Krypteringsalternativ för att skydda virtuella Windows- och Linux-datorer
Anta att företagets handelspartner har säkerhetsprinciper som kräver att deras handelsdata skyddas med stark kryptering. Du använder ett B2B-program som körs på dina Windows-servrar och lagrar data på serverdatadisken. Nu när du övergår till molnet måste du visa för dina handelspartner att obehöriga användare, enheter eller program inte kan komma åt data som lagras på dina virtuella Azure-datorer. Du måste välja en strategi för kryptering av dina B2B-data.
Dina granskningskrav kräver att dina krypteringsnycklar hanteras lokalt och inte av tredje part. Du vill också se till att prestanda och hanterbarhet för dina Azure-baserade servrar bibehålls. Så innan du implementerar kryptering vill du vara säker på att det inte kommer att bli någon prestandaträff.
Vad är kryptering?
Kryptering handlar om att omvandla meningsfull information till något som verkar meningslöst, till exempel en slumpmässig sekvens med bokstäver och siffror. I krypteringsprocessen används någon form av nyckel som ett led i algoritmen som skapar krypterade data. En nyckel krävs också för att utföra dekrypteringen. Nycklar kan vara symmetriska, där samma nyckel används för kryptering och dekryptering, eller asymmetrisk, där olika nycklar används. Ett exempel på det senare är de offentliga/privata nyckelpar som används för digitala certifikat.
Symmetrisk kryptering
Algoritmer som använder symmetriska nycklar, till exempel Advanced Encryption Standard (AES), är vanligtvis snabbare än algoritmer med offentliga nycklar och används ofta för att skydda stora datalager. Eftersom det finns bara en nyckel måste det finnas procedurer för att skydda nyckeln från att komma ut till allmänheten.
Asymmetrisk kryptering
Med asymmetriska algoritmer måste endast den privata nyckelmedlemmen i paret hållas privat och säker. Som namnet antyder kan den offentliga nyckeln göras tillgänglig för vem som helst utan att äventyra krypterade data. Nackdelen med algoritmer med offentlig nyckel är dock att de är långsammare än symmetriska algoritmer och inte kan användas för att kryptera stora mängder data.
Nyckelhantering
I Azure kan Microsoft eller kunden hantera dina krypteringsnycklar. Ofta kommer efterfrågan på kundhanterade nycklar från organisationer som behöver demonstrera efterlevnad med HIPAA eller andra regler. Sådan efterlevnad kan kräva att åtkomst till nycklar loggas och att regelbundna nyckeländringar görs och registreras.
Diskkrypteringstekniker för Azure
De viktigaste krypteringsbaserade diskskyddsteknikerna för virtuella Azure-datorer är:
- Azure Storage Service Encryption (SSE)
- Azure Disk Encryption (ADE)
Handelshögskolan utförs på de fysiska diskarna i datacentret. Om någon hade direkt åtkomst till den fysiska disken skulle data krypteras. När data nås från disken dekrypteras och läses data in i minnet.
ADE krypterar den virtuella datorns virtuella hårddiskar (VHD). Om en virtuell hårddisk skyddas med ADE är diskbilden endast tillgänglig för den virtuella dator som äger disken.
Det går att använda båda tjänsterna för att skydda dina data.
Kryptering för lagringstjänst
SSE är en krypteringstjänst som är inbyggd i Azure och som används för att skydda vilande data. Azure Storage-plattformen krypterar automatiskt data innan de lagras till flera lagringstjänster, inklusive Azure Managed Disks. Kryptering är aktiverat som standard med 256-bitars AES-kryptering och administratören för lagringskontot hanterar den.
SSE är aktiverat för alla nya och befintliga lagringskonton och kan inte inaktiveras. Dina data skyddas som standard. du behöver inte ändra din kod eller dina program för att dra nytta av SSE.
Handelshögskolan påverkar inte prestandan för Azure Storage-tjänster.
Azure Disk Encryption
Den virtuella datorns ägare hanterar ADE. ADE styr kryptering av VM-kontrollerade diskar med Windows och Linux med hjälp av BitLocker på virtuella Windows-datorer och DM-Crypt på virtuella Linux-datorer. BitLocker-diskkryptering är en dataskyddsfunktion som integreras med operativsystemet och hanterar hot om datastöld eller exponering från förlorade, stulna eller felaktigt inaktiverade datorer. På liknande sätt krypterar DM-Crypt vilande data för Linux innan de skrivs till lagring.
ADE säkerställer att alla data på virtuella datordiskar krypteras i vila i Azure-lagringen, och ADE krävs för virtuella datorer som säkerhetskopieras till Recovery-valvet.
När du använder ADE startar virtuella datorer under kundkontrollerade nycklar och principer. ADE är integrerat med Azure Key Vault för att hantera dessa diskkrypteringsnycklar och hemligheter.
Kommentar
ADE stöder inte kryptering av virtuella datorer på Basic-nivå och du kan inte använda en lokal nyckelhanteringstjänst (KMS) (KMS) med ADE.
När kryptering ska användas
Data utsätts för risk i rörelse (vid överföring över Internet eller ett annat nätverk) och när de är i vila (sparade på en lagringsenhet). Data i vila är det viktigaste när du skyddar data på diskar för virtuella Azure-datorer. Någon kan till exempel ladda ned VHD-filen (Virtual Hard Disk) som är associerad med en virtuell Azure-dator och spara den på sin bärbara dator. Om den virtuella hårddisken inte är krypterad är innehållet i den virtuella hårddisken potentiellt tillgängligt för alla som kan montera VHD-filen på sin dator.
För operativsystemdiskar krypteras data som lösenord automatiskt, så även om själva den virtuella hårddisken inte är krypterad är det inte lätt att komma åt den informationen. Program kan också automatiskt kryptera sina egna data. Men även med sådana skydd, om någon med skadlig avsikt får åtkomst till en datadisk och själva disken inte är krypterad, kan de kanske utnyttja alla kända svagheter i programmets dataskydd. Med diskkryptering på plats är sådana kryphål inte möjliga.
SSE är en del av Själva Azure och det bör inte ha någon märkbar prestandapåverkan på I/O för den virtuella datorn när du använder SSE. Hanterade diskar med SSE nu är standard och det bör inte finnas någon anledning att ändra den standardinställningen. ADE använder de virtuella datoroperativsystemverktygen BitLocker och DM-Crypt. Den virtuella datorn måste därför utföra en del arbete när kryptering eller dekryptering på virtuella datordiskar utförs. Effekten av den här extra CPU-aktiviteten för virtuella datorer är vanligtvis försumbar, förutom i vissa situationer. Om du till exempel har ett processorintensivt program kan det vara bra att lämna OS-disken okrypterad för att maximera prestandan. I det här fallet kan du lagra programdata på en separat krypterad datadisk, vilket ger dig de prestanda du behöver utan att äventyra säkerheten.
Azure tillhandahåller två kompletterande krypteringstekniker som används för att skydda Virtuella Azure-diskar. Dessa tekniker (SSE och ADE) krypteras i olika lager och har olika syften. Båda använder AES-256-bitarskryptering. Genom användning av båda teknikerna får du ett djupgående skydd mot obehörig åtkomst till din Azure-lagring och specifika virtuella hårddiskar.