Gegevensversleuteling
VAN TOEPASSING OP: Azure Database for PostgreSQL - Flexibele server
Alle gegevens die worden beheerd door een exemplaar van Azure Database for PostgreSQL flexible, worden altijd at rest versleuteld. Deze gegevens omvatten alle systeem- en gebruikersdatabases, tijdelijke bestanden, serverlogboeken, write-ahead logboeksegmenten en back-ups.
Om de versleuteling van uw gegevens te realiseren, maakt Azure Database for PostgreSQL - Flexible Server gebruik van Azure Storage-versleuteling voor data-at-rest, waarbij sleutels worden geboden voor het versleutelen en ontsleutelen van gegevens in Blob Storage- en Azure Files-services. Deze sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Module (HSM). Zie door de klant beheerde sleutels voor Azure Storage-versleuteling voor meer informatie.
Azure Database for PostgreSQL - Flexible Server ondersteunt het configureren van gegevensversleuteling in twee verschillende modi: door de service beheerde sleutel en door de klant beheerde sleutel. De configuratiemodus kan alleen worden geselecteerd tijdens het maken van de server. Het kan niet worden gewijzigd van de ene modus naar de andere voor de levensduur van de server.
Met de door de service beheerde versleutelingssleutel Azure Database for PostgreSQL - Flexible Server zorgt ervoor dat de Azure Key Vault wordt ingericht waarin de sleutels worden bewaard en wordt ervan uitgegaan dat alle verantwoordelijkheid wordt genomen om de sleutel op te geven waarmee gegevens worden versleuteld en ontsleuteld. De service zorgt ook voor het opslaan, beveiligen, controleren van toegang, het configureren van netwerken en het automatisch roteren van de sleutel.
Met de door de klant beheerde versleutelingssleutel neemt u alle verantwoordelijkheid. Daarom moet u uw eigen Azure Key Vault of Azure Key Vault HSM implementeren. U moet uw eigen sleutel genereren of importeren. U moet vereiste machtigingen verlenen voor de Sleutelkluis, zodat uw flexibele Azure Database for PostgreSQL-server de benodigde acties op de sleutel kan uitvoeren. U moet alle netwerkaspecten van de Azure Key Vault configureren waarin de sleutel wordt bewaard, zodat uw flexibele Azure Database for PostgreSQL-server toegang heeft tot de sleutel. Het controleren van de toegang tot de sleutel is ook uw verantwoordelijkheid. Ten slotte bent u verantwoordelijk voor het roteren van de sleutel en, indien nodig, het bijwerken van de configuratie van uw flexibele Azure Database for PostgreSQL-server, zodat deze verwijst naar de gedraaide versie van de sleutel.
Wanneer u door de klant beheerde sleutels voor een opslagaccount configureert, verpakt Azure Storage de HOOFDgegevensversleutelingssleutel (DEK) voor het account met de door de klant beheerde sleutel in de bijbehorende sleutelkluis of beheerde HSM. De beveiliging van de hoofdversleutelingssleutel verandert, maar de gegevens in uw Azure Storage-account blijven altijd versleuteld. Er is geen extra actie vereist om ervoor te zorgen dat uw gegevens versleuteld blijven. Beveiliging door door de klant beheerde sleutels wordt onmiddellijk van kracht.
Azure Key Vault is een extern sleutelbeheersysteem in de cloud. Het is maximaal beschikbaar en biedt schaalbare, veilige opslag voor cryptografische RSA-sleutels, optioneel ondersteund door DOOR FIPS 140 gevalideerde HSM's (Hardware Security Modules). Het biedt geen directe toegang tot een opgeslagen sleutel, maar biedt versleutelings- en ontsleutelingsservices aan geautoriseerde entiteiten. Key Vault kan de sleutel genereren, importeren of ontvangen van een on-premises HSM-apparaat.
Voordelen die door elke modus worden geboden
Gegevensversleuteling met door de service beheerde sleutels voor Azure Database for PostgreSQL Flexible Server biedt de volgende voordelen:
- De service beheert automatisch en volledig de toegang tot gegevens.
