Безопасность и шифрование данных в Azure Data Manager для энергетики

В этой статье представлен обзор функций безопасности в Azure Data Manager для энергетики. Он охватывает основные области шифрования неактивных данных, шифрование при передаче, TLS, https, управляемых корпорацией Майкрософт ключей и управляемый клиентом ключ.

Шифрование неактивных данных

Azure Data Manager для энергетики использует несколько ресурсов хранилища для хранения метаданных, пользовательских данных, данных в памяти и т. д. Платформа использует шифрование на стороне службы для автоматического шифрования всех данных при сохранении в облаке. Шифрование неактивных данных защищает данные, чтобы обеспечить соответствие требованиям организации по обеспечению безопасности и соответствия требованиям. Все данные в Azure Data Manager для энергетики шифруются с помощью ключей, управляемых корпорацией Майкрософт, по умолчанию. Помимо ключа, управляемого корпорацией Майкрософт, вы можете использовать собственный ключ шифрования для защиты данных в Azure Data Manager для энергетики. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления доступом к управляемому корпорацией Майкрософт ключу, который шифрует данные.

Шифрование передаваемых данных

Azure Data Manager для энергетики поддерживает протокол TLS 1.2 для защиты данных при перемещении между облачными службами и клиентами. TLS обеспечивает надежную проверку подлинности, конфиденциальность сообщений и целостность (включение обнаружения изменений сообщений, перехвата и подделки), взаимодействия и гибкости алгоритма.

Помимо TLS, при взаимодействии с Azure Data Manager для энергетики все транзакции происходят по протоколу HTTPS.

Настройка управляемых клиентом ключей (CMK) для экземпляра Azure Data Manager для энергии

Внимание

Невозможно изменить параметры CMK после создания экземпляра Azure Data Manager для энергетики.

Необходимые компоненты

Шаг 1. Настройка хранилища ключей

1. Для хранения ключей, управляемых клиентом, можно использовать новое или существующее хранилище ключей. Дополнительные сведения о Azure Key Vault см. в статье "Обзор Azure Key Vault" и "Что такое Azure Key Vault?"

2. Использование ключей, управляемых клиентом, с помощью Azure Data Manager для энергетики требует включения обратимого удаления и защиты очистки для хранилища ключей. Обратимое удаление активируется по умолчанию при создании хранилища ключей, отключить его нельзя. Защиту от очистки можно включить при создании хранилища ключей или позднее.

3. О том, как создать хранилище ключей с помощью портала Azure см. в этом кратком руководстве. При создании хранилища ключей выберите включить защиту от очистки.

   

4. Чтобы включить защиту от очистки в существующем хранилище ключей, выполните следующие действия.

   1. Откройте хранилище ключей на портале Azure.
   2. В разделе Параметры выберите Свойства.
   3. В разделе защиты от очистки нажмите кнопку "Включить защиту очистки".

Шаг 2. Добавление ключа

1. Далее добавьте ключ в хранилище ключей.
2. О том, как добавить ключ с помощью портала Azure, см. в статье Краткое руководство. Настройка и получение ключа из Azure Key Vault с помощью портала Azure.
3. Рекомендуется, чтобы размер ключа RSA составил 3072, см. статью "Настройка ключей, управляемых клиентом" для учетной записи Azure Cosmos DB | Microsoft Learn.

Шаг 3. Выбор управляемого удостоверения для авторизации доступа к хранилищу ключей

1. При включении ключей, управляемых клиентом, для существующего экземпляра Azure Data Manager для энергии необходимо указать управляемое удостоверение, которое будет использоваться для авторизации доступа к хранилищу ключей, содержащему ключ. Управляемое удостоверение должно иметь разрешения на доступ к ключу в хранилище ключей.
2. Вы можете создать управляемое удостоверение, назначаемое пользователем.

Настройка ключей, управляемых клиентом, для существующей учетной записи

1. Создайте экземпляр Azure Data Manager для энергетики.
2. Перейдите на вкладку "Шифрование ".

3. На вкладке шифрования выберите ключи, управляемые клиентом (CMK).

4. Для использования CMK необходимо выбрать хранилище ключей, в котором хранится ключ.

5. Выберите ключ шифрования как "Выбрать хранилище ключей и ключ".

6. Затем выберите "Выбрать хранилище ключей и ключ".

7. Затем выберите хранилище ключей и ключ.

   

8. Затем выберите управляемое удостоверение, назначаемое пользователем, которое будет использоваться для авторизации доступа к хранилищу ключей, содержащего ключ.

9. Выберите "Выбрать удостоверение пользователя". Выберите управляемое удостоверение, назначаемое пользователем, которое вы создали в предварительных требованиях.

10. Это удостоверение, назначаемое пользователем, должно иметь ключ, ключ списка, ключ оболочки и разрешения на отмену ключа в хранилище ключей. Дополнительные сведения о назначении политик доступа к Azure Key Vault см. в статье "Назначение политики доступа к Key Vault".

    

11. Вы также можете выбрать ключ шифрования как "Ввод ключа из URI". Для ключа необходимо включить обратимое удаление и защиту очистки. Необходимо подтвердить это, установив флажок, показанный ниже.

    

12. Затем нажмите кнопку "Просмотр и создание" после завершения других вкладок.

13. Нажмите кнопку "Создать".

14. Экземпляр Azure Data Manager для энергетики создается с помощью ключей, управляемых клиентом.

15. После включения CMK вы увидите его состояние на экране обзора .

    

16. Вы можете перейти к шифрованию и увидеть, что CMK включен с помощью управляемого удостоверения пользователя.

    

Следующие шаги

Дополнительные сведения о Приватный канал.

Настройка приватных ссылок