Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat een overzicht van hoe versleuteling wordt gebruikt in Microsoft Azure. Het behandelt de belangrijkste gebieden van versleuteling, waaronder versleuteling in rust, versleuteling in vlucht en sleutelbeheer met Azure Key Vault.
Versleuteling van gegevens in rust
Data-at-rest bevat informatie die zich in permanente opslag op fysieke media bevindt, in elke digitale indeling. Microsoft Azure biedt diverse oplossingen voor gegevensopslag om te voldoen aan verschillende behoeften, waaronder bestands-, schijf-, blob- en tabelopslag. Microsoft biedt ook versleuteling om Azure SQL Database, Azure Cosmos DB en Azure Data Lake te beveiligen.
U kunt AES 256-versleuteling gebruiken om data-at-rest te beveiligen voor services in de SaaS-cloudmodellen (Software as a Service), Platform as a Service (PaaS) en IaaS-cloudmodellen (Infrastructure as a Service).
Zie Azure Data Encryption-at-rest voor een gedetailleerdere bespreking van hoe Azure data-at-rest versleutelt.
Azure-versleutelingsmodellen
ondersteuning voor Azure verschillende versleutelingsmodellen, waaronder versleuteling aan de serverzijde die gebruikmaakt van door de service beheerde sleutels, door de klant beheerde sleutels in Key Vault of door de klant beheerde sleutels op door de klant beheerde hardware. Met versleuteling aan de clientzijde kunt u sleutels on-premises of op een andere veilige locatie beheren en opslaan.
Versleuteling aan de kant van de client
U voert versleuteling aan de clientzijde uit buiten Azure. Deze bevat:
- Gegevens die zijn versleuteld door een toepassing die wordt uitgevoerd in uw datacenter of door een servicetoepassing
- Gegevens die al zijn versleuteld wanneer Azure deze ontvangt
Door versleuteling aan de clientzijde te gebruiken, hebben cloudserviceproviders geen toegang tot de versleutelingssleutels en kunnen deze gegevens niet ontsleutelen. U behoudt volledige controle over de sleutels.
Versleuteling aan de kant van de server
De drie versleutelingsmodellen aan de serverzijde bieden verschillende kenmerken voor sleutelbeheer:
- Door de service beheerde sleutels: biedt een combinatie van controle en gemak met lage overhead.
- Door de klant beheerde sleutels: geeft u controle over de sleutels, waaronder BYOK-ondersteuning (Bring Your Own Keys) of kunt u nieuwe sleutels genereren.
- Door de service beheerde sleutels in door de klant beheerde hardware: hiermee kunt u sleutels beheren in uw eigen opslagplaats, buiten Microsoft-beheer (ook wel Host Your Own Key of HYOK genoemd).
Azure Disk Encryption
Belangrijk
Azure Disk Encryption is gepland voor buitengebruikstelling op 15 september 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.
Gebruik versleuteling op de host voor nieuwe VM's. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host voor meer informatie.
Alle beheerde schijven, momentopnamen en installatiekopieën worden standaard versleuteld met behulp van Storage Service Encryption met een door de service beheerde sleutel. Voor virtuele machines biedt versleuteling op host end-to-end-versleuteling voor uw VM-gegevens, waaronder tijdelijke schijven en caches van besturingssysteem/gegevensschijven. Azure biedt ook opties voor het beheren van sleutels in Azure Key Vault. Zie Overzicht van versleutelingsopties voor beheerde schijven voor meer informatie.
Azure Storage Service-versleuteling
U kunt gegevens in rust versleutelen in Azure Blob Storage en Azure-bestandsshares voor server- en clientzijde-scenario's.
Met Azure Storage Service Encryption (SSE) worden gegevens automatisch versleuteld voordat ze worden opgeslagen en worden de gegevens automatisch ontsleuteld wanneer u deze ophaalt. Storage Service Encryption maakt gebruik van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn.
Azure SQL Database-versleuteling
Azure SQL Database is een relationele databaseservice voor algemeen gebruik die ondersteuning biedt voor structuren zoals relationele gegevens, JSON, ruimtelijk en XML. SQL Database ondersteunt zowel versleuteling aan de serverzijde via de functie Transparent Data Encryption (TDE) als versleuteling aan de clientzijde via de functie Always Encrypted.
Transparante gegevensversleuteling
TDE versleutelt SQL Server-, Azure SQL Database- en Azure Synapse Analytics-gegevensbestanden in realtime met behulp van een Database Encryption Key (DEK). TDE is standaard ingeschakeld voor nieuw gemaakte Azure SQL-databases.
