Versleuteling van gegevens in Azure Data Lake Storage Gen1
Met versleuteling in Azure Data Lake Storage Gen1 kunt u uw gegevens beveiligen, beveiligingsbeleid voor ondernemingen implementeren en voldoen aan wettelijke nalevingsvereisten. Dit artikel bevat een overzicht van het ontwerp en bespreekt enkele technische aspecten van de implementatie.
Data Lake Storage Gen1 biedt ondersteuning voor versleuteling van gegevens, zowel wanneer ze in rust zijn als tijdens de overdracht. Voor data-at-rest biedt Data Lake Storage Gen1 standaard ondersteuning voor transparante versleuteling. Hier ziet u wat deze termen in meer detail betekenen:
- standaard ingeschakeld: wanneer u een nieuw Data Lake Storage Gen1-account maakt, schakelt de standaardinstelling versleuteling in. Daarna worden gegevens die zijn opgeslagen in Data Lake Storage Gen1 altijd versleuteld voordat ze worden opgeslagen op permanente media. Dit is het gedrag voor alle gegevens en kan niet worden gewijzigd nadat een account is gemaakt.
- Transparent: Data Lake Storage Gen1 versleutelt gegevens automatisch voordat ze worden bewaard en ontsleutelt gegevens voordat ze worden opgehaald. De versleuteling wordt door een beheerder geconfigureerd en beheerd op het niveau van het Data Lake Storage Gen1-account. Er worden geen wijzigingen aangebracht in de API's voor gegevenstoegang. Er zijn dus geen wijzigingen vereist in toepassingen en services die werken met Data Lake Storage Gen1 vanwege versleuteling.
Gegevens die onderweg zijn (ook wel bekend als gegevens in beweging) worden ook altijd versleuteld in Data Lake Storage Gen1. Naast het versleutelen van gegevens voordat ze worden opgeslagen op permanente media, worden de gegevens ook altijd beveiligd tijdens overdracht met behulp van HTTPS. HTTPS is het enige protocol dat wordt ondersteund voor de Data Lake Storage Gen1 REST-interfaces. In het volgende diagram ziet u hoe gegevens worden versleuteld in Data Lake Storage Gen1:
Versleuteling instellen met Data Lake Storage Gen1
Versleuteling voor Data Lake Storage Gen1 wordt ingesteld tijdens het maken van het account en deze is altijd standaard ingeschakeld. U kunt de sleutels zelf beheren of Data Lake Storage Gen1 toestaan deze voor u te beheren (dit is de standaardinstelling).
Zie Aan de slagvoor meer informatie.
Hoe versleuteling werkt in Data Lake Storage Gen1
In de volgende informatie wordt beschreven hoe u hoofdversleutelingssleutels beheert en wordt uitgelegd welke drie verschillende typen sleutels u kunt gebruiken in gegevensversleuteling voor Data Lake Storage Gen1.
Hoofdversleutelingssleutels
Data Lake Storage Gen1 biedt twee modi voor het beheer van hoofdversleutelingssleutels (MEK's). Stel nu dat de hoofdversleutelingssleutel de sleutel op het hoogste niveau is. Toegang tot de hoofdversleutelingssleutel is vereist voor het ontsleutelen van gegevens die zijn opgeslagen in Data Lake Storage Gen1.
De twee modi voor het beheren van de hoofdversleutelingssleutel zijn als volgt:
- Door de service beheerde sleutels
- Door klant beheerde sleutels
In beide modi wordt de hoofdversleutelingssleutel beveiligd door deze op te slaan in Azure Key Vault. Key Vault is een volledig beheerde, zeer veilige service in Azure die kan worden gebruikt om cryptografische sleutels te beveiligen. Zie Key Vault voor meer informatie.
