Gegevensversleuteling

VAN TOEPASSING OP: Azure Database for PostgreSQL - Flexibele server

Alle gegevens die worden beheerd door een exemplaar van Azure Database for PostgreSQL flexible, worden altijd at rest versleuteld. Deze gegevens omvatten alle systeem- en gebruikersdatabases, tijdelijke bestanden, serverlogboeken, write-ahead logboeksegmenten en back-ups.

Om de versleuteling van uw gegevens te realiseren, maakt Azure Database for PostgreSQL - Flexible Server gebruik van Azure Storage-versleuteling voor data-at-rest, waarbij sleutels worden geboden voor het versleutelen en ontsleutelen van gegevens in Blob Storage- en Azure Files-services. Deze sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Module (HSM). Zie door de klant beheerde sleutels voor Azure Storage-versleuteling voor meer informatie.

Azure Database for PostgreSQL - Flexible Server ondersteunt het configureren van gegevensversleuteling in twee verschillende modi: door de service beheerde sleutel en door de klant beheerde sleutel. De configuratiemodus kan alleen worden geselecteerd tijdens het maken van de server. Het kan niet worden gewijzigd van de ene modus naar de andere voor de levensduur van de server.

Met de door de service beheerde versleutelingssleutel Azure Database for PostgreSQL - Flexible Server zorgt ervoor dat de Azure Key Vault wordt ingericht waarin de sleutels worden bewaard en wordt ervan uitgegaan dat alle verantwoordelijkheid wordt genomen om de sleutel op te geven waarmee gegevens worden versleuteld en ontsleuteld. De service zorgt ook voor het opslaan, beveiligen, controleren van toegang, het configureren van netwerken en het automatisch roteren van de sleutel.

Met de door de klant beheerde versleutelingssleutel neemt u alle verantwoordelijkheid. Daarom moet u uw eigen Azure Key Vault of Azure Key Vault HSM implementeren. U moet uw eigen sleutel genereren of importeren. U moet vereiste machtigingen verlenen voor de Sleutelkluis, zodat uw flexibele Azure Database for PostgreSQL-server de benodigde acties op de sleutel kan uitvoeren. U moet alle netwerkaspecten van de Azure Key Vault configureren waarin de sleutel wordt bewaard, zodat uw flexibele Azure Database for PostgreSQL-server toegang heeft tot de sleutel. Het controleren van de toegang tot de sleutel is ook uw verantwoordelijkheid. Ten slotte bent u verantwoordelijk voor het roteren van de sleutel en, indien nodig, het bijwerken van de configuratie van uw flexibele Azure Database for PostgreSQL-server, zodat deze verwijst naar de gedraaide versie van de sleutel.

Wanneer u door de klant beheerde sleutels voor een opslagaccount configureert, verpakt Azure Storage de HOOFDgegevensversleutelingssleutel (DEK) voor het account met de door de klant beheerde sleutel in de bijbehorende sleutelkluis of beheerde HSM. De beveiliging van de hoofdversleutelingssleutel verandert, maar de gegevens in uw Azure Storage-account blijven altijd versleuteld. Er is geen extra actie vereist om ervoor te zorgen dat uw gegevens versleuteld blijven. Beveiliging door door de klant beheerde sleutels wordt onmiddellijk van kracht.

Azure Key Vault is een extern sleutelbeheersysteem in de cloud. Het is maximaal beschikbaar en biedt schaalbare, veilige opslag voor cryptografische RSA-sleutels, optioneel ondersteund door DOOR FIPS 140 gevalideerde HSM's (Hardware Security Modules). Het biedt geen directe toegang tot een opgeslagen sleutel, maar biedt versleutelings- en ontsleutelingsservices aan geautoriseerde entiteiten. Key Vault kan de sleutel genereren, importeren of ontvangen van een on-premises HSM-apparaat.

