Verschlüsselung von Daten in Azure Data Lake Storage Gen1
Die Verschlüsselung in Azure Data Lake Storage Gen1 hilft Ihnen, Ihre Daten zu schützen, Unternehmenssicherheitsrichtlinien zu implementieren und gesetzliche Complianceanforderungen zu erfüllen. Dieser Artikel enthält eine Übersicht über den Entwurf und erläutert einige der technischen Aspekte der Implementierung.
Data Lake Storage Gen1 unterstützt die Verschlüsselung von Daten im Ruhezustand und während der Übertragung. Für ruhende Daten unterstützt Data Lake Storage Gen1 eine standardmäßig eingeschaltete, transparente Verschlüsselung. Hier ist, was diese Begriffe etwas ausführlicher bedeuten:
- Standardmäßig aktiviert: Wenn Sie ein neues Data Lake Storage Gen1-Konto erstellen, aktiviert die Standardeinstellung die Verschlüsselung. Danach werden Daten, die in Data Lake Storage Gen1 gespeichert sind, vor dem Speichern auf persistenten Medien immer verschlüsselt. Dies ist das Verhalten für alle Daten, und sie kann nicht geändert werden, nachdem ein Konto erstellt wurde.
- Transparente: Data Lake Storage Gen1 verschlüsselt Daten automatisch vor dem Speichern und entschlüsselt Daten vor dem Abruf. Die Verschlüsselung wird auf Der Ebene des Data Lake Storage Gen1-Kontos von einem Administrator konfiguriert und verwaltet. An den Datenzugriffs-APIs werden keine Änderungen vorgenommen. Daher sind keine Änderungen in Anwendungen und Diensten erforderlich, die aufgrund der Verschlüsselung mit Data Lake Storage Gen1 interagieren.
Daten während der Übertragung (auch als Daten in Bewegung bezeichnet) werden auch immer in Data Lake Storage Gen1 verschlüsselt. Zusätzlich zum Verschlüsseln von Daten vor dem Speichern in beständigen Medien werden die Daten auch immer mithilfe von HTTPS bei der Übertragung gesichert. HTTPS ist das einzige Protokoll, das für die Data Lake Storage Gen1-REST-Schnittstellen unterstützt wird. Das folgende Diagramm zeigt, wie Daten in Data Lake Storage Gen1 verschlüsselt werden:
Einrichten der Verschlüsselung mit Data Lake Storage Gen1
Die Verschlüsselung für Data Lake Storage Gen1 wird während der Kontoerstellung eingerichtet und ist standardmäßig aktiviert. Sie können die Schlüssel entweder selbst verwalten oder data Lake Storage Gen1 erlauben, sie für Sie zu verwalten (dies ist die Standardeinstellung).
Weitere Informationen finden Sie unter Erste Schritte.
Funktionsweise der Verschlüsselung in Data Lake Storage Gen1
In den folgenden Informationen wird erläutert, wie Master-Verschlüsselungsschlüssel verwaltet werden, und es werden die drei verschiedenen Schlüsseltypen erläutert, die Sie in der Datenverschlüsselung für Data Lake Storage Gen1 verwenden können.
Masterverschlüsselungsschlüssel
Data Lake Storage Gen1 bietet zwei Modi für die Verwaltung von Master-Verschlüsselungsschlüsseln (MEKs). Gehen Sie vorerst davon aus, dass der Masterverschlüsselungsschlüssel der Schlüssel der obersten Ebene ist. Der Zugriff auf den Master-Verschlüsselungsschlüssel ist erforderlich, um alle daten zu entschlüsseln, die in Data Lake Storage Gen1 gespeichert sind.
Die beiden Modi für die Verwaltung des Masterverschlüsselungsschlüssels sind wie folgt:
- Vom Dienst verwaltete Schlüssel
- Kundenseitig verwaltete Schlüssel
In beiden Modi wird der Masterverschlüsselungsschlüssel durch Speichern im Azure Key Vault gesichert. Key Vault ist ein vollständig verwalteter, hochsicherer Dienst in Azure, der zum Schutz kryptografischer Schlüssel verwendet werden kann. Weitere Informationen finden Sie unter Key Vault.
Hier ist ein kurzer Vergleich der Funktionen, die von den beiden Modi der Verwaltung der MEKs bereitgestellt werden.
| Frage | Vom Dienst verwaltete Schlüssel | Kundenseitig verwaltete Schlüssel |
|---|---|---|
| Wie werden die Daten gespeichert? | Immer verschlüsselt, bevor sie gespeichert werden. | Immer verschlüsselt, bevor sie gespeichert werden. |
| Wo wird der Masterverschlüsselungsschlüssel gespeichert? | Key Vault | Key Vault |
| Sind Verschlüsselungsschlüssel außerhalb von Key Vault klar gespeichert? | Nein | Nein |
| Kann der MEK von Key Vault abgerufen werden? | Nein. Nachdem das MEK im Key Vault gespeichert wurde, kann es nur zur Verschlüsselung und Entschlüsselung verwendet werden. | Nein. Nachdem das MEK im Key Vault gespeichert wurde, kann es nur zur Verschlüsselung und Entschlüsselung verwendet werden. |
| Wer besitzt die Key Vault-Instanz und die MEK? | Der Data Lake Storage Gen1-Dienst | Sie besitzen die Key Vault-Instanz, die zu Ihrem eigenen Azure-Abonnement gehört. Das MEK im Key Vault kann von Software oder Hardware verwaltet werden. |
| Können Sie den Zugriff auf das MEK für den Data Lake Storage Gen1-Dienst widerrufen? | Nein | Ja. Sie können Zugriffssteuerungslisten im Key Vault verwalten und Zugriffssteuerungseinträge zur Dienstidentität für den Data Lake Storage Gen1-Dienst entfernen. |
| Können Sie die MEK endgültig löschen? | Nein | Ja. Wenn Sie den MEK aus Key Vault löschen, können die Daten im Data Lake Storage Gen1-Konto nicht von jedem entschlüsselt werden, einschließlich des Data Lake Storage Gen1-Diensts. Wenn Sie den MEK vor dem Löschen explizit aus dem Key Vault gesichert haben, kann der MEK wiederhergestellt werden, und die Daten können dann wiederhergestellt werden. Wenn Sie den MEK jedoch noch nicht vor dem Löschen aus Key Vault gesichert haben, können die Daten im Data Lake Storage Gen1-Konto danach nie entschlüsselt werden. |
Abgesehen von diesem Unterschied, wer die MEK und die Key Vault-Instanz verwaltet, in der es sich befindet, ist der Rest des Designs für beide Modi identisch.
Beachten Sie folgendes, wenn Sie den Modus für die Masterverschlüsselungsschlüssel auswählen:
- Sie können auswählen, ob vom Kunden verwaltete Schlüssel oder vom Dienst verwaltete Schlüssel verwendet werden sollen, wenn Sie ein Data Lake Storage Gen1-Konto bereitstellen.
- Nachdem ein Data Lake Storage Gen1-Konto bereitgestellt wurde, kann der Modus nicht mehr geändert werden.
Verschlüsselung und Entschlüsselung von Daten
Es gibt drei Arten von Schlüsseln, die beim Entwurf der Datenverschlüsselung verwendet werden. Die folgende Tabelle enthält eine Zusammenfassung:
| Schlüssel | Abkürzung | Zugehörig zu | Lagerort | Typ | Hinweise |
|---|---|---|---|---|---|
| Masterverschlüsselungsschlüssel | MEK | Ein Data Lake Storage Gen1-Konto | Key Vault | Asymmetrisch | Sie kann von Data Lake Storage Gen1 oder Ihnen verwaltet werden. |
| Datenverschlüsselungsschlüssel | DEK | Ein Data Lake Storage Gen1-Konto | Beständiger Speicher, verwaltet vom Data Lake Storage Gen1-Dienst | Symmetrisch | Die DEK wird von der MEK verschlüsselt. Die verschlüsselte DEK ist das, was auf beständigen Medien gespeichert ist. |
| Verschlüsselungsschlüssel blockieren | BEK | Ein Datenblock | Nichts | Symmetrisch | Der BEK wird vom DEK und dem Datenblock abgeleitet. |
Das folgende Diagramm veranschaulicht die folgenden Konzepte:
Pseudoalgorithmus, wenn eine Datei entschlüsselt werden soll:
- Überprüfen Sie, ob das DEK für das Data Lake Storage Gen1-Konto zwischengespeichert und einsatzbereit ist.
- Wenn nicht, lesen Sie die verschlüsselte DEK aus dem beständigen Speicher, und senden Sie ihn an den Key Vault, um entschlüsselt zu werden. Zwischenspeichern der entschlüsselten DEK im Arbeitsspeicher. Es ist jetzt einsatzbereit.
- Für jeden Datenblock in der Datei:
- Lesen Sie den verschlüsselten Datenblock aus dem beständigen Speicher.
- Generieren Sie die BEK aus der DEK und dem verschlüsselten Datenblock.
- Verwenden Sie die BEK, um Daten zu entschlüsseln.
Pseudoalgorithmus, wenn ein Datenblock verschlüsselt werden soll:
- Überprüfen Sie, ob das DEK für das Data Lake Storage Gen1-Konto zwischengespeichert und einsatzbereit ist.
- Wenn nicht, lesen Sie die verschlüsselte DEK aus dem beständigen Speicher, und senden Sie ihn an den Key Vault, um entschlüsselt zu werden. Zwischenspeichern der entschlüsselten DEK im Arbeitsspeicher. Es ist jetzt einsatzbereit.
- Generieren Sie einen eindeutigen BEK für den Datenblock aus der DEK.
- Verschlüsseln Sie den Datenblock mit der BEK mithilfe der AES-256-Verschlüsselung.
- Speichern Sie den verschlüsselten Datenblock von Daten im beständigen Speicher.
Hinweis
Der DEK wird immer vom MEK verschlüsselt, unabhängig davon, ob auf persistenten Medien oder im Arbeitsspeicher zwischengespeichert.
Schlüsselrotation
Wenn Sie vom Kunden verwaltete Schlüssel verwenden, können Sie den MEK drehen. Informationen zum Einrichten eines Data Lake Storage Gen1-Kontos mit vom Kunden verwalteten Schlüsseln finden Sie unter Erste Schritte.
Voraussetzungen
Wenn Sie das Data Lake Storage Gen1-Konto einrichten, haben Sie sich entschieden, Ihre eigenen Schlüssel zu verwenden. Diese Option kann nicht geändert werden, nachdem das Konto erstellt wurde. Bei den folgenden Schritten wird davon ausgegangen, dass Sie vom Kunden verwaltete Schlüssel verwenden (d. a. Sie haben Ihre eigenen Schlüssel aus dem Key Vault ausgewählt).
Beachten Sie, dass Ihre Daten bei Verwendung der Standardoptionen für die Verschlüsselung immer mithilfe von Schlüsseln verschlüsselt werden, die von Data Lake Storage Gen1 verwaltet werden. In dieser Option haben Sie nicht die Möglichkeit, Schlüssel zu drehen, da sie von Data Lake Storage Gen1 verwaltet werden.
So drehen Sie den MEK in Data Lake Storage Gen1
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu der Key Vault-Instanz, die Ihre Schlüssel speichert, die Ihrem Data Lake Storage Gen1-Konto zugeordnet sind. Wählen Sie Schlüssel aus.
Wählen Sie den Schlüssel aus, der Ihrem Data Lake Storage Gen1-Konto zugeordnet ist, und erstellen Sie eine neue Version dieses Schlüssels. Beachten Sie, dass Data Lake Storage Gen1 derzeit nur die Schlüsselrotation zu einer neuen Version eines Schlüssels unterstützt. Das Drehen auf einen anderen Schlüssel wird nicht unterstützt.
Navigieren Sie zum Data Lake Storage Gen1-Konto, und wählen Sie Verschlüsselungaus.
Eine Meldung benachrichtigt Sie, dass eine neue Schlüsselversion des Schlüssels verfügbar ist. Klicken Sie auf Drehen-Taste, um den Schlüssel auf die neue Version zu aktualisieren.
Dieser Vorgang sollte weniger als zwei Minuten dauern, und aufgrund der Schlüsselrotation wird keine Ausfallzeit erwartet. Nach Abschluss des Vorgangs wird die neue Version des Schlüssels verwendet.
Wichtig
Nach Abschluss des Schlüsseldrehungsvorgangs wird die alte Version des Schlüssels nicht mehr aktiv zum Verschlüsseln neuer Daten verwendet. Es kann jedoch Vorkommen geben, in denen der Zugriff auf ältere Daten möglicherweise den alten Schlüssel benötigt. Um das Lesen solcher älteren Daten zu ermöglichen, löschen Sie nicht den alten Schlüssel.