Opcje szyfrowania na potrzeby ochrony maszyn wirtualnych z systemem Windows i Linux
Załóżmy, że partnerzy handlowi Twojej firmy mają zasady zabezpieczeń wymagające, aby ich dane handlowe są chronione za pomocą silnego szyfrowania. Używasz aplikacji B2B, która działa na serwerach z systemem Windows i przechowuje dane na dysku danych serwera. Teraz, gdy przechodzisz do chmury, musisz pokazać partnerom handlowym, że nieautoryzowani użytkownicy, urządzenia lub aplikacje nie mogą uzyskać dostępu do danych przechowywanych na maszynach wirtualnych platformy Azure. Musisz wybrać strategię implementowania szyfrowania danych B2B.
Wymagania dotyczące inspekcji wymuszają, aby kluczami szyfrowania można było zarządzać wewnątrz w firmie zamiast zlecać tę czynność innej organizacji. Chcesz również upewnić się, że wydajność i możliwości zarządzania serwerami opartymi na platformie Azure są utrzymywane. Dlatego przed zaimplementowaniem szyfrowania należy upewnić się, że nie będzie to hit wydajności.
Co to jest szyfrowanie?
Szyfrowanie to konwertowanie istotnych informacji na coś, co wydaje się nie mieć znaczenia, na przykład na losową sekwencję liter i cyfr. Proces szyfrowania używa pewnego rodzaju klucza jako części algorytmu tworzącego zaszyfrowane dane. Klucz jest również potrzebny do przeprowadzenia odszyfrowywania. Klucze mogą być symetryczne, gdzie ten sam klucz jest używany do szyfrowania i odszyfrowywania lub asymetrycznego, gdzie są używane różne klucze. Przykładem drugiego przypadku są pary kluczy publiczny-prywatny używane w certyfikatach cyfrowych.
Szyfrowanie symetryczne
Algorytmy korzystające z kluczy symetrycznych, takich jak Advanced Encryption Standard (AES), są zwykle szybsze niż algorytmy kluczy publicznych i są często używane do ochrony dużych magazynów danych. Ponieważ istnieje tylko jeden klucz, procedury muszą być wykonywane na miejscu, aby uniemożliwić publiczne ujawnienie klucza.
Szyfrowanie asymetryczne
W przypadku algorytmów asymetrycznych tylko element członkowski klucza prywatnego pary musi być przechowywany jako prywatny i bezpieczny. Jak sugeruje jego nazwa, klucz publiczny można udostępnić każdemu bez naruszania zaszyfrowanych danych. Wadą algorytmów kluczy publicznych jest jednak to, że są wolniejsze niż algorytmy symetryczne i nie można ich używać do szyfrowania dużych ilości danych.
Zarządzanie kluczami
Na platformie Azure firma Microsoft lub klient może zarządzać kluczami szyfrowania. Często zapotrzebowanie na klucze zarządzane przez klienta pochodzi od organizacji, które muszą wykazać zgodność z przepisami HIPAA lub innymi przepisami. Taka zgodność może wymagać rejestrowania dostępu do kluczy oraz wprowadzania i rejestrowania regularnych zmian kluczy.
Technologie szyfrowania dysków na platformie Azure
Na platformie Azure funkcjonują następujące główne technologie ochrony dysku maszyn wirtualnych oparte na szyfrowaniu:
- Szyfrowanie usługi Azure Storage (SSE)
- Usługa Azure Disk Encryption (ADE)
Funkcja SSE jest wykonywana na dyskach fizycznych w centrum danych. Jeśli ktoś bezpośrednio uzyskuje dostęp do dysku fizycznego, dane będą szyfrowane. Gdy dane są dostępne z dysku, dane są odszyfrowywane i ładowane do pamięci.
Program ADE szyfruje wirtualne dyski twarde (VHD) maszyny wirtualnej. Jeśli dysk VHD jest chroniony za pomocą usługi ADE, obraz dysku jest dostępny tylko przez maszynę wirtualną, która jest właścicielem dysku.
Istnieje możliwość ochrony danych za pomocą obu usług.
Szyfrowanie usługi Storage
SSE to usługa szyfrowania wbudowana w platformę Azure służącą do ochrony danych magazynowanych. Platforma Azure Storage automatycznie szyfruje dane przed zapisaniem ich w kilku usługach magazynu, w tym na platformie Azure Dyski zarządzane. Szyfrowanie jest domyślnie włączone przy użyciu 256-bitowego szyfrowania AES, a administrator konta magazynu zarządza nim.
Funkcja SSE jest włączona dla wszystkich nowych i istniejących kont magazynu i nie można jej wyłączyć. Dane są domyślnie zabezpieczone; Nie musisz modyfikować kodu ani aplikacji, aby korzystać z funkcji SSE.
Funkcja SSE nie ma wpływu na wydajność usług Azure Storage.
Usługa Azure Disk Encryption
Właściciel maszyny wirtualnej zarządza usługą ADE. Steruje ona szyfrowaniem dysków kontrolowanych przez maszyny wirtualne z systemem Windows i Linux przy użyciu funkcji BitLocker na maszynach wirtualnych z systemem Windows i programu DM-Crypt na maszynach wirtualnych z systemem Linux. Szyfrowanie dysków funkcją BitLocker to funkcja ochrony danych, która integruje się z systemem operacyjnym i eliminuje zagrożenia kradzieży lub narażenia danych przed utratą, kradzieżą lub niewłaściwie zlikwidowanymi komputerami. Podobnie program DM-Crypt szyfruje dane magazynowane w systemie Linux przed zapisaniem ich w magazynie.
Usługa ADE gwarantuje, że wszystkie dane na dyskach maszyn wirtualnych są szyfrowane w spoczynku w usłudze Azure Storage. Usługa ADE jest również wymagana dla maszyn wirtualnych mających kopię zapasową w magazynie odzyskiwania.
W przypadku korzystania z usługi ADE maszyny wirtualne są uruchamiane na podstawie kluczy i zasad kontrolowanych przez klienta. Usługa ADE jest zintegrowana z usługą Azure Key Vault w celu zarządzania tymi kluczami i wpisami tajnymi szyfrowania dysków.
Uwaga
Usługa ADE nie obsługuje szyfrowania maszyn wirtualnych w warstwie Podstawowa i nie można używać lokalnej usługa zarządzania kluczami (KMS) z usługą ADE.
Kiedy należy używać szyfrowania
Dane przetwarzane na komputerze są zagrożone podczas transferu (przesyłania ich przez Internet lub w innej sieci) oraz w stanie spoczynku (gdy są zapisane na urządzeniu magazynującym). Scenariusz dotyczący danych magazynowanych jest podstawową kwestią w przypadku ochrony danych na dyskach maszyn wirtualnych platformy Azure. Na przykład ktoś może pobrać plik wirtualnego dysku twardego (VHD) skojarzony z maszyną wirtualną platformy Azure i zapisać go na laptopie. Jeśli dysk VHD nie jest zaszyfrowany, zawartość dysku VHD jest potencjalnie dostępna dla każdego, kto może zainstalować plik VHD na swoim komputerze.
W przypadku dysków systemu operacyjnego (OS) dane, takie jak hasła, są szyfrowane automatycznie, więc nawet jeśli sam dysk VHD nie jest zaszyfrowany, nie jest łatwy do uzyskania dostępu do tych informacji. Aplikacje mogą również automatycznie szyfrować własne dane. Jednak nawet w przypadku takich zabezpieczeń, jeśli ktoś z złośliwą intencją uzyska dostęp do dysku danych, a sam dysk nie jest zaszyfrowany, może być w stanie wykorzystać wszelkie znane słabości w ochronie danych tej aplikacji. W przypadku szyfrowania dysków takie luki nie są możliwe.
Usługa SSE jest częścią samej platformy Azure i nie powinna mieć zauważalnego wpływu na wydajność operacji we/wy dysku maszyny wirtualnej podczas korzystania z funkcji SSE. Dyski zarządzane z funkcją SSE są teraz opcją domyślną, której nie należy zmieniać bez powodu. Program ADE korzysta z narzędzi systemu operacyjnego maszyny wirtualnej BitLocker i DM-Crypt. Dlatego sama maszyna wirtualna musi wykonać pewną pracę, gdy jest wykonywane szyfrowanie lub odszyfrowywanie dysków maszyn wirtualnych. Wpływ tego dodatkowego działania procesora CPU maszyny wirtualnej jest zwykle niewielki, z wyjątkiem niektórych sytuacji. Jeśli na przykład masz aplikację intensywnie korzystającą z procesora CPU, może wystąpić przypadek pozostawienia dysku systemu operacyjnego niezaszyfrowanego w celu zmaksymalizowania wydajności. W takiej sytuacji można przechowywać dane aplikacji na oddzielnym zaszyfrowanym dysku danych, co zapewnia wydajność, której potrzebujesz bez naruszania zabezpieczeń.
Platforma Azure oferuje dwie uzupełniające się technologie szyfrowania, które są używane do zabezpieczania dysków maszyn wirtualnych platformy Azure. Te technologie (SSE i ADE) szyfrują się w różnych warstwach i służą różnym celom. Obie zapewniają 256-bitowe szyfrowanie za pomocą algorytmu AES. Użycie obu tych technologii zapewnia kompleksową ochronę przed nieautoryzowanym dostępem do magazynu na platformie Azure oraz do określonych wirtualnych dysków twardych.