Szyfrowanie z kluczami zarządzanymi przez klienta w Microsoft Cloud for Sovereignty

Klienci, którzy planują implementację Microsoft Cloud for Sovereignty, mogą wymagać użycia funkcji szyfrowania danych w celu wymagania dotyczące dane. Klienci posiadający rygorystyczne wymagania dotyczące suwerenności danych powinni opracować plany wdrożenia zarządzania kluczami w chmurze. Ten artykuł zawiera wskazówki dla architektów chmury, właścicieli systemów kryptograficznych i innych osób podejmujących decyzje techniczne w zakresie opracowania planu wdrażania szyfrowania na poziomie platformy na platformie Azure. Planowanie szyfrowania na poziomie platformy zwykle obejmuje zidentyfikowanie kluczowych wymagań dotyczących zarządzania, wybranie opcji technologicznych oraz wybranie projektów i konfiguracji, które mają być używane usługi Azure. Proces ten obejmuje podejmowanie decyzji technicznych w trzech obszarach:

• Zdefiniuj kluczowe wymagania dotyczące zarządzania: Co musi zrobić Twoja organizacja, aby chronić wrażliwe dane klientów i wrażliwe materiały kryptograficzne?
• Wybierz funkcje szyfrowania danych w celu ochrony danych klienta: Jak, gdzie i kiedy należy szyfrować dane klientów na platformie Azure?
• Wybierz rozwiązania do zarządzania kluczami, aby chronić klucze klientów: Jakiego magazynu kluczy należy używać do ochrony kluczy szyfrowania danych używanych do szyfrowania danych klientów na platformie Azure?

Zdefiniuj kluczowe wymagania dotyczące zarządzania

Wymagania dotyczące zarządzania kluczami mogą obejmować wymagania techniczne dotyczące używanych usług kryptograficznych oraz wymagania operacyjne związane z wydajnością, bezpieczeństwem i suwerennością. Zalecanym punktem wyjścia do podejmowania decyzji dotyczących tego, kiedy i jak szyfrować dane w obciążeniach platformy Azure, jest system klasyfikacji danych organizacji. Dostosowując wymagania dotyczące szyfrowania do klasyfikacji danych, a nie do konkretnych systemów lub rozwiązań, organizacje mają większą elastyczność w wyborze optymalnego poziomu szyfrowania podczas planowania migracji obciążeń.

Oparcie wymagań dotyczących szyfrowania na klasyfikacji danych pozwala również na zastosowanie podejścia warstwowego, w którym obciążenia o niższej krytyczności mogą korzystać z prostszych rozwiązań, rezerwując jednocześnie najbardziej złożone konfiguracje dla obciążeń o wyższym poziomie nieodłącznego ryzyka. Przykładem takiego podejścia byłoby umożliwienie korzystania z kluczy zarządzanych przez firmę Microsoft do szyfrowania kont pamięci masowej w środowiskach programistycznych, przy jednoczesnym wymaganiu, aby konta produkcyjnej pamięci masowej korzystały z kluczy szyfrowania zarządzanych przez Klienta.

Gdy organizacja jasno zrozumie, w jaki sposób jej wymagania dotyczące szyfrowania odnoszą się do klasyfikacji danych, może rozpocząć proces wyboru funkcji dla usług platformy Azure, z których planuje korzystać. Niektóre z tych funkcji mogą działać inaczej niż podobne systemy lokalny, dlatego zachęca się organizacje do zapoznania się z działaniem szyfrowania na platformie Azure oraz zapoznania się z zaleceniami i najlepszymi praktykami dotyczącymi projektowania rozwiązań szyfrujących. Poniższe artykuły zapewniają dodatkowe spojrzenie na niektóre wybory techniczne, których muszą dokonać klienci, i mogą być przydatnym punktem wyjścia do rozpoczęcia rozmowy na temat celów zarządzania kluczami w chmurze organizacji.

• Oceń wymagania suwerenności
• Zalecenia dotyczące klasyfikacji danych
• Szyfrowanie i zarządzanie kluczami na platformie Azure
• Zalecenia dotyczące dobrze zaprojektowanego środowiska szyfrowania

Wybierz funkcje szyfrowania danych

Wiele usług platformy Azure umożliwia szyfrowanie przy użyciu kluczy generowanych, przechowywanych i zarządzanych w całości przez platformę Azure, bez interakcji z klientem. Te klucze zarządzane przez platformę mogą pomóc organizacjom we wdrażaniu szyfrowania przy niewielkich kosztach operacyjnych. Jednak klienci mający rygorystyczne wymagania dotyczące suwerenności danych może być konieczne wybranie określonych funkcji szyfrowania platformy, aby chronić poufne dane w spoczynku w danej usłudze Azure.

W przypadku bardzo wrażliwych danych wiele powszechnie używanych usług platformy Azure umożliwia klientom wdrożenie podwójnego szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMK). Wdrożenie kluczy zarządzanych przez klienta w usługach platformy Azure może pomóc klientom chronić dane przechowywane w tych usługach przed nieautoryzowanym dostępem.

Wdrożenie kluczy zarządzanych przez klienta na platformie Azure może zwiększyć koszt i złożoność obciążenia, dlatego zachęca się organizacje, aby oceniły potrzebę stosowania tej funkcji dla każdego obciążenia i poziomu klasyfikacji danych. Wdrożenie kluczy zarządzanych przez klienta tylko dla obciążeń i typów danych, które ich potrzebują, może pomóc zmniejszyć obciążenie operacyjne w przypadku obciążeń, które nie obsługują wrażliwych danych.

Jeśli wymagane są klucze zarządzane przez klienta, należy je skonfigurować dla każdej odpowiedniej usługi platformy Azure. Organizacje mogą pomóc w usprawnieniu działań związanych z planowaniem wdrażania lub migracji, ustanawiając standardy obowiązujące w całej organizacji i powtarzalne wzorce projektowe dotyczące wdrażania tych funkcji. Poniższe artykuły zawierają więcej informacji na temat konfiguracji szyfrowania danych przechowywanych na platformie Azure:

• Dowiedz się więcej o szyfrowaniu usługi Azure Storage dla danych przechowywanych
• Klucze zarządzane przez platformę i klucze zarządzane przez klienta

Dowiedz się, jak skonfigurować często używane usługi Azure do szyfrowania przechowywanych danych przy użyciu kluczy zarządzanych przez klienta:

• Korzystanie z CMK z kontami magazynu
• Używanie CMK w poufnych obliczeniach z poufnymi maszynami wirtualnymi AMD
• Korzystanie z CMK z dyskami zarządzanymi przez maszynę wirtualną
• Korzystanie z CMK z bazą danych Azure SQL
• Korzystanie z CMK z Azure Cosmos DB
• Korzystanie z CMK z Azure Monitor

Wybierz kluczowe rozwiązania do zarządzania

Chociaż funkcje takie jak podwójne szyfrowanie za pomocą kluczy zarządzanych przez klienta mogą pomóc chronić dane klienta przechowywane w usługach platformy Azure, rozwiązania do zarządzania kluczami oparte na chmurze pomagają chronić klucze szyfrujące i inne materiały kryptograficzne używane do szyfrowania poufnych danych. Klienci mający rygorystyczne wymagania dotyczące suwerenności danych powinni wybrać odpowiednie rozwiązanie do zarządzania kluczami w oparciu o swoje potrzeby w zakresie zapewnienia bezpieczeństwa i profil ryzyka swoich obciążeń.

Obciążenia, w których są obsługiwane poufne dane, mogą skorzystać z dodatkowego zapewnienia zapewnianego przez rozwiązania, takie jak Azure zarządzane HSM, w tym moduły zabezpieczeń na poziomie FIPS-140-2 na poziomie 3, które zawierają dodatkowe formanty zabezpieczeń do ochrony przechowywanego materiałów kryptograficznych.

Poniższe artykuły zawierają wskazówki, których klienci mogą użyć do wybrania odpowiedniego magazynu kluczy dla zidentyfikowanych scenariuszy. Zawiera także informacje o tym, jak firma Microsoft zarządza usługami kryptograficznymi używanymi przez klientów w ramach ich rozwiązań szyfrujących.

• Wybór rozwiązania do zarządzania kluczami
• Suwerenność klucza

Modele operacji zarządzania kluczami

Usługa Azure Key Vault implementuje opartą na rolach kontrolę dostępu na różne sposoby, w zależności od tego, czy jest używasz warstwy standardowa/premium w usłudze Azure Key Vault, czy Azure Key Vault Zarządzany moduł HSM. Różnice te mogą mieć wpływ na sposób uzyskiwania dostępu do tych funkcji przez organizację. W tej sekcji opisano te różnice i ich wpływ na sposób, w jaki organizacja decyduje się na projektowanie procesów operacyjnych do zarządzania kluczami w chmurze.