Voordelen die door elke modus worden geboden

Gegevensversleuteling met door de service beheerde sleutels voor flexibele Azure Database for PostgreSQL-server biedt de volgende voordelen:

• De service beheert automatisch en volledig de toegang tot gegevens.
• De service bepaalt automatisch en volledig de levenscyclus van uw sleutel, inclusief de rotatie van de sleutel.
• U hoeft zich geen zorgen te maken over het beheren van gegevensversleutelingssleutels.
• Gegevensversleuteling op basis van door de service beheerde sleutels heeft geen negatieve invloed op de prestaties van uw workloads.
• Het vereenvoudigt het beheer van

Gegevensversleuteling met door de klant beheerde sleutels voor flexibele Azure Database for PostgreSQL-server biedt de volgende voordelen:

• U kunt de toegang tot gegevens volledig beheren. U kunt een sleutel verwijderen om een database ontoegankelijk te maken.
• U bepaalt de levenscyclus van een sleutel, inclusief het rouleren van de sleutel, volledig om af te stemmen op het bedrijfsbeleid.
• U kunt al uw versleutelingssleutels centraal beheren en organiseren in uw eigen exemplaren van Azure Key Vault.
• Gegevensversleuteling op basis van door de klant beheerde sleutels heeft geen negatieve invloed op de prestaties van uw workloads.
• U kunt scheiding van taken tussen beveiligingsmedewerkers, databasebeheerders en systeembeheerders implementeren.

Vereisten

Hieronder vindt u de lijst met vereisten voor het configureren van gegevensversleuteling voor flexibele Azure Database for PostgreSQL-server:

• Key Vault en Azure Database for PostgreSQL flexibele server moeten behoren tot dezelfde Microsoft Entra-tenant. Interactie tussen tenantsleutels en servers wordt niet ondersteund. Als u de Key Vault-resource later verplaatst, moet u de gegevensversleuteling opnieuw configureren.
• Het is raadzaam om de configuratie dagen in te stellen voor het behouden van de configuratie van verwijderde kluizen voor Key Vault op 90 dagen. Als u een bestaand Key Vault-exemplaar met een lager nummer hebt geconfigureerd, moet dit nog steeds geldig zijn. Als u deze instelling echter wilt wijzigen en de waarde wilt verhogen, moet u een nieuw Key Vault-exemplaar maken. Zodra een exemplaar is gemaakt, is het niet mogelijk om deze instelling te wijzigen.
• Schakel de functie voor voorlopig verwijderen in Key Vault in om u te helpen bij het beveiligen tegen gegevensverlies als een sleutel of een Key Vault-exemplaar per ongeluk wordt verwijderd. Key Vault bewaart voorlopig verwijderde resources gedurende 90 dagen, tenzij de gebruiker deze ondertussen herstelt of opschoont. De herstel- en opschoningsacties hebben hun eigen machtigingen gekoppeld aan een Key Vault- of toegangsbeleidsmachtiging. De functie voorlopig verwijderen is standaard ingeschakeld. Als u een sleutelkluis hebt die lang geleden is geïmplementeerd, is voorlopig verwijderen mogelijk nog steeds uitgeschakeld. In dat geval kunt u deze inschakelen met behulp van Azure CLI.
• Schakel beveiliging tegen opschonen in om een verplichte bewaarperiode af te dwingen voor verwijderde kluizen en kluisobjecten.
• Verdeel de door de gebruiker toegewezen beheerde identiteit van de flexibele Azure Database for PostgreSQL-server toegang tot de sleutel door:
  • Voorkeur: Azure Key Vault moet worden geconfigureerd met het RBAC-machtigingsmodel en de beheerde identiteit moet de rol Crypto Vault-versleutelingsgebruiker voor cryptoserviceversleuteling krijgen toegewezen.
  • Verouderd: Als Azure Key Vault is geconfigureerd met het machtigingsmodel voor toegangsbeleid, verleent u de volgende machtigingen aan de beheerde identiteit:
    • get: Om de eigenschappen en het openbare deel van de sleutel in Key Vault op te halen.
    • lijst: Om de sleutels weer te geven en te herhalen die zijn opgeslagen in Key Vault.
    • wrapKey: de versleutelingssleutel voor gegevens versleutelen.
    • unwrapKey: De gegevensversleutelingssleutel ontsleutelen.
• De sleutel die wordt gebruikt voor het versleutelen van de gegevensversleutelingssleutel kan alleen asymmetrisch, RSA of RSA-HSM zijn. Sleutelgrootten van 2048, 3.072 en 4.096 worden ondersteund. We raden u aan een 4096-bits sleutel te gebruiken voor betere beveiliging.
• De datum en tijd voor sleutelactivering (indien ingesteld) moeten zich in het verleden bevinden. De datum en tijd voor vervaldatum (indien ingesteld) moeten in de toekomst zijn.
• De sleutel moet de status Ingeschakeld hebben.
• Als u een bestaande sleutel in Key Vault importeert, geeft u deze op in de ondersteunde bestandsindelingen (.pfx, .byokof .backup).