Altijd versleuteld
Met de functie Always Encrypted in Azure SQL kunt u gegevens in clienttoepassingen versleutelen voordat u deze opslaat in Azure SQL Database. U kunt delegering van on-premises databasebeheer aan derden inschakelen, terwijl u ervoor zorgt dat er een scheiding blijft bestaan tussen degenen die eigenaar zijn van en toegang hebben tot de gegevens, en degenen die verantwoordelijk zijn voor het beheer ervan.
Versleuteling op cel- of kolomniveau
Met Azure SQL Database kunt u symmetrische versleuteling toepassen op een kolom met gegevens met behulp van Transact-SQL. Deze benadering wordt versleuteling op celniveau of versleuteling op kolomniveau genoemd, omdat u deze kunt gebruiken om specifieke kolommen of cellen met verschillende versleutelingssleutels te versleutelen. Deze benadering biedt u meer gedetailleerde versleutelingsmogelijkheden dan TDE.
Azure Cosmos DB-databaseversleuteling
Azure Cosmos DB is de wereldwijd gedistribueerde database met meerdere modellen van Microsoft. Gebruikersgegevens die zijn opgeslagen in Azure Cosmos DB in niet-vluchtige opslag (solid-state drives) worden standaard versleuteld met behulp van door de service beheerde sleutels. U kunt een tweede versleutelingslaag met uw eigen sleutels toevoegen met behulp van de cmk-functie (door de klant beheerde sleutels ).
Versleuteling van gegevens in rust in Azure Data Lake
Azure Data Lake is een opslagplaats voor het hele bedrijf van elk type gegevens dat op één plaats wordt verzameld voordat een formele definitie van vereisten of schema's wordt gedefinieerd. Data Lake Store biedt ondersteuning voor transparante versleuteling van data in rust, dat standaard is ingeschakeld en wordt ingesteld bij het aanmaken van uw account. Azure Data Lake Store beheert standaard de sleutels voor u, maar u kunt ervoor kiezen om ze zelf te beheren.
Er worden drie typen sleutels gebruikt voor het versleutelen en ontsleutelen van gegevens: DEK (Master Encryption Key), Data Encryption Key (DEK) en BeK (Block Encryption Key). De MEK versleutelt de DEK, die is opgeslagen op permanente media, en de BEK wordt afgeleid van de DEK en het gegevensblok. Als u uw eigen sleutels beheert, kunt u de MEK draaien.
Versleuteling van gegevens in transit
Azure biedt veel mechanismen voor het privé houden van gegevens wanneer deze van de ene locatie naar de andere worden verplaatst.
Gegevenskoppelingslaagversleuteling
Wanneer azure-klantverkeer wordt verplaatst tussen datacenters , buiten fysieke grenzen die niet worden beheerd door Microsoft, wordt een versleutelingsmethode voor gegevenskoppelingen met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) toegepast vanaf punt-naar-punt over de onderliggende netwerkhardware. De apparaten versleutelen de pakketten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Verkeer van Azure binnen een regio of tussen regio's.
TLS-versleuteling
Microsoft biedt klanten de mogelijkheid om het TLS-protocol (Transport Layer Security) te gebruiken om gegevens te beveiligen wanneer ze reizen tussen cloudservices en klanten. Microsoft-datacenters onderhandelen over een TLS-verbinding met clientsystemen die verbinding maken met Azure-services. TLS biedt sterke verificatie, berichtprivacy en integriteit.
Belangrijk
Azure gaat over naar tls 1.2 of hoger voor alle verbindingen met Azure-services. De meeste Azure-services hebben deze overgang met 31 augustus 2025 voltooid. Zorg ervoor dat uw toepassingen TLS 1.2 of hoger gebruiken.
Perfect Forward Secrecy (PFS) beschermt verbindingen tussen clientsystemen van klanten en Microsoft-cloudservices met unieke sleutels. Verbindingen ondersteunen op RSA gebaseerde 2048-bits sleutellengten, ECC 256-bits sleutellengten, SHA-384-berichtverificatie en AES-256-gegevensversleuteling.
Azure Storage-transacties
Wanneer u via Azure Portal met Azure Storage communiceert, vinden alle transacties plaats via HTTPS. U kunt de Storage REST API ook via HTTPS gebruiken om te communiceren met Azure Storage. U kunt het gebruik van HTTPS afdwingen wanