaný HSM služby Azure Key Vault?.

Nepřístupná podmínka klíče spravovaného zákazníkem

Když nakonfigurujete šifrování dat pomocí klíče spravovaného zákazníkem uloženým ve službě Key Vault, vyžaduje se nepřetržitý přístup k tomuto klíči, aby server zůstal online. Pokud server ztratí přístup ke klíči uloženému ve službě Key Vault, začne server během 10 minut odepřít všechna připojení. Server vydá odpovídající chybovou zprávu a změní stav serveru na Nepřístupný.

Mezi možné důvody, proč může být stav serveru nepřístupný , patří:

  • Pokud klíč otočíte a zapomenete aktualizovat instanci flexibilního serveru Azure Database for PostgreSQL, aby odkazovat na novou verzi klíče. Starý klíč, na který instance odkazovala, nakonec vyprší a změní stav serveru na nepřístupný. Abyste tomu předešli, nezapomeňte při každé obměně klíče aktualizovat instanci serveru tak, aby odkazovat na novou verzi. K tomu můžete použít následující az postgres flexible-server updatepříklad, který popisuje "Změnit klíč/identitu pro šifrování dat. Šifrování dat nejde povolit po vytvoření serveru, tím se aktualizuje jenom klíč nebo identita." Jako alternativu můžete vyvolat servery – aktualizovat rozhraní REST API služby.
  • Pokud instanci služby Key Vault odstraníte, instance flexibilního serveru Azure Database for PostgreSQL nemá přístup k klíči a přesune se do nepřístupného stavu. Pokud chcete server zpřístupnit, obnovte instanci služby Key Vault a obnovte šifrování dat.
  • Pokud klíč odstraníte ze služby Key Vault, instance flexibilního serveru Azure Database for PostgreSQL nemá přístup k klíči a přesune se do nepřístupného stavu. Pokud chcete server zpřístupnit, obnovte klíč a obnovte šifrování dat.
  • Pokud odstraníte spravovanou identitu z Microsoft Entra ID, která se používá k načtení klíče ze služby Key Vault, nebo odstraněním přiřazení role Azure RBAC s uživatelem šifrování šifrovací služby Key Vault. Instance flexibilního serveru Azure Database for PostgreSQL nemá přístup ke klíči a přesune se do nepřístupného stavu. Pokud chcete server zpřístupnit, obnovte identitu a obnovte šifrování dat.
  • Pokud odvoláte seznam služby Key Vault, získáte, zabalíte Klíč a zrušíte zásady přístupu ze spravované identity, která se používá k načtení klíče ze služby Key Vault, nebude instance flexibilního serveru Azure Database for PostgreSQL mít přístup k klíči a přesune se do nepřístupného stavu. Přidejte požadované zásady přístupu k identitě ve službě Key Vault.
  • Pokud nastavíte příliš omezující pravidla brány firewall služby Key Vault, flexibilní server Azure Database for PostgreSQL nemůže komunikovat se službou Key Vault za účelem načtení klíčů. Při konfiguraci brány firewall služby Key Vault nezapomeňte vybrat možnost, která umožní důvěryhodné služby Microsoft obejít bránu firewall.

Poznámka:

Pokud je klíč zakázaný, odstraněný, prošlý nebo nedostupný, stane se server, který má data zašifrovaná prostřednictvím tohoto klíče, nedostupný, jak je uvedeno dříve. Server nebude k dispozici, dokud klíč znovu nepovolíte nebo nepřiřadíte nový klíč.

Obecně platí, že server je do 60 minut od zakázání , odstranění, vypršení platnosti nebo nedostupný server. Jakmile bude klíč dostupný, může trvat až 60 minut, než se server znovu stane přístupným .

Obnovení z odstranění spravované identity

Pokud se spravovaná identita přiřazená uživatelem, která se používá pro přístup k šifrovacímu klíči uloženému ve službě Key Vault, odstraní se v Microsoft Entra ID, měli byste provést následující kroky k obnovení:

  1. Buď obnovte identitu , nebo vytvořte novou spravovanou identitu Entra ID.
  2. Pokud jste vytvořili novou identitu, i když má stejný název, jaký měl před odstraněním, aktualizujte službu Azure Database pro vlastnosti flexibilního serveru, aby věděla, že má tuto novou identitu použít pro přístup k šifrovacímu klíči.
  3. Ujistěte se, že tato identita má správná oprávnění pro operace s klíčem ve službě Azure Key Vault (AKV).
  4. Počkejte přibližně jednu hodinu, dokud server klíč nepředplatí.

Důležité

Vytvoření nové identity Entra ID se stejným názvem jako odstraněná identita se z odstranění spravované identity neobnoví.