- De service bepaalt automatisch en volledig de levenscyclus van uw sleutel, inclusief de rotatie van de sleutel.
- U hoeft zich geen zorgen te maken over het beheren van gegevensversleutelingssleutels.
- Gegevensversleuteling op basis van door de service beheerde sleutels heeft geen negatieve invloed op de prestaties van uw workloads.
- Het vereenvoudigt het beheer van versleutelingssleutels (inclusief hun reguliere rotatie) en het beheer van de identiteiten die worden gebruikt voor toegang tot deze sleutels.
Gegevensversleuteling met door de klant beheerde sleutels voor Azure Database for PostgreSQL Flexible Server biedt de volgende voordelen:
- U kunt de toegang tot gegevens volledig beheren. U kunt een sleutel verwijderen om een database ontoegankelijk te maken.
- U bepaalt de levenscyclus van een sleutel, inclusief het rouleren van de sleutel, volledig om af te stemmen op het bedrijfsbeleid.
- U kunt al uw versleutelingssleutels centraal beheren en organiseren in uw eigen exemplaren van Azure Key Vault.
- Gegevensversleuteling op basis van door de klant beheerde sleutels heeft geen negatieve invloed op de prestaties van uw workloads.
- U kunt scheiding van taken tussen beveiligingsmedewerkers, databasebeheerders en systeembeheerders implementeren.
Vereisten
Hier volgt een lijst met vereisten voor het configureren van gegevensversleuteling voor Azure Database for PostgreSQL Flexible Server:
- Key Vault en Azure Database for PostgreSQL Flexible Server moeten behoren tot dezelfde Microsoft Entra-tenant. Interactie tussen tenantsleutels en servers wordt niet ondersteund. Als u de Key Vault-resource later verplaatst, moet u de gegevensversleuteling opnieuw configureren.
- We raden u aan de configuratie dagen in te stellen voor het behouden van de configuratie van verwijderde kluizen voor Key Vault op 90 dagen. Als u een bestaand Key Vault-exemplaar met een lager nummer hebt geconfigureerd, moet dit nog steeds geldig zijn. Als u deze instelling echter wilt wijzigen en de waarde wilt verhogen, moet u een nieuw Key Vault-exemplaar maken. Zodra een exemplaar is gemaakt, is het niet mogelijk om deze instelling te wijzigen.
- Schakel de functie voor voorlopig verwijderen in Key Vault in om u te helpen bij het beveiligen tegen gegevensverlies als een sleutel of een Key Vault-exemplaar per ongeluk wordt verwijderd. Key Vault bewaart voorlopig verwijderde resources gedurende 90 dagen, tenzij de gebruiker deze ondertussen herstelt of opschoont. De herstel- en opschoningsacties hebben hun eigen machtigingen gekoppeld aan een Key Vault- of toegangsbeleidsmachtiging. De functie voorlopig verwijderen is standaard ingeschakeld. Als u een sleutelkluis hebt die lang geleden is geïmplementeerd, is voorlopig verwijderen mogelijk nog steeds uitgeschakeld. In dat geval kunt u deze inschakelen met behulp van Azure CLI.
- Schakel beveiliging tegen opschonen in om een verplichte bewaarperiode af te dwingen voor verwijderde kluizen en kluisobjecten.
- Verdeel de door de gebruiker toegewezen beheerde identiteit van de flexibele Azure Database for PostgreSQL-server toegang tot de sleutel door:
- Voorkeur: Azure Key Vault moet worden geconfigureerd met het RBAC-machtigingsmodel en de beheerde identiteit moet de rol Crypto Vault-versleutelingsgebruiker voor cryptoserviceversleuteling krijgen toegewezen.
- Verouderd: Als Azure Key Vault is geconfigureerd met het machtigingsmodel voor toegangsbeleid, verleent u de volgende machtigingen aan de beheerde identiteit:
- get: Om de eigenschappen en het openbare deel van de sleutel in Key Vault op te halen.
- lijst: Om de sleutels weer te geven en te herhalen die zijn opgeslagen in Key Vault.
- wrapKey: de versleutelingssleutel voor gegevens versleutelen.