Aanbevelingen

Wanneer u een door de klant beheerde sleutel gebruikt voor gegevensversleuteling, volgt u deze aanbevelingen om Key Vault te configureren:

• Stel een resourcevergrendeling in Key Vault in om onbedoelde of niet-geautoriseerde verwijdering van deze kritieke resource te voorkomen.
• Schakel controle en rapportage in voor alle versleutelingssleutels. Key Vault biedt logboeken die eenvoudig kunnen worden ingevoerd in andere SIEM-hulpprogramma's (Security Information and Event Management). Azure Monitor-logboeken is een voorbeeld van een service die al is geïntegreerd.
• Vergrendel Key Vault door openbare toegang uitschakelen en vertrouwde Microsoft-services toestaan om deze firewall te omzeilen.

Notitie

Nadat u Openbare toegang uitschakelen hebt geselecteerd en Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen, krijgt u mogelijk een foutmelding die vergelijkbaar is met het volgende wanneer u openbare toegang probeert te gebruiken om Key Vault te beheren via de portal: 'U hebt het netwerktoegangsbeheer ingeschakeld. Alleen toegestane netwerken hebben toegang tot deze sleutelkluis.' Deze fout voorkomt niet dat tijdens het instellen van de door de klant beheerde sleutels sleutels kunnen worden opgegeven of sleutels kunnen worden opgehaald uit Key Vault tijdens serverbewerkingen.

• Bewaar een kopie van de door de klant beheerde sleutel op een veilige plaats of borg deze naar de borgservice.
• Als Key Vault de sleutel genereert, maakt u een sleutelback-up voordat u de sleutel voor de eerste keer gebruikt. U kunt de back-up alleen herstellen naar Key Vault.

Speciale overwegingen

Onopzettelijke toegang tot sleutel intrekken vanuit Key Vault

Iemand met voldoende toegangsrechten voor Key Vault kan per ongeluk servertoegang tot de sleutel uitschakelen door:

• De RBAC-rol Key Vault cryptoserviceversleutelingsgebruiker intrekken of de machtigingen intrekken van de identiteit die wordt gebruikt om de sleutel in Key Vault op te halen.
• De sleutel verwijderen.
• Het Key Vault-exemplaar verwijderen.
• De Key Vault-firewallregels wijzigen.
• De beheerde identiteit van de server in Microsoft Entra-id verwijderen.

De sleutels bewaken die in Azure Key Vault worden bewaard

Als u de databasestatus wilt bewaken en waarschuwingen wilt inschakelen voor het verlies van toegang tot de gegevensversleutelingsbeveiliging, configureert u de volgende Azure-functies:

• Resourcestatus: Een database die geen toegang meer heeft tot de CMK, wordt weergegeven als Niet toegankelijk nadat de eerste verbinding met de database is geweigerd.
• Activiteitenlogboek: wanneer toegang tot de CMK in het door de klant beheerde Key Vault-exemplaar mislukt, worden vermeldingen toegevoegd aan het activiteitenlogboek. U kunt de toegang opnieuw instellen als u zo snel mogelijk waarschuwingen voor deze gebeurtenissen maakt.
• Actiegroepen: definieer deze groepen om meldingen en waarschuwingen te ontvangen op basis van uw voorkeuren.

