Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Azure bevat hulpprogramma's voor het beveiligen van gegevens volgens de beveiligings- en nalevingsbehoeften van uw bedrijf. Dit artikel is gericht op:
- Hoe gegevens in rust worden beveiligd in Microsoft Azure.
- De verschillende onderdelen die deelnemen aan de implementatie van gegevensbescherming.
- De voor- en nadelen van verschillende benaderingen voor sleutelbeheerbeveiliging.
Versleuteling bij opslag is een algemene beveiligingsvereiste. In Azure worden gegevens standaard versleuteld met behulp van door het platform beheerde sleutels. Deze aanpak biedt organisaties automatische versleuteling zonder het risico of de kosten van een aangepaste oplossing voor sleutelbeheer. Organisaties kunnen vertrouwen op Azure om versleuteling in rust volledig te beheren met behulp van door het platform beheerde sleutels, of ze kunnen door de klant beheerde sleutels gebruiken wanneer ze extra controle nodig hebben over versleutelingssleutels en sleutelbeheerbeleid.
Wat is versleuteling-at-rest?
Versleuteling is de veilige codering van gegevens die worden gebruikt om de vertrouwelijkheid van gegevens te beschermen. De encryptie-at-rest-ontwerpen in Azure gebruiken symmetrische encryptie om grote hoeveelheden gegevens snel te versleutelen en ontsleutelen volgens een eenvoudig conceptueel model.
- Met een symmetrische versleutelingssleutel worden gegevens versleuteld terwijl deze naar de opslag worden geschreven.
- Met dezelfde versleutelingssleutel worden die gegevens ontsleuteld wanneer ze in het geheugen worden klaargemaakt voor gebruik.
- Gegevens kunnen worden gepartitioneerd en voor elke partitie kunnen verschillende sleutels worden gebruikt.
- Sleutels moeten worden opgeslagen op een veilige locatie met op identiteit gebaseerd toegangsbeheer en controlebeleid. Als gegevensversleutelingssleutels buiten beveiligde locaties worden opgeslagen, worden ze versleuteld met behulp van een sleutelversleutelingssleutel die op een veilige locatie wordt bewaard.
In de praktijk vereisen belangrijke beheer- en controlescenario's, evenals schaal- en beschikbaarheidsgaranties, aanvullende constructies. In de volgende secties worden concepten en onderdelen van Microsoft Azure-versleuteling at rest beschreven.
Doel van versleuteling in rust
Met versleuteling in rusttoestand worden opgeslagen gegevens beschermd. Aanvallen op gegevens in rust omvatten pogingen om fysieke toegang te krijgen tot de hardware waarop de gegevens zijn opgeslagen en vervolgens de gegevens in gevaar te brengen. Bij een dergelijke aanval kan de harde schijf van een server verkeerd worden verwerkt tijdens onderhoud, waardoor een aanvaller de harde schijf kan verwijderen. De aanvaller plaatst later de harde schijf in een computer onder zijn controle om te proberen toegang te krijgen tot de gegevens.
Versleuteling in rusttoestand wordt ontworpen om te voorkomen dat een aanvaller toegang krijgt tot de niet-versleutelde gegevens door ervoor te zorgen dat de gegevens versleuteld worden wanneer ze zich op de schijf bevinden. Als een aanvaller een harde schijf met versleutelde gegevens verkrijgt, maar niet de versleutelingssleutels, moet de aanvaller de versleuteling verslaan om de gegevens te lezen. Deze aanval is veel complexer en verbruikt resources dan het openen van niet-versleutelde gegevens op een harde schijf. Daarom wordt gegevensversleuteling tijdens opslag ten zeerste aanbevolen en is het een vereiste met hoge prioriteit voor veel organisaties.
De behoefte van een organisatie aan gegevensbeheer en naleving kan ook vereisen dat de gegevens in rust worden versleuteld. Branche- en overheidsvoorschriften, zoals HIPAA, PCI en FedRAMP, bieden specifieke waarborgen met betrekking tot gegevensbescherming en versleutelingsvereisten. Versleuteling in rust is een verplichte maatregel die vereist is voor naleving van sommige van deze regelgevingen. Voor meer informatie over de aanpak van Microsoft voor FIPS 140-2-validatie, zie Federal Information Processing Standard (FIPS) Publicatie 140-2.
Naast nalevings- en regelgevingsvereisten biedt versleuteling in rust diepgaande beveiliging. Microsoft Azure biedt een compatibel platform voor services, toepassingen en gegevens. Het biedt ook uitgebreide faciliteit en fysieke beveiliging, toegangsbeheer voor gegevens en controle. Het is echter belangrijk om aanvullende 'overlappende' beveiligingsmaatregelen te bieden als een van de andere beveiligingsmaatregelen mislukt. Versleuteling in rust zorgt voor een dergelijke beveiligingsmaatregel.
Microsoft streeft naar versleuteling-at-rest-opties voor cloudservices en geeft klanten controle over versleutelingssleutels en logboeken van sleutelgebruik. Daarnaast werkt Microsoft standaard aan het versleutelen van alle klantgegevens in rust.
Opties voor sleutelbeheer
Azure biedt twee primaire benaderingen voor het beheren van versleutelingssleutels:
Door platform beheerde sleutels (standaard) ( ook wel door de service beheerde sleutels genoemd): Azure verwerkt automatisch alle aspecten van het beheer van versleutelingssleutels, waaronder sleutelgeneratie, opslag, rotatie en back-up. Deze benadering biedt encryptie in rust zonder dat er configuratie van klanten vereist is en is standaard ingeschakeld in Azure-services. Door platform beheerde sleutels bieden het hoogste gemaksniveau en vereisen geen extra kosten- of beheeroverhead.
Door de klant beheerde sleutels (optioneel):klanten die meer controle over hun versleutelingssleutels nodig hebben, kunnen ervoor kiezen om hun eigen sleutels te beheren met behulp van Azure Key Vault of Azure Managed HSM. Met deze aanpak kunnen klanten de levenscyclus van sleutels, toegangsbeleid en cryptografische bewerkingen beheren. Door de klant beheerde sleutels bieden extra controle ten koste van verhoogde beheerverantwoordelijkheid en complexiteit.
De keuze tussen deze benaderingen is afhankelijk van de beveiligingsvereisten, nalevingsbehoeften en operationele voorkeuren van uw organisatie. De meeste organisaties kunnen vertrouwen op door het platform beheerde sleutels voor robuuste versleutelingsbeveiliging, terwijl organisaties met specifieke wettelijke of beveiligingsvereisten voor door de klant beheerde sleutels kunnen kiezen.
Azure-onderdelen voor versleuteling bij rust
Zoals eerder beschreven, is het doel van versleuteling in rust dat gegevens die op schijf worden bewaard, worden versleuteld met een geheime versleutelingssleutel. Om dat doel te bereiken, moeten beveiligde sleutel maken, opslag, toegangsbeheer en beheer van de versleutelingssleutels worden opgegeven. Hoewel de details kunnen variëren, kunnen de versleuteling op rust van Azure-services worden beschreven zoals geïllustreerd in het volgende diagram.
Azure Key Vault
De opslaglocatie van de versleutelingssleutels en het toegangsbeheer voor deze sleutels is centraal in een versleuteling-at-rest-model. U moet de sleutels zeer beveiligen, maar ze beheerbaar maken door opgegeven gebruikers en beschikbaar maken voor specifieke services. Azure Key Vault is voor Azure-services de aanbevolen oplossing voor sleutelopslag en biedt een algemene beheerervaring voor alle services. U kunt sleutels opslaan en beheren in sleutelkluizen en u kunt gebruikers of services toegang geven tot een sleutelkluis. Azure Key Vault ondersteunt het maken van sleutels of het importeren van klantsleutels voor gebruik in door de klant beheerde versleutelingssleutelscenario's.
Microsoft Entra-id
U kunt Microsoft Entra-accounts machtigen om de sleutels te gebruiken die zijn opgeslagen in Azure Key Vault, om ze te beheren of om ze te openen voor Versleuteling at Rest-versleuteling en ontsleuteling.
Envelopversleuteling met een sleutelhiërarchie
U gebruikt meer dan één versleutelingssleutel in een versleuteling-at-rest-implementatie. Het opslaan van een versleutelingssleutel in Azure Key Vault zorgt voor veilige toegang tot sleutels en centraal beheer van sleutels. Lokale toegang tot versleutelingssleutels is echter efficiënter voor bulkversleuteling en ontsleuteling dan interactie met Key Vault voor elke gegevensbewerking, waardoor sterkere versleuteling en betere prestaties mogelijk zijn. Het beperken van het gebruik van één versleutelingssleutel vermindert het risico dat de sleutel wordt aangetast en de kosten van herversleuteling wanneer een sleutel moet worden vervangen. Azure encryptie-at-rest-modellen gebruiken envelopencryptie, waarbij een encryptiesleutel een gegevenssleutel versleutelt. Dit model vormt een sleutelhiërarchie die beter kan voldoen aan de prestatie- en beveiligingsvereisten:
- Data Encryption Key (DEK): een symmetrische AES256-sleutel die wordt gebruikt voor het versleutelen van een partitie of blok gegevens, ook wel een gegevenssleutel genoemd. Eén resource kan veel partities en veel gegevensversleutelingssleutels bevatten. Het versleutelen van elk gegevensblok met een andere sleutel maakt cryptoanalyseaanvallen moeilijker. Door DEK's lokaal te houden voor de service voor het versleutelen en ontsleutelen van gegevens, worden de prestaties gemaximaliseerd.
- Sleutelversleutelingssleutel (KEK): een versleutelingssleutel die wordt gebruikt om de gegevensversleutelingssleutels te versleutelen met behulp van envelopversleuteling, ook wel wrapping genoemd. Door een sleutelversleutelingssleutel te gebruiken die key vault nooit verlaat, kunt u de versleutelingssleutels voor gegevens versleutelen en beheren. De entiteit die toegang heeft tot de KEK kan afwijken van de entiteit waarvoor de DEK is vereist. Een entiteit kan brokertoegang tot de DEK verlenen om de toegang van elke DEK tot een specifieke partitie te beperken. Omdat de KEK nodig is om de DEKs te ontsleutelen, kunnen klanten cryptografisch DEKs en gegevens wissen door de KEK uit te schakelen.
Resourceproviders en toepassingsexemplaren slaan de versleutelde gegevensversleutelingssleutels op als metagegevens. Alleen een entiteit met toegang tot de sleutelversleutelingssleutel kan deze gegevensversleutelingssleutels ontsleutelen. Verschillende modellen van sleutelopslag worden ondersteund. Zie gegevensversleutelingsmodellen voor meer informatie.
Versleuteling in rust in Microsoft-clouddiensten
U gebruikt Microsoft Cloud-services in alle drie de cloudmodellen: IaaS, PaaS en SaaS. In de volgende voorbeelden ziet u hoe ze in elk model passen:
- Softwareservices, ook wel Software as a Service of SaaS genoemd, die toepassingen hebben die door de cloud worden geleverd, zoals Microsoft 365.
- Platformservices waarin klanten de cloud gebruiken voor zaken zoals opslag, analyse en servicebusfunctionaliteit in hun toepassingen.
- Infrastructuurservices of IaaS (Infrastructure as a Service) waarin de klant besturingssystemen en toepassingen implementeert die worden gehost in de cloud en mogelijk gebruikmaakt van andere cloudservices.
Versleuteling in rust voor SaaS-klanten
SaaS-klanten (Software as a Service) hebben doorgaans versleuteling-at-rest ingeschakeld of beschikbaar in elke service. Microsoft 365 heeft verschillende opties voor klanten om versleuteling-at-rest te verifiëren of in te schakelen. Zie Versleuteling in Microsoft 365 voor meer informatie over Microsoft 365-services.
Versleuteling-at-rest voor PaaS-klanten
PaaS-klanten (Platform as a Service) slaan doorgaans hun gegevens op in een opslagservice, zoals Blob Storage. De gegevens kunnen echter ook in de cache worden opgeslagen of opgeslagen in de uitvoeringsomgeving van de toepassing, zoals een virtuele machine. Als u de beschikbare versleutelingsopties voor at-rest wilt bekijken, bekijkt u de gegevensversleutelingsmodellen voor de opslag- en toepassingsplatforms die u gebruikt.
Versleuteling in rust voor IaaS-klanten
IaaS-klanten (Infrastructure as a Service) kunnen verschillende services en toepassingen gebruiken. IaaS-services kunnen versleuteling-at-rest inschakelen in hun door Azure gehoste virtuele machines met behulp van versleuteling op de host.
Versleutelde opslag
Net als PaaS kunnen IaaS-oplossingen gebruikmaken van andere Azure-services die versleutelde at-rest gegevens opslaan. In deze gevallen kunt u de ondersteuning voor versleuteling-at-rest inschakelen, zoals wordt geleverd door elke verbruikte Azure-service. De gegevensversleutelingsmodellen inventariseren de belangrijkste opslag-, services- en toepassingsplatforms en het model van versleuteling-at-rest dat wordt ondersteund.
Versleutelde rekenkracht
Alle beheerde schijven, momentopnamen en installatiekopieën worden standaard versleuteld met behulp van Storage Service Encryption met door het platform beheerde sleutels. Deze standaardversleuteling vereist geen klantconfiguratie of extra kosten. Een uitgebreidere versleutelingsoplossing zorgt ervoor dat alle gegevens nooit in niet-versleutelde vorm worden bewaard. Tijdens het verwerken van gegevens op een virtuele machine kan het systeem gegevens opslaan in het Windows-paginabestand of linux-wisselbestand, een crashdump of een toepassingslogboek. Om ervoor te zorgen dat deze gegevens ook at-rest worden versleuteld, kunnen IaaS-toepassingen versleuteling op de host gebruiken op een virtuele Azure IaaS-machine, die standaard door het platform beheerde sleutels gebruikt, maar optioneel kunnen worden geconfigureerd met door de klant beheerde sleutels voor extra controle.
Aangepaste versleuteling-at-rest
Waar mogelijk moeten IaaS-toepassingen gebruikmaken van versleuteling op host- en versleutelings-at-rest-opties die worden geleverd door verbruikte Azure-services. In sommige gevallen, zoals onregelmatige versleutelingsvereisten of niet-Azure-opslag, moet een ontwikkelaar van een IaaS-toepassing mogelijk zelf versleuteling in rust implementeren. Ontwikkelaars van IaaS-oplossingen kunnen beter integreren met Azure-beheer en de verwachtingen van klanten door gebruik te maken van bepaalde Azure-onderdelen. Ontwikkelaars moeten met name de Azure Key Vault-service gebruiken om beveiligde sleutelopslag te bieden en hun klanten sleutelbeheeropties te bieden die consistent zijn met die van Azure-platformservices. Daarnaast moeten aangepaste oplossingen gebruikmaken van door Azure beheerde service-identiteiten om serviceaccounts toegang te geven tot versleutelingssleutels. Zie de respectieve SDK's voor ontwikkelaarsinformatie over Azure Key Vault en Managed Service Identities.
Ondersteuning voor versleutelingsmodellen van Azure-resourceproviders
Microsoft Azure Services ondersteunen elk een of meer van de versleutelings-at-rest-modellen. Voor sommige services is een of meer versleutelingsmodellen mogelijk niet van toepassing. Voor services die door de klant beheerde sleutelscenario's ondersteunen, ondersteunen ze mogelijk slechts een subset van de sleuteltypen die door Azure Key Vault worden ondersteund voor sleutelversleutelingssleutels. Daarnaast kunnen services op verschillende momenten ondersteuning aanbieden voor deze scenario's en belangrijke typen. In deze sectie wordt de ondersteuning voor versleuteling-at-rest beschreven op het moment van schrijven voor elk van de belangrijkste Azure-gegevensopslagservices.
