Sdílet prostřednictvím


Šifrování dat pomocí klíčů spravovaných zákazníkem

PLATÍ PRO: Azure Cosmos DB for PostgreSQL (využívající rozšíření databáze Citus do PostgreSQL)

Data uložená v clusteru Azure Cosmos DB for PostgreSQL se automaticky a bezproblémově šifrují pomocí klíčů spravovaných Microsoftem. Tyto klíče se označují jako klíče spravované službou. Azure Cosmos DB for PostgreSQL používá šifrování služby Azure Storage k šifrování neaktivních uložených dat pomocí klíčů spravovaných službou. Volitelně můžete přidat další vrstvu zabezpečení tím, že povolíte šifrování pomocí klíčů spravovaných zákazníkem.

Klíče spravované službou

Služba Azure Cosmos DB for PostgreSQL používá k šifrování neaktivních uložených dat ověřený kryptografický modul FIPS 140-2. Všechna data včetně záloh a dočasných souborů vytvořených při spouštění dotazů se na disku šifrují. Služba používá 256bitovou šifru AES, která je součástí šifrování úložiště Azure, a klíče jsou spravované systémem. Šifrování úložiště je vždycky aktivní a není možné ho zakázat.

Klíče spravované zákazníkem

Mnoho organizací vyžaduje úplnou kontrolu nad přístupem k datům pomocí klíče spravovaného zákazníkem (CMK). Šifrování dat s využitím klíčů spravovaných zákazníkem pro Azure Cosmos DB for PostgreSQL umožňuje použít vlastní klíč pro ochranu neaktivních uložených dat. Umožňuje také organizacím implementovat oddělení povinností při správě klíčů a dat. S šifrováním spravovaným zákazníkem zodpovídáte a máte plnou kontrolu nad životním cyklem klíče, oprávněními k používání a auditem operací.

Šifrování dat s využitím klíčů spravovaných zákazníkem pro Azure Cosmos DB for PostgreSQL je nastavené na úrovni serveru. Data včetně záloh se šifrují na disku. Toto šifrování zahrnuje dočasné soubory vytvořené při spouštění dotazů. Pro daný cluster se ke šifrování šifrovacího klíče služby (DEK) používá klíč spravovaný zákazníkem, kterému se říká šifrovací klíč klíče (KEK). Klíč KEK je asymetrický klíč uložený v instanci azure Key Vault spravované zákazníkem a spravovaný zákazníkem.

Popis
Šifrovací klíč dat (DEK) Šifrovací klíč dat je symetrický klíč AES256, který slouží k šifrování oddílu nebo bloku dat. Šifrování každého bloku dat pomocí jiného klíče ztěžuje útoky kryptografických analýz. Poskytovatel prostředků nebo instance aplikace, která šifruje a dešifruje určitý blok, vyžaduje přístup k sadám DEKS. Když nahradíte klíč DEK novým klíčem, musí se znovu zašifrovat pouze data v přidruženém bloku.
Šifrovací klíč klíče (KEK) Šifrovací klíč klíče je šifrovací klíč, který slouží k šifrování deků. Klíč KEK, který nikdy neopustí trezor klíčů, umožňuje šifrování a řízení samotných sad DEK. Entita, která má přístup k klíči KEK, se může lišit od entity, která vyžaduje klíč DEK. Vzhledem k tomu, že KEK je potřeba k dešifrování sad DEK, je KEK v podstatě jediným bodem a odstraněním klíče KEK efektivně odstraní sady DEK.

Poznámka:

Azure Key Vault je cloudový systém pro správu klíčů. Je vysoce dostupná a poskytuje škálovatelné zabezpečené úložiště pro kryptografické klíče RSA, volitelně zálohované moduly hardwarového zabezpečení (HSMs) standardem FIPS 140. Trezor klíčů neumožňuje přímý přístup k uloženému klíči, ale poskytuje služby šifrování a dešifrování autorizovaným entitům. Trezor klíčů může vygenerovat klíč, importovat ho nebo ho přenést z místního zařízení HSM.

Sady DEK, zašifrované pomocí kek, se ukládají samostatně. Tyto sady DEK může dešifrovat pouze entita s přístupem k klíči KEK. Další informace naleznete v tématu Zabezpečení při šifrování neaktivních uložených dat.

Jak funguje šifrování dat pomocí klíče spravovaného zákazníkem

Aby cluster používal klíče spravované zákazníkem uloženými ve službě Key Vault k šifrování klíče DEK, poskytne správce služby Key Vault k serveru následující přístupová práva:

Popis
get Umožňuje načíst veřejnou část a vlastnosti klíče v trezoru klíčů.
wrapKey Povolí šifrování DEK. Šifrovaný klíč DEK je uložený ve službě Azure Cosmos DB for PostgreSQL.
unwrapKey Povolí dešifrování klíče DEK. Azure Cosmos DB for PostgreSQL vyžaduje dešifrovaný klíč DEK k šifrování a dešifrování dat.

Správce trezoru klíčů může také povolit protokolování událostí auditu služby Key Vault, aby je bylo možné auditovat později. Pokud je cluster Azure Cosmos DB for PostgreSQL nakonfigurovaný tak, aby používal klíč spravovaný zákazníkem uložený v trezoru klíčů, cluster odešle klíč DEK do trezoru klíčů pro šifrování. Key Vault vrátí šifrovaný klíč DEK, který je uložený v uživatelské databázi. Podobně v případě potřeby server odešle chráněný klíč DEK do trezoru klíčů k dešifrování. Auditoři můžou pomocí služby Azure Monitor kontrolovat protokoly událostí auditu služby Key Vault, pokud je protokolování povolené.

Snímek obrazovky architektury šifrování dat s klíči spravovanými zákazníkem

Zaměstnanecké výhody

Šifrování dat s využitím klíčů spravovaných zákazníkem pro Azure Cosmos DB for PostgreSQL nabízí následující výhody:

  • Plně řídíte přístup k datům pomocí možnosti odebrat klíč a znepřístupnit databázi.
  • Úplná kontrola nad životním cyklem klíče, včetně obměně klíče, aby byla v souladu s konkrétními firemními zásadami.
  • Centrální správa a uspořádání klíčů ve službě Azure Key Vault
  • Schopnost implementovat oddělení povinností mezi bezpečnostními důstojníky, správci databází a správci systému.
  • Povolení šifrování nemá žádný dodatečný vliv na výkon s klíči spravovanými zákazníkem ani bez. Azure Cosmos DB for PostgreSQL využívá Službu Azure Storage k šifrování dat ve scénářích klíčů spravovaných zákazníkem i službou.

Další kroky