Back-ups herstellen van een server die is geconfigureerd met een door de klant beheerde sleutel

Nadat de flexibele Azure Database for PostgreSQL-server is versleuteld met een door de klant beheerde sleutel die is opgeslagen in Key Vault, wordt elke zojuist gemaakte serverkopie ook versleuteld. U kunt deze nieuwe kopie maken via een herstelbewerking naar een bepaald tijdstip of leesreplica's.

Wanneer u gegevensversleuteling instelt met een door de klant beheerde sleutel, kunt u tijdens het herstellen van een back-up of het maken van een leesreplica problemen voorkomen door deze stappen uit te voeren op de primaire en herstelde of replicaservers:

• Initieer het herstelproces of het proces voor het maken van een leesreplica van het primaire exemplaar van de flexibele Azure Database for PostgreSQL-server.
• Op de herstelde of replicaserver kunt u de door de klant beheerde sleutel en de door de gebruiker toegewezen beheerde identiteit wijzigen die wordt gebruikt voor toegang tot Key Vault. Zorg ervoor dat de identiteit die is toegewezen op de zojuist gemaakte server de vereiste machtigingen heeft voor de Sleutelkluis.
• Trek de oorspronkelijke sleutel niet in nadat u deze hebt hersteld. Op dit moment wordt het intrekken van sleutels niet ondersteund nadat u een server met door de klant beheerde sleutel naar een andere server hebt hersteld.

Beheerde HSM's

Hardwarebeveiligingsmodules (HSM's) zijn manipulatiebestendige hardwareapparaten die cryptografische processen helpen beveiligen door sleutels te genereren, beveiligen en beheren die worden gebruikt voor het versleutelen van gegevens, het ontsleutelen van gegevens, het maken van digitale handtekeningen en het maken van digitale certificaten. HSM's worden getest, gevalideerd en gecertificeerd volgens de hoogste beveiligingsstandaarden, waaronder FIPS 140 en Algemene criteria.

Beheerde HSM van Azure Key Vault is een volledig beheerde, maximaal beschikbare cloudservice met één tenant, conforme standaarden. U kunt deze gebruiken om cryptografische sleutels voor uw cloudtoepassingen te beveiligen via met FIPS 140-3 gevalideerde HSM's.

Wanneer u nieuwe flexibele Azure Database for PostgreSQL-serverexemplaren maakt in Azure Portal met de door de klant beheerde sleutel, kunt u Azure Key Vault Managed HSM kiezen als sleutelarchief, als alternatief voor Azure Key Vault. De vereisten, wat betreft door de gebruiker gedefinieerde identiteit en machtigingen, zijn hetzelfde als met Azure Key Vault (zoals eerder in dit artikel is vermeld). Voor meer informatie over het maken van een beheerd HSM-exemplaar, de voordelen en verschillen van een gedeeld certificaatarchief op basis van Key Vault en het importeren van sleutels in beheerde HSM, raadpleegt u Wat is Beheerde HSM van Azure Key Vault?

Niet-toegankelijke door de klant beheerde sleutelvoorwaarde

Wanneer u gegevensversleuteling configureert met een door de klant beheerde sleutel die is opgeslagen in Key Vault, is continue toegang tot deze sleutel vereist om de server online te houden. Als de server geen toegang meer heeft tot de sleutel die in Key Vault wordt bewaard, wordt alle verbindingen binnen 10 minuten geweigerd. De server geeft een bijbehorend foutbericht uit en wijzigt de serverstatus in Ontoegankelijk.