Ograniczenia zgodności w przypadku sprawdzania poprawności FIPS-140 na poziomie P3

Sprawdzanie poprawności FIPS-140 na poziomie P3 wymaga identyfikacji operatora opartego na tożsamościach. Te zabezpieczenia są wdrażane i weryfikowane w przypadku podstawowego sprzętu HSM obsługującego usługi Key Vault w platformie Azure. W związku z tym funkcje RBAC w usłudze Azure Key Vault są zależności od możliwości platformy RBAC z podstawowego sprzętu.

Zarządzana usługa Azure Key Vault Zarządzany moduł HSM zaimplementowana na poziomie sprzętu i umożliwia przypisywanie ról w zakresie domeny zabezpieczeń (na przykład w całym modelu HSM) lub na podstawie klucza. Oznacza to, że do tworzenia kluczy są wymagane uprawnienia administracyjne w całej domenie zabezpieczeń, ponieważ nie można przypisać uprawnień do klucza, który jeszcze nie istnieje. Wpływ tego projektu wynika z tego, że każda osoba, która musi przechowywać klucz w wystąpieniu mHSM, musi mieć pełne uprawnienia do wszystkich kluczy przechowywanych w tej domenie zabezpieczeń lub zażądać kluczy od scentralizowanego zespołu, który ma te wymagane uprawnienia do domeny zabezpieczeń. Reprezentuje to zmianę w wytycznych dotyczących Azure Key Vault, które zaleca utworzenie oddzielnych magazynów kluczy dla każdej aplikacji.

Operacje zarządzania kluczami w usłudze Azure Key Vault Zarządzany moduł HSM

Aby opracowywać procesy operacyjne w zarządzaniu kluczami, klienci powinni określić, wymagają Azure Key Vault Zarządzany moduł HSM jako części swojej architektury rozwiązania. Organizacje, które planują korzystać z zarządzanego modułu HSM, powinny najpierw zapoznać się z modelami kontroli dostępu używanymi zarówno do operacji administracyjnych, jak i kryptograficznych, a także poznać sposób przypisywania kontroli dostępu opartej na rolach.

Dowiedz się więcej o kontroli dostępu w zarządzanym modułu HSM:

• Zarządzaj kontrolę dostępu do modułu HSM
• Zarządzanie rolami w danych dla zarządzanego zarządzania modułu HSM
• Wbudowane role RBAC i dozwolone operacje na zarządzanym module HSM

Organizacje, które planują korzystanie z usługi Azure Key Vault Zarządzanie modułu HSM, powinny przejrzeć listę wbudowanych ról RBAC i dozwolonych operacji na rzecz zarządzanego modułu HSM, a także dokładnie planować adresowanie następujących scenariuszy operacyjnych:

• Tworzenie nowego klucza w zarządzanym module HSM
• Operacje zarządzania istniejącym kluczem przy użyciu formantu, takie jak kluczowe aktualizacje lub kluczowe zmiany
• Użycie istniejącego klucza przez aplikację lub usługę

Obecnie jedynym sposobem przypisywania uprawnień do tworzenia nowego klucza jest przypisanie roli, takiej jak Crypto User, która obejmuje również inne uprawnienia, takie jak przypisanie i usunięcie klucza. W rezultacie nadanie członkowi zespołu aplikacji uprawnień potrzebnych do tworzenia własnych kluczy w zarządzanym module HSM może prawdopodobnie stanowić naruszenie zasad najmniejszego uprawnienia, ponieważ użytkownik ten będzie miał również uprawnienia administracyjne dla wszystkich kluczy w module HSM. Ten problem można rozwiązać, wprowadzając scentralizowany zespół z wysokimi uprawnieniami, które mogą ułatwić tworzenie kluczowych żądań, lub wprowadzając automatyzację, która może ułatwić tworzenie nowych żądań tworzenia kluczy za pomocą procesów zarządzania usługami IT, które wykorzystują Interfejsu API REST zarządzanego modułu HSM.

Powiązana zawartość

• Usługa Azure Data Encryption – w spoczynku
• Azure Key Vault
• Bezpieczeństwo Azure Key Vault