- unwrapKey: De gegevensversleutelingssleutel ontsleutelen.
- De sleutel die wordt gebruikt voor het versleutelen van de gegevensversleutelingssleutel kan alleen asymmetrisch, RSA of RSA-HSM zijn. Sleutelgrootten van 2048, 3.072 en 4.096 worden ondersteund. We raden u aan een 4096-bits sleutel te gebruiken voor betere beveiliging.
- De datum en tijd voor sleutelactivering (indien ingesteld) moeten zich in het verleden bevinden. De datum en tijd voor vervaldatum (indien ingesteld) moeten in de toekomst zijn.
- De sleutel moet de status Ingeschakeld hebben.
- Als u een bestaande sleutel in Key Vault importeert, geeft u deze op in de ondersteunde bestandsindelingen (
.pfx
,.byok
of.backup
).
Aanbevelingen
Wanneer u een door de klant beheerde sleutel gebruikt voor gegevensversleuteling, volgt u deze aanbevelingen om Key Vault te configureren:
- Als u onbedoeld of niet-geautoriseerd verwijderen van deze kritieke resource wilt voorkomen, stelt u een resourcevergrendeling in voor Key Vault.
- Schakel controle en rapportage in voor alle versleutelingssleutels. Key Vault biedt logboeken die eenvoudig kunnen worden ingevoerd in andere SIEM-hulpprogramma's (Security Information and Event Management). Azure Monitor-logboeken is een voorbeeld van een service die al is geïntegreerd.
- Vergrendel Key Vault door openbare toegang uitschakelen en vertrouwde Microsoft-services toestaan om deze firewall te omzeilen.
Notitie
Nadat u Openbare toegang uitschakelen hebt geselecteerd en Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen, krijgt u mogelijk een foutmelding die vergelijkbaar is met het volgende wanneer u openbare toegang probeert te gebruiken om Key Vault te beheren via de portal: 'U hebt het netwerktoegangsbeheer ingeschakeld. Alleen toegestane netwerken hebben toegang tot deze sleutelkluis.". Deze fout voorkomt niet dat tijdens het instellen van de door de klant beheerde sleutels sleutels kunnen worden opgegeven of sleutels kunnen worden opgehaald uit Key Vault tijdens serverbewerkingen.
- Bewaar een kopie van de door de klant beheerde sleutel op een veilige plaats of borg deze naar de borgservice.
- Als Key Vault de sleutel genereert, maakt u een sleutelback-up voordat u de sleutel voor de eerste keer gebruikt. U kunt de back-up alleen herstellen naar Key Vault.
Speciale overwegingen
Onopzettelijke toegang tot sleutel intrekken vanuit Key Vault
Iemand met voldoende toegangsrechten voor Key Vault kan per ongeluk servertoegang tot de sleutel uitschakelen door:
- De RBAC-rol Key Vault cryptoserviceversleutelingsgebruiker intrekken of de machtigingen intrekken van de identiteit die wordt gebruikt om de sleutel in Key Vault op te halen.
- De sleutel verwijderen.
- Het Key Vault-exemplaar verwijderen.
- De Key Vault-firewallregels wijzigen.
- De beheerde identiteit van de server in Microsoft Entra-id verwijderen.
De sleutels bewaken die in Azure Key Vault worden bewaard
Als u de databasestatus wilt bewaken en waarschuwingen wilt inschakelen voor het verlies van toegang tot de gegevensversleutelingsbeveiliging, configureert u de volgende Azure-functies:
- Resourcestatus: Een database die geen toegang meer heeft tot de CMK, wordt weergegeven als Niet toegankelijk nadat de eerste verbinding met de database is geweigerd.
- Activiteitenlogboek: wanneer toegang tot de CMK in het door de klant beheerde Key Vault-exemplaar mislukt, worden vermeldingen toegevoegd aan het activiteitenlogboek. U kunt de toegang opnieuw instellen als u zo snel mogelijk waarschuwingen voor deze gebeurtenissen maakt.
- Actiegroepen: definieer deze groepen om meldingen en waarschuwingen te ontvangen op basis van uw voorkeuren.
Back-ups herstellen van een server die is geconfigureerd met een door de klant beheerde sleutel
Nadat Azure Database for PostgreSQL Flexible Server is versleuteld met een door de klant beheerde sleutel die is opgeslagen in Key Vault, wordt elke zojuist gemaakte serverkopie ook versleuteld. U kunt deze nieuwe kopie maken via een herstelbewerking naar een bepaald tijdstip of leesreplica's.
Wanneer u gegevensversleuteling instelt met een door de klant beheerde sleutel, kunt u tijdens het herstellen van een back-up of het maken van een leesreplica problemen voorkomen door deze stappen uit te voeren op de primaire en herstelde of replicaservers:
- Initieer het herstelproces of het proces voor het maken van een leesreplica van het primaire exemplaar van de flexibele Azure Database for PostgreSQL-server.
- Op de herstelde of replicaserver kunt u de door de klant beheerde sleutel en de door de gebruiker toegewezen beheerde identiteit wijzigen die wordt gebruikt voor toegang tot Key Vault. Zorg ervoor dat de identiteit die is toegewezen op de zojuist gemaakte server de vereiste machtigingen heeft voor de Sleutelkluis.
- Trek de oorspronkelijke sleutel niet in nadat u deze hebt hersteld. Op dit moment wordt het intrekken van sleutels niet ondersteund nadat u een server met door de klant beheerde sleutel naar een andere server hebt hersteld.
Beheerde HSM's
Hardwarebeveiligingsmodules (HSM's) zijn manipulatiebestendige hardwareapparaten die cryptografische processen helpen beveiligen door sleutels te genereren, beveiligen en beheren die worden gebruikt voor het versleutelen van gegevens, het ontsleutelen van gegevens, het maken van digitale handtekeningen en het maken van digitale certificaten. HSM's worden getest, gevalideerd en gecertificeerd volgens de hoogste beveiligingsstandaarden, waaronder FIPS 140 en Algemene criteria.
Beheerde HSM van Azure Key Vault is een volledig beheerde, maximaal beschikbare cloudservice met één tenant, conforme standaarden. U kunt deze gebruiken om cryptografische sleutels voor uw cloudtoepassingen te beveiligen via met FIPS 140-3 gevalideerde HSM's.
Wanneer u nieuwe flexibele Azure Database for PostgreSQL-serverexemplaren maakt in Azure Portal met de door de klant beheerde sleutel, kunt u Azure Key Vault Managed HSM kiezen als sleutelarchief, als alternatief voor Azure Key Vault. De vereisten, wat betreft door de gebruiker gedefinieerde identiteit en machtigingen, zijn hetzelfde als met Azure Key Vault (zoals eerder in dit artikel is vermeld). Voor meer informatie over het maken van een beheerd HSM-exemplaar, de voordelen en verschillen van een gedeeld certificaatarchief op basis van Key Vault en het importeren van sleutels in beheerde HSM, raadpleegt u Wat is Beheerde HSM van Azure Key Vault?
Niet-toegankelijke door de klant beheerde sleutelvoorwaarde
Wanneer u gegevensversleuteling configureert met een door de klant beheerde sleutel die is opgeslagen in Key Vault, is continue toegang tot deze sleutel vereist om de server online te houden. Als dat niet het geval is, wordt de status van de server gewijzigd in Ontoegankelijk en wordt alle verbindingen geweigerd.
Enkele mogelijke redenen waarom de serverstatus mogelijk niet toegankelijk is, zijn:
Oorzaak | Oplossing |
---|---|
Een van de versleutelingssleutels die door de server worden verwezen, had een vervaldatum en -tijd geconfigureerd en die datum en tijd zijn bereikt. | U moet de vervaldatum van de sleutel verlengen. Vervolgens moet u wachten totdat de service de sleutel opnieuwvalideren en de serverstatus automatisch naar Gereed zet. Alleen wanneer de server weer de status Gereed heeft, kunt u de sleutel draaien naar een nieuwere versie of een nieuwe sleutel maken en de server bijwerken zodat deze verwijst naar die nieuwe versie van dezelfde sleutel of naar de nieuwe sleutel. |
U draait de sleutel en vergeet het exemplaar van Azure Database for PostgreSQL Flexible Server bij te werken, zodat deze verwijst naar de nieuwe versie van de sleutel. De oude sleutel, waarnaar de server verwijst, verloopt en verandert de serverstatus in Ontoegankelijk. | Om deze situatie te voorkomen, moet u telkens wanneer u de sleutel draait, ook het exemplaar van uw server bijwerken om naar de nieuwe versie te verwijzen. Hiervoor kunt u het az postgres flexible-server update voorbeeld gebruiken waarin 'Sleutel/identiteit wijzigen voor gegevensversleuteling' wordt beschreven . Gegevensversleuteling kan niet worden ingeschakeld na het maken van de server. Hierdoor wordt alleen de sleutel/identiteit bijgewerkt.' Als u deze liever bijwerkt met behulp van de API, kunt u het eindpunt van de service aanroepen - Update-eindpunt van de service. |
U verwijdert het Key Vault-exemplaar. Het exemplaar van de flexibele Server van Azure Database for PostgreSQL heeft geen toegang tot de sleutel en wordt verplaatst naar een niet-toegankelijke status. | Herstel het Key Vault-exemplaar en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de serverstatus automatisch naar Gereed gaat. |
U verwijdert, van Microsoft Entra ID, een beheerde identiteit die wordt gebruikt om een van de versleutelingssleutels op te halen die zijn opgeslagen in Key Vault. | Herstel de identiteit en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de status van de server automatisch overschakelen naar Gereed. |
Uw Key Vault-machtigingsmodel is geconfigureerd voor het gebruik van op rollen gebaseerd toegangsbeheer. U verwijdert de RBAC-roltoewijzing key vault cryptoserviceversleutelingsgebruiker uit de beheerde identiteiten die zijn geconfigureerd om een van de sleutels op te halen. | Verdeel de RBAC-rol opnieuw aan de beheerde identiteit en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de serverstatus automatisch naar Gereed gaat. Een alternatieve benadering bestaat uit het verlenen van de rol in de Sleutelkluis aan een andere beheerde identiteit en het bijwerken van de server zodat deze andere beheerde identiteit wordt gebruikt voor toegang tot de sleutel. |
Uw Key Vault-machtigingsmodel is geconfigureerd voor het gebruik van toegangsbeleid. U trekt de lijst in, haalt het toegangsbeleid op, verpakte of uitpakt toegangsbeleid van de beheerde Key Vault Crypto Service Encryption User RBAC-roltoewijzing van de beheerde identiteiten die zijn geconfigureerd om een van de sleutels op te halen. | Verdeel de RBAC-rol opnieuw aan de beheerde identiteit en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de serverstatus automatisch naar Gereed gaat. Een alternatieve benadering bestaat uit het verlenen van het vereiste toegangsbeleid voor de Key Vault aan een andere beheerde identiteit en het bijwerken van de server, zodat deze deze andere beheerde identiteit gebruikt voor toegang tot de sleutel. |
U stelt te beperkte Key Vault-firewallregels in, zodat uw flexibele Azure Database for PostgreSQL-server niet kan communiceren met de Key Vault om uw sleutels op te halen. | Wanneer u een Key Vault-firewall configureert, moet u ervoor zorgen dat u de optie selecteert om vertrouwde Microsoft-services toe te staan, zodat uw flexibele Azure Database for PostgreSQL-server de firewall kan omzeilen. |
Notitie
Wanneer een sleutel is uitgeschakeld, verwijderd, verlopen of niet bereikbaar is, wordt een server met gegevens die zijn versleuteld met die sleutel ontoegankelijk, zoals eerder is aangegeven. De serverstatus wordt pas opnieuw gewijzigd in Gereed totdat de versleutelingssleutels opnieuw kunnen worden gevalideerd.
Over het algemeen wordt een server binnen 60 minuten nadat een sleutel is uitgeschakeld, verwijderd, verlopen of niet bereikbaar is. Nadat de sleutel beschikbaar is, kan het tot 60 minuten duren voordat de server weer gereed is.
Herstellen na verwijdering van beheerde identiteit
Als de door de gebruiker toegewezen beheerde identiteit die wordt gebruikt voor toegang tot de versleutelingssleutel die is opgeslagen in Key Vault, wordt verwijderd in Microsoft Entra-id, moet u de volgende stappen uitvoeren om te herstellen:
- Herstel de identiteit of maak een nieuwe beheerde Entra ID-identiteit.
- Als u een nieuwe identiteit hebt gemaakt, zelfs als deze exact dezelfde naam heeft als voordat deze werd verwijderd, werkt u de eigenschappen van Azure Database voor flexibele servers bij zodat deze deze nieuwe identiteit moet gebruiken voor toegang tot de versleutelingssleutel.
- Zorg ervoor dat deze identiteit over de juiste machtigingen beschikt voor bewerkingen op de sleutel in Azure Key Vault (AKV).
- Wacht ongeveer een uur totdat de server de sleutel opnieuwvalideert.
Belangrijk
Het maken van een nieuwe Entra ID-identiteit met dezelfde naam als de verwijderde identiteit herstelt niet na verwijdering van beheerde identiteiten.
Gegevensversleuteling gebruiken met door de klant beheerde sleutels en functies voor bedrijfscontinuïteit met geografisch redundante bedrijfscontinuïteit
Azure Database for PostgreSQL Flexible Server ondersteunt geavanceerde functies voor gegevensherstel , zoals replica's en geografisch redundante back-ups. Hieronder vindt u vereisten voor het instellen van gegevensversleuteling met CMK's en deze functies, naast de basisvereisten voor gegevensversleuteling met CMK's:
- De geografisch redundante back-upversleutelingssleutel moet worden gemaakt in een Key Vault-exemplaar dat moet bestaan in de regio waar de geografisch redundante back-up wordt opgeslagen.
- De REST API-versie van Azure Resource Manager voor het ondersteunen van cmk-servers met geografisch redundante back-ups is 2022-11-01-preview. Als u Azure Resource Manager-sjablonen wilt gebruiken om het maken van servers die gebruikmaken van zowel versleuteling met CMK's als geografisch redundante back-upfuncties te automatiseren, gebruikt u deze API-versie.
- U kunt niet dezelfde door de gebruiker beheerde identiteit gebruiken om te verifiëren voor het Key Vault-exemplaar van de primaire database en het Key Vault-exemplaar met de versleutelingssleutel voor geografisch redundante back-up. Als u regionale tolerantie wilt behouden, raden we u aan om de door de gebruiker beheerde identiteit in dezelfde regio te maken als de geografisch redundante back-ups.
- Als u tijdens het maken een leesreplicadatabase instelt die moet worden versleuteld met CMK's, moet de versleutelingssleutel zich in een Key Vault-exemplaar bevinden in de regio waar de leesreplicadatabase zich bevindt. De door de gebruiker toegewezen identiteit voor verificatie bij dit Key Vault-exemplaar moet worden gemaakt in dezelfde regio.
Beperkingen
Dit zijn de huidige beperkingen voor het configureren van de door de klant beheerde sleutel in Azure Database for PostgreSQL Flexible Server:
- U kunt door de klant beheerde sleutelversleuteling alleen configureren tijdens het maken van een nieuwe server, niet als een update naar een bestaand exemplaar van een flexibele Azure Database for PostgreSQL-server. U kunt in plaats daarvan een PITR-back-up herstellen naar een nieuwe server met CMK-versleuteling .
- Nadat u door de klant beheerde sleutelversleuteling hebt geconfigureerd, kunt u niet teruggaan naar de door het systeem beheerde sleutel. Als u wilt terugkeren, moet u de server herstellen naar een nieuwe server met gegevensversleuteling die is geconfigureerd met door het systeem beheerde sleutel.
- Het exemplaar van azure Key Vault Managed HSM of het exemplaar van Azure Key Vault waarop u de versleutelingssleutel wilt opslaan, moet aanwezig zijn in dezelfde regio waarop het exemplaar van Azure Database voor flexibele server wordt gemaakt.
Gerelateerde inhoud
- Gegevensversleuteling configureren.