Použití šifrování dat s klíči spravovanými zákazníkem a geograficky redundantními funkcemi provozní kontinuity

Flexibilní server Azure Database for PostgreSQL podporuje pokročilé funkce obnovení dat, jako jsou repliky a geograficky redundantní zálohování. Dále jsou uvedené požadavky pro nastavení šifrování dat pomocí sad CMK a těchto funkcí kromě základních požadavků na šifrování dat pomocí sad CMK:

  • Geograficky redundantní šifrovací klíč zálohy je potřeba vytvořit v instanci služby Key Vault, která musí existovat v oblasti, ve které je uložená geograficky redundantní záloha.
  • Verze rozhraní REST API Azure Resource Manageru pro podporu geograficky redundantních serverů CMK s podporou geograficky redundantního zálohování je 2022-11-01-preview. Pokud chcete použít šablony Azure Resource Manageru k automatizaci vytváření serverů, které používají šifrování pomocí sad CMK i geograficky redundantních funkcí zálohování, použijte tuto verzi rozhraní API.
  • Stejnou identitu spravovanou uživatelem nemůžete použít k ověření pro instanci služby Key Vault primární databáze a instanci služby Key Vault, která obsahuje šifrovací klíč pro geograficky redundantní zálohování. Pokud chcete zachovat regionální odolnost, doporučujeme vytvořit identitu spravovanou uživatelem ve stejné oblasti jako geograficky redundantní zálohy.
  • Pokud jste během vytváření nastavili databázi repliky pro čtení, která se má během vytváření šifrovat pomocí sad CMK, musí být jeho šifrovací klíč v instanci služby Key Vault v oblasti, ve které se nachází databáze repliky pro čtení. Identitu přiřazenou uživatelem, která se má ověřit v této instanci služby Key Vault, musí být vytvořena ve stejné oblasti.

Obměně klíčů spravovaných zákazníkem a klíče bez verzí (Preview)

Jako preventivní opatření doporučujeme klíč pravidelně otáčet nebo kdykoliv dojde k ohrožení klíče.

Poznámka:

Většina podniků má externí nebo interní požadavky na pravidelné obměna klíčů, například každých 90 dnů. Pro klíče vygenerované službou Key Vault můžete ve službě Azure Key Vault nakonfigurovat automatickou synchronizaci kryptografických klíčů. Pokud povolíte automatickourotaci , musíte pro šifrování dat na flexibilním serveru Azure Database for PostgreSQL použít klíč CMK bez verze (Preview), abyste mohli tuto funkci využít.

Ruční obměně klíče pomáhá chránit vaše data v případě ohrožení klíče. Pokud chcete klíč otočit, vytvořte nebo naimportujte novou generaci klíčů pro ohrožený klíč.

  • Pokud používáte klíče spravované zákazníkem bez verzí (Preview), server automaticky převezme nový klíč.
  • Pokud používáte klíče s verzí, musíte aktualizovat instanci flexibilního serveru Azure Database for PostgreSQL tak, aby používala novou verzi klíče. Teprve potom server začne používat nový klíč pro šifrování a dešifrování dat.

Klíče spravované zákazníkem bez verzí (Preview)

Pro šifrování dat na flexibilním serveru Azure Database for PostgreSQL se doporučují klíče bez verzí. Správně pokrývá všechny scénáře obměny klíčů popsané výše. Jakmile bude k dispozici nová verze klíče, server automaticky použije novou verzi verze klíče k šifrování a dešifrování dat.

Rozhraní API se nezmění pro klíče bez verzí. Místo zadání identifikátoru URI celého klíče vynecháte část verze identifikátoru klíče. To platí pro rozhraní API, Azure CLI, šablony ARM a šablony Bicep. Azure Portal má zaškrtávací políčko pro povolení bez verzí, které můžete použít k výběru pouze identifikátoru klíče bez verzí.

Omezení

Tady jsou aktuální omezení konfigurace klíče spravovaného zákazníkem na flexibilním serveru Azure Database for PostgreSQL:

  • Šifrování klíče spravovaného zákazníkem můžete nakonfigurovat pouze při vytváření nového serveru, ne jako aktualizace existující instance flexibilního serveru Azure Database for PostgreSQL. Zálohování obnovení k určitému bodu v čase můžete obnovit na nový server s šifrováním CMK.
  • Jakmile nakonfigurujete šifrování klíčů spravovaných zákazníkem, nemůžete se vrátit zpět k systémovému spravovanému klíči. Pokud se chcete vrátit zpět, musíte server obnovit na nový s šifrováním dat nakonfigurovaným pomocí systémového spravovaného klíče.
  • Instance spravovaného HSM služby Azure Key Vault nebo instance služby Azure Key Vault, na které chcete šifrovací klíč uložit, musí existovat ve stejné oblasti, ve které se vytváří instance služby Azure Database pro flexibilní server.

Související obsah