Sdílet prostřednictvím

Šifrování dat ve službě Azure Cosmos DB pro virtuální jádro MongoDB

  • Článek

PLATÍ PRO: Virtuální jádro MongoDB

Šifrování neaktivních uložených dat je fráze, která běžně označuje šifrování dat na nevolatilních úložných zařízeních, jako jsou jednotky SSD (Solid-State Drive) a pevné disky (HDD). Azure Cosmos DB ukládá své primární databáze na disky SSD. Jeho multimediální přílohy a zálohy jsou uložené ve službě Azure Blob Storage, které jsou obecně zálohovány pevnými disky. Při uvolnění neaktivního šifrování pro službu Azure Cosmos DB se všechny databáze, přílohy médií a zálohy šifrují. Vaše data se teď šifrují při přenosu (přes síť) a neaktivních uložených dat (nevolatilní úložiště) a poskytují kompletní šifrování.

Jako platforma jako služba (PaaS) je služba Azure Cosmos DB snadno použitelná. Protože všechna uživatelská data uložená ve službě Azure Cosmos DB jsou neaktivní uložená a přenášená šifrována, nemusíte provádět žádnou akci. Jinými slovy, šifrování neaktivních uložených dat je ve výchozím nastavení zapnuté. Nejsou k dispozici žádné ovládací prvky, které by bylo možné vypnout nebo zapnout. Azure Cosmos DB používá šifrování AES-256 ve všech oblastech, ve kterých je účet spuštěný.

Tuto funkci poskytujeme, i když i nadále splňujeme smlouvy o úrovni služeb (SLA) o dostupnosti a výkonu. Data uložená ve vašem účtu služby Azure Cosmos DB se automaticky a bezproblémově šifrují pomocí klíčů spravovaných Microsoftem (klíče spravované službou). Šifrování klíčů spravovaných zákazníkem (CMK) přichází do služby na začátku roku 2025. Jakmile bude dostupná, obraťte se na podpora Microsoftu a požádejte o přístup k privátní verzi Preview.

Implementace neaktivních uložených šifrování pro službu Azure Cosmos DB

Šifrování neaktivních uložených dat se implementuje pomocí několika technologií zabezpečení, včetně systémů zabezpečeného úložiště klíčů, šifrovaných sítí a kryptografických rozhraní API. Systémy, které dešifrují a zpracovávají data, musí komunikovat se systémy, které spravují klíče. Diagram znázorňuje, jak jsou oddělená úložiště šifrovaných dat a správa klíčů.

Diagram znázorňující návrh úložiště dat a správy klíčů

Základním tokem požadavku uživatele je:

  • Účet uživatelské databáze je připravený a klíče úložiště se načtou prostřednictvím požadavku na poskytovatele prostředků služby pro správu.
  • Uživatel vytvoří připojení ke službě Azure Cosmos DB přes https/zabezpečený přenos. (Sady SDK abstrahuje podrobnosti.)
  • Uživatel odešle dokument JSON, který se uloží přes dříve vytvořené zabezpečené připojení.
  • Dokument JSON se indexuje, pokud uživatel nevypněte indexování.
  • Dokument JSON i data indexu se zapisují do zabezpečeného úložiště.
  • Pravidelně se data čtou ze zabezpečeného úložiště a zálohují se do úložiště objektů blob Azure Encrypted.

Nejčastější dotazy

Najděte odpovědi na nejčastější dotazy týkající se šifrování.

Kolik stojí Azure Storage, pokud je povolené šifrování služby Storage?

Nejsou žádné další náklady.

Můžu data zašifrovat pomocí klíčů spravovaných zákazníkem (CMK)?

Tato funkce přichází do služby na začátku roku 2025. Jakmile bude dostupná, obraťte se na podpora Microsoftu a požádejte o přístup k privátní verzi Preview.

Jak často se šifrovací klíče obměňují?

Microsoft má sadu interních pokynů pro obměnu šifrovacích klíčů, kterou azure Cosmos DB sleduje. Konkrétní pokyny se nepublikuje. Microsoft publikuje životní cyklus vývoje zabezpečení, který se považuje za podmnožinu interních pokynů a má užitečné osvědčené postupy pro vývojáře.

Které oblasti mají zapnuté šifrování?

Všechny oblasti Azure Cosmos DB mají zapnuté šifrování pro všechna uživatelská data.

Má šifrování vliv na latenci výkonu a smlouvy SLA propustnosti?

Smlouvy SLA výkonu se nijak nemění, protože šifrování neaktivních uložených dat je teď povolené pro všechny existující a nové účty. Nejnovější záruky najdete v tématu SLA pro Azure Cosmos DB.

Podporuje místní emulátor šifrování neaktivních uložených dat?

Emulátor je samostatný nástroj pro vývoj/testování a nepoužívá služby správy klíčů, které spravovaná služba Azure Cosmos DB používá. Doporučujeme povolit BitLocker na jednotkách, kde ukládáte citlivá testovací data emulátoru. Emulátor podporuje změnu výchozího datového adresáře a použití dobře známého umístění.

Další kroky

  • Další informace o certifikacích Microsoftu najdete v Centru zabezpečení Azure.