Hier volgt een korte vergelijking van de mogelijkheden die worden geboden door de twee modi voor het beheren van de MEK's.
| Vraag | Door de service beheerde sleutels | Door klant beheerde sleutels |
|---|---|---|
| Hoe worden gegevens opgeslagen? | Altijd versleuteld voordat ze worden opgeslagen. | Altijd versleuteld voordat ze worden opgeslagen. |
| Waar wordt de hoofdversleutelingssleutel opgeslagen? | Sleutelkluis (Key Vault) | Sleutelkluis (Key Vault) |
| Zijn er versleutelingssleutels opgeslagen buiten Key Vault? | Nee. | Nee. |
| Kan de MEK worden opgehaald door Key Vault? | Nee. Nadat de MEK is opgeslagen in Key Vault, kan deze alleen worden gebruikt voor versleuteling en ontsleuteling. | Nee. Nadat de MEK is opgeslagen in Key Vault, kan deze alleen worden gebruikt voor versleuteling en ontsleuteling. |
| Wie is eigenaar van het Key Vault-exemplaar en de MEK? | De Data Lake Storage Gen1-service | U bent eigenaar van het Key Vault-exemplaar, dat deel uitmaakt van uw eigen Azure-abonnement. De MEK in de Key Vault kan worden beheerd door software of hardware. |
| Kunt u de toegang tot de MEK voor de Data Lake Storage Gen1-service intrekken? | Nee. | Ja. U kunt toegangsbeheerlijsten in Key Vault beheren en vermeldingen voor toegangsbeheer verwijderen uit de service-id voor de Data Lake Storage Gen1-service. |
| Kunt u de MEK definitief verwijderen? | Nee. | Ja. Als u de MEK verwijdert uit Key Vault, kunnen de gegevens in het Data Lake Storage Gen1-account niet door iedereen worden ontsleuteld, inclusief de Data Lake Storage Gen1-service. Als u expliciet een back-up van de MEK hebt gemaakt voordat u deze verwijdert uit Key Vault, kan de MEK worden hersteld en kunnen de gegevens vervolgens worden hersteld. Als u echter geen back-up van de MEK hebt gemaakt voordat u deze verwijdert uit Key Vault, kunnen de gegevens in het Data Lake Storage Gen1-account daarna nooit meer worden ontsleuteld. |
Afgezien van dit verschil van wie de MEK en het Key Vault-exemplaar waarin deze zich bevindt, beheert, is de rest van het ontwerp hetzelfde voor beide modi.
Het is belangrijk om het volgende te onthouden wanneer u de modus voor de hoofdversleutelingssleutels kiest:
- U kunt kiezen of u door de klant beheerde sleutels of door de service beheerde sleutels wilt gebruiken wanneer u een Data Lake Storage Gen1-account inricht.
- Nadat een Data Lake Storage Gen1-account is ingericht, kan de modus niet worden gewijzigd.
Versleuteling en ontsleuteling van gegevens
Er zijn drie typen sleutels die worden gebruikt in het ontwerp van gegevensversleuteling. De volgende tabel bevat een samenvatting:
| Sleutelcode | Afkorting | Gekoppeld aan | Opslaglocatie | Typ | Opmerkingen |
|---|---|---|---|---|---|
| Hoofdversleutelingssleutel | MEK | Een Data Lake Storage Gen1-account | Sleutelkluis (Key Vault) | Asymmetrisch | Het kan worden beheerd door Data Lake Storage Gen1 of u. |
| Gegevensversleutelingssleutel | DEK | Een Data Lake Storage Gen1-account | Permanente opslag, beheerd door de Data Lake Storage Gen1-service | Symmetrisch | De DEK wordt versleuteld door de MEK. De versleutelde DEK wordt opgeslagen op permanente media. |
| Versleutelingssleutel blokkeren | BEK | Een gegevensblok | Geen | Symmetrisch | De BEK is afgeleid van de DEK en het gegevensblok. |
In het volgende diagram ziet u de volgende concepten:
Pseudo-algoritme wanneer een bestand moet worden ontsleuteld:
- Controleer of de DEK voor het Data Lake Storage Gen1-account in de cache is opgeslagen en klaar is voor gebruik.