Enkele mogelijke redenen waarom de serverstatus mogelijk niet toegankelijk is, zijn:

• Als u de sleutel roteert en vergeet het exemplaar van de flexibele Server van Azure Database for PostgreSQL bij te werken, zodat deze verwijst naar de nieuwe versie van de sleutel. De oude sleutel, waarnaar het exemplaar verwijst, verloopt uiteindelijk en verandert de serverstatus in Ontoegankelijk. Om dit te voorkomen, moet u, telkens wanneer u de sleutel draait, ook het exemplaar van de server bijwerken zodat deze verwijst naar de nieuwe versie. Hiervoor kunt u het az postgres flexible-server updatevoorbeeld gebruiken waarin 'Sleutel/identiteit wijzigen voor gegevensversleuteling' wordt beschreven . Gegevensversleuteling kan niet worden ingeschakeld na het maken van de server. Hierdoor wordt alleen de sleutel/identiteit bijgewerkt. Als alternatief kunt u de Servers - REST API bijwerken van de service aanroepen.
• Als u het Key Vault-exemplaar verwijdert, heeft het flexibele serverexemplaren van Azure Database for PostgreSQL geen toegang tot de sleutel en wordt deze verplaatst naar een niet-toegankelijke status. Als u de server beschikbaar wilt maken, herstelt u het Key Vault-exemplaar en moet u de gegevensversleuteling opnieuwvalideren.
• Als u de sleutel uit Key Vault verwijdert, heeft het exemplaar van de flexibele Server van Azure Database for PostgreSQL geen toegang tot de sleutel en wordt deze verplaatst naar een niet-toegankelijke status. Als u de server beschikbaar wilt maken, moet u de sleutel herstellen en de gegevensversleuteling opnieuwvalideren.
• Als u, van Microsoft Entra-id, een beheerde identiteit verwijdert die wordt gebruikt om een sleutel op te halen uit Key Vault, of door azure RBAC-roltoewijzing te verwijderen met de sleutelkluis cryptoserviceversleutelingsgebruiker. Het exemplaar van de flexibele Azure Database for PostgreSQL-server heeft geen toegang tot de sleutel en wordt verplaatst naar een niet-toegankelijke status. Als u de server beschikbaar wilt maken, moet u de identiteit herstellen en gegevensversleuteling opnieuwvalideren.
• Als u de Key Vault-lijst intrekt, haalt u het toegangsbeleid voor sleutels op, verpakt en uitpakt vanuit de beheerde identiteit die wordt gebruikt voor het ophalen van een sleutel uit Key Vault, dan heeft het exemplaar van de flexibele Azure Database for PostgreSQL-server geen toegang tot de sleutel en wordt verplaatst naar een niet-toegankelijke status. Voeg vereist toegangsbeleid toe aan de identiteit in Key Vault.
• Als u beperkende Key Vault-firewallregels instelt, kan de flexibele Server van Azure Database for PostgreSQL niet communiceren met Key Vault om sleutels op te halen. Wanneer u een Key Vault-firewall configureert, moet u de optie selecteren om vertrouwde Microsoft-services de firewall te omzeilen.

Notitie

Wanneer een sleutel is uitgeschakeld, verwijderd, verlopen of niet bereikbaar is, wordt een server met gegevens die via die sleutel zijn versleuteld, ontoegankelijk, zoals eerder is aangegeven. De server wordt pas beschikbaar wanneer u de sleutel opnieuw inschakelt of een nieuwe sleutel toewijst.

Over het algemeen wordt een server binnen 60 minuten nadat een sleutel is uitgeschakeld, verwijderd, verlopen of niet bereikbaar is. Nadat de sleutel beschikbaar is, kan het tot 60 minuten duren voordat de server weer toegankelijk is.

Herstellen na verwijdering van beheerde identiteit

Als de door de gebruiker toegewezen beheerde identiteit die wordt gebruikt voor toegang tot de versleutelingssleutel die is opgeslagen in Key Vault, wordt verwijderd in Microsoft Entra-id, moet u de volgende stappen uitvoeren om te herstellen:

1. Herstel de identiteit of maak een nieuwe beheerde Entra ID-identiteit.
2. Als u een nieuwe identiteit hebt gemaakt, zelfs als deze exact dezelfde naam heeft als voordat deze werd verwijderd, werkt u de eigenschappen van Azure Database voor flexibele servers bij zodat deze deze nieuwe identiteit moet gebruiken voor toegang tot de versleutelingssleutel.
3. Zorg ervoor dat deze identiteit over de juiste machtigingen beschikt voor bewerkingen op de sleutel in Azure Key Vault (AKV).
4. Wacht ongeveer een uur totdat de server de sleutel opnieuwvalideert.

Belangrijk

Het maken van een nieuwe Entra ID-identiteit met dezelfde naam als de verwijderde identiteit herstelt niet na verwijdering van beheerde identiteiten.

Gegevensversleuteling gebruiken met door de klant beheerde sleutels en functies voor bedrijfscontinuïteit met geografisch redundante bedrijfscontinuïteit

Flexibele Azure Database for PostgreSQL-server ondersteunt geavanceerde functies voor gegevensherstel , zoals replica's en geografisch redundante back-ups. Hieronder vindt u vereisten voor het instellen van gegevensversleuteling met CMK's en deze functies, naast de basisvereisten voor gegevensversleuteling met CMK's:

• De geografisch redundante back-upversleutelingssleutel moet worden gemaakt in een Key Vault-exemplaar dat moet bestaan in de regio waar de geografisch redundante back-up wordt opgeslagen.
• De REST API-versie van Azure Resource Manager voor het ondersteunen van cmk-servers met geografisch redundante back-ups is 2022-11-01-preview. Als u Azure Resource Manager-sjablonen wilt gebruiken om het maken van servers die gebruikmaken van zowel versleuteling met CMK's als geografisch redundante back-upfuncties te automatiseren, gebruikt u deze API-versie.
• U kunt niet dezelfde door de gebruiker beheerde identiteit gebruiken om te verifiëren voor het Key Vault-exemplaar van de primaire database en het Key Vault-exemplaar met de versleutelingssleutel voor geografisch redundante back-up. Als u regionale tolerantie wilt behouden, raden we u aan om de door de gebruiker beheerde identiteit in dezelfde regio te maken als de geografisch redundante back-ups.
• Als u tijdens het maken een leesreplicadatabase instelt die moet worden versleuteld met CMK's, moet de versleutelingssleutel zich in een Key Vault-exemplaar bevinden in de regio waar de leesreplicadatabase zich bevindt. De door de gebruiker toegewezen identiteit voor verificatie bij dit Key Vault-exemplaar moet worden gemaakt in dezelfde regio.

Beperkingen

Hier volgen de huidige beperkingen voor het configureren van de door de klant beheerde sleutel in azure Database for PostgreSQL flexibele server:

• U kunt door de klant beheerde sleutelversleuteling alleen configureren tijdens het maken van een nieuwe server, niet als een update naar een bestaand exemplaar van een flexibele Azure Database for PostgreSQL-server. U kunt in plaats daarvan een PITR-back-up herstellen naar een nieuwe server met CMK-versleuteling .
• Nadat u door de klant beheerde sleutelversleuteling hebt geconfigureerd, kunt u niet teruggaan naar de door het systeem beheerde sleutel. Als u wilt terugkeren, moet u de server herstellen naar een nieuwe server met gegevensversleuteling die is geconfigureerd met door het systeem beheerde sleutel.
• Het exemplaar van azure Key Vault Managed HSM of het exemplaar van Azure Key Vault waarop u de versleutelingssleutel wilt opslaan, moet aanwezig zijn in dezelfde regio waarop het exemplaar van Azure Database voor flexibele server wordt gemaakt.

Gerelateerde inhoud

• Gegevensversleuteling configureren.