Azure VM-schijfversleuteling
Elke klant die functies van Infrastructure as a Service (IaaS) gebruikt, kan hun VM-schijven van IaaS in rusttoestand versleutelen door middel van versleuteling op de host. Zie Versleuteling op host - End-to-end-versleuteling voor uw VIRTUELE machine voor meer informatie.
Azure Storage
Alle Azure Storage-services (Blob Storage, Queue Storage, Table Storage en Azure Files) ondersteunen versleuteling aan serverzijde at rest en sommige services ondersteunen bovendien versleuteling aan de clientzijde.
- Serverzijde (standaard):alle Azure Storage-services schakelen standaard versleuteling aan de serverzijde in met behulp van door platform beheerde sleutels. Deze versleuteling is transparant voor de toepassing en vereist geen configuratie. Voor meer informatie, zie Azure Storage Service Encryption voor gegevens die in rust zijn. Klanten kunnen er eventueel voor kiezen om door de klant beheerde sleutels in Azure Key Vault te gebruiken voor extra controle. Zie Storage Service Encryption met behulp van door de klant beheerde sleutels in Azure Key Vault voor meer informatie.
- Clientzijde (optioneel): Azure Blobs, Tabellen en Wachtrijen ondersteunen versleuteling aan de clientzijde voor klanten die gegevens moeten versleutelen voordat ze Azure bereiken. Bij het gebruik van versleuteling aan de clientzijde versleutelen klanten de gegevens en uploaden ze de gegevens als een versleutelde blob. Sleutelbeheer wordt uitgevoerd door de klant. Zie Versleuteling aan clientzijde en Azure Key Vault voor Microsoft Azure Storage voor meer informatie.
Azure SQL-database
Azure SQL Database ondersteunt momenteel versleuteling in rusttoestand voor scenario's van platformbeheer door diensten en versleuteling aan de clientzijde.
Ondersteuning voor serverversleuteling wordt momenteel geboden via de SQL-functie Transparent Data Encryption. Zodra een Azure SQL Database-klant TDE inschakelt, worden er automatisch sleutels gemaakt en beheerd. U kunt versleuteling-at-rest inschakelen op database- en serverniveau. Vanaf juni 2017 is Transparent Data Encryption (TDE) standaard ingeschakeld voor nieuw gemaakte databases. Azure SQL Database ondersteunt door de klant beheerde RSA 2048-bits sleutels in Azure Key Vault. Zie Transparent Data Encryption met Bring Your Own Key-ondersteuning voor Azure SQL Database en Data Warehouse voor meer informatie.
Versleuteling aan de clientzijde van Azure SQL Database-gegevens wordt ondersteund via de functie Always Encrypted . Always Encrypted maakt gebruik van een sleutel die door de client wordt gemaakt en opgeslagen. Klanten kunnen de hoofdsleutel opslaan in een Windows-certificaatarchief, Azure Key Vault of een lokale hardwarebeveiligingsmodule. Met BEHULP van SQL Server Management Studio kiezen SQL-gebruikers welke sleutel ze willen gebruiken om welke kolom te versleutelen.
Conclusie
De bescherming van klantgegevens die zijn opgeslagen in Azure Services is van cruciaal belang voor Microsoft. Alle gehoste Azure-services streven ernaar om versleuteling-at-rest-opties te bieden. Azure-services ondersteunen door platform beheerde sleutels, door de klant beheerde sleutels of versleuteling aan de clientzijde. Azure-services verbeteren in grote lijnen de beschikbaarheid van versleuteling in rust en nieuwe opties zijn gepland voor preview en algemene beschikbaarheid in de komende maanden.
Volgende stappen
- Zie gegevensversleutelingsmodellen voor meer informatie over door het platform beheerde sleutels en door de klant beheerde sleutels.
- Meer informatie over hoe Azure dubbele versleuteling gebruikt om bedreigingen te beperken die worden geleverd met het versleutelen van gegevens.
- Ontdek wat Microsoft doet om de platformintegriteit en beveiliging van hosts te garanderen die de hardware- en firmware-build-out, integratie, operationalisatie en reparatiepijplijnen doorkruisen.