- Zo niet, lees dan de versleutelde DEK uit permanente opslag en verzend deze naar Key Vault om te worden ontsleuteld. Cache de ontsleutelde DEK in het geheugen. Het is nu klaar om te gebruiken.
- Voor elk gegevensblok in het bestand:
- Lees het versleutelde blok met gegevens uit permanente opslag.
- Genereer de BEK van de DEK en het versleutelde gegevensblok.
- Gebruik de BEK om gegevens te ontsleutelen.
Pseudo-algoritme wanneer een blok gegevens moet worden versleuteld:
- Controleer of de DEK voor het Data Lake Storage Gen1-account in de cache is opgeslagen en klaar is voor gebruik.
- Zo niet, lees dan de versleutelde DEK uit permanente opslag en verzend deze naar Key Vault om te worden ontsleuteld. Cache de ontsleutelde DEK in het geheugen. Het is nu klaar om te gebruiken.
- Genereer een unieke BEK voor het gegevensblok van de DEK.
- Versleutel het gegevensblok met de BEK met behulp van AES-256-versleuteling.
- Sla het versleutelde gegevensblok van gegevens op in permanente opslag.
Notitie
De DEK wordt altijd versleuteld opgeslagen door de MEK, ongeacht of deze zich op permanente media bevindt of in het cachegeheugen is opgeslagen.
Sleutelrotatie
Wanneer u door de klant beheerde sleutels gebruikt, kunt u de MEK draaien. Zie Aan de slagvoor meer informatie over het instellen van een Data Lake Storage Gen1-account met door de klant beheerde sleutels.
Benodigdheden
Wanneer u het Data Lake Storage Gen1-account instelt, hebt u ervoor gekozen om uw eigen sleutels te gebruiken. Deze optie kan niet worden gewijzigd nadat het account is gemaakt. In de volgende stappen wordt ervan uitgegaan dat u door de klant beheerde sleutels gebruikt (dat wil zeggen dat u uw eigen sleutels uit Key Vault hebt gekozen).
Als u de standaardopties voor versleuteling gebruikt, worden uw gegevens altijd versleuteld met behulp van sleutels die worden beheerd door Data Lake Storage Gen1. In deze optie hebt u niet de mogelijkheid om sleutels te draaien, omdat ze worden beheerd door Data Lake Storage Gen1.
Hoe de MEK te roteren in Data Lake Storage Gen1
Meld u aan bij het Azure-portaal.
Blader naar het Key Vault-exemplaar waarin uw sleutels worden opgeslagen die zijn gekoppeld aan uw Data Lake Storage Gen1-account. Selecteer Sleutels.
Selecteer de sleutel die is gekoppeld aan uw Data Lake Storage Gen1-account en maak een nieuwe versie van deze sleutel. Data Lake Storage Gen1 ondersteunt momenteel alleen sleutelrotatie naar een nieuwe versie van een sleutel. Het biedt geen ondersteuning voor het roteren naar een andere sleutel.
Blader naar het Data Lake Storage Gen1-account en selecteer Encryption.
U ontvangt een bericht dat er een nieuwe versie van de sleutel beschikbaar is. Klik op Draaisleutel om de sleutel naar de nieuwe versie bij te werken.
Deze bewerking duurt minder dan twee minuten en er is geen verwachte downtime vanwege sleutelrotatie. Nadat de bewerking is voltooid, wordt de nieuwe versie van de sleutel gebruikt.
Belangrijk
Nadat de sleutelrotatie is voltooid, wordt de oude versie van de sleutel niet meer actief gebruikt voor het versleutelen van nieuwe gegevens. Er kunnen echter gevallen zijn waarin het openen van oudere gegevens mogelijk de oude sleutel nodig heeft. Als u het lezen van dergelijke oudere gegevens wilt toestaan, verwijdert u de oude sleutel niet