Dela via

Datasäkerhet och kryptering i Azure Data Manager for Energy

  • Artikel

Den här artikeln innehåller en översikt över säkerhetsfunktioner i Azure Data Manager for Energy. Den omfattar de viktigaste områdena kryptering i vila, kryptering under överföring, TLS, https, microsoft-hanterade nycklar och kundhanterad nyckel.

Kryptera data i vila

Azure Data Manager for Energy använder flera lagringsresurser för att lagra metadata, användardata, minnesintern data osv. Plattformen använder kryptering på tjänstsidan för att automatiskt kryptera alla data när de sparas i molnet. Vilande datakryptering skyddar dina data för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Alla data i Azure Data Manager for Energy krypteras som standard med Microsoft-hanterade nycklar. Förutom Microsoft-hanterad nyckel kan du använda din egen krypteringsnyckel för att skydda data i Azure Data Manager for Energy. När du anger en kundhanterad nyckel används den nyckeln för att skydda och kontrollera åtkomsten till den Microsoft-hanterade nyckel som krypterar dina data.

Kryptera data under överföring

Azure Data Manager for Energy stöder TLS 1.2-protokoll (Transport Layer Security) för att skydda data när de färdas mellan molntjänsterna och kunderna. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av manipulering, avlyssning och förfalskning), interoperabilitet och flexibilitet för algoritmer.

Förutom TLS sker alla transaktioner via HTTPS när du interagerar med Azure Data Manager for Energy.

Konfigurera kundhanterade nycklar (CMK) för Azure Data Manager för Energy-instans

Viktigt!

Du kan inte redigera CMK-inställningar när Azure Data Manager for Energy-instansen har skapats.

Förutsättningar

Steg 1: Konfigurera nyckelvalvet

  1. Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?

  2. Att använda kundhanterade nycklar med Azure Data Manager for Energy kräver att både skydd mot mjuk borttagning och rensning aktiveras för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats.

  3. Information om hur du skapar ett nyckelvalv med Azure Portal finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure Portal. När du skapar nyckelvalvet väljer du Aktivera rensningsskydd.

    Skärmbild av aktivering av rensningsskydd och mjuk borttagning när du skapar nyckelvalv

  4. Följ dessa steg för att aktivera rensningsskydd i ett befintligt nyckelvalv:

    1. Gå till nyckelvalvet i Azure Portal.
    2. Under Inställningar väljer du Egenskaper.
    3. I avsnittet rensningsskydd väljer du Aktivera rensningsskydd.

Steg 2: Lägg till en nyckel

  1. Lägg sedan till en nyckel i nyckelvalvet.
  2. Information om hur du lägger till en nyckel med Azure Portal finns i Snabbstart: Ange och hämta en nyckel från Azure Key Vault med hjälp av Azure Portal.
  3. Vi rekommenderar att RSA-nyckelstorleken är 3072, se Konfigurera kundhanterade nycklar för ditt Azure Cosmos DB-konto | Microsoft Learn.

Steg 3: Välj en hanterad identitet för att auktorisera åtkomst till nyckelvalvet

  1. När du aktiverar kundhanterade nycklar för en befintlig Azure Data Manager for Energy-instans måste du ange en hanterad identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Den hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet.
  2. Du kan skapa en användartilldelad hanterad identitet.

Konfigurera kundhanterade nycklar för ett befintligt konto

  1. Skapa en Azure Data Manager för Energy-instans .
  2. Välj fliken Kryptering .

Skärmbild av fliken Kryptering när du skapar Azure Data Manager for Energy.

  1. På fliken kryptering väljer du Kundhanterade nycklar (CMK).

  2. För att använda CMK måste du välja det nyckelvalv där nyckeln lagras.

  3. Välj Krypteringsnyckel som "Välj ett nyckelvalv och nyckel".

  4. Välj sedan "Välj ett nyckelvalv och en nyckel".

  5. Välj sedan nyckelvalvet och nyckeln.

    Skärmbild som visar val av prenumeration, nyckelvalv och nyckel i det högra fönstret som öppnas när du har valt

  6. Välj sedan den användartilldelade hanterade identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln.

  7. Välj "Välj en användaridentitet". Välj den användartilldelade hanterade identiteten som du skapade i förhandskraven.

Skärmbild av nyckelvalv, nyckel, användartilldelad identitet och CMK på krypteringsfliken

  1. Den här användartilldelade identiteten måste ha behörigheter för nyckel, listnyckel, omslutningsnyckel och avskrivningsnyckel i nyckelvalvet. Mer information om hur du tilldelar Åtkomstprinciper för Azure Key Vault finns i Tilldela en åtkomstprincip för Key Vault.

    Skärmbild av åtkomstprincipen get, list, wrap och upwrap

  2. Du kan också välja Krypteringsnyckel som "Ange nyckel från URI". Det är obligatoriskt att nyckeln har mjukt borttagnings- och rensningsskydd som ska aktiveras. Du måste bekräfta det genom att markera rutan nedan.

    Skärmbild av key vault-URI för kryptering

  3. Välj sedan "Granska+skapa" när du har slutfört andra flikar.

  4. Välj knappen "Skapa".

  5. En Azure Data Manager for Energy-instans skapas med kundhanterade nycklar.

  6. När CMK har aktiverats visas dess status på skärmen Översikt .

    Skärmbild av CMK aktiverat på översiktssidan för Azure Data Manager för energi.

  7. Du kan navigera till Kryptering och se att CMK är aktiverat med användarhanterad identitet.

    Skärmbild av CMK-inställningar inaktiverade när Azure Data Manager for Energy-instansen har installerats.

Nästa steg

Om du vill veta mer om privata länkar.

Så här konfigurerar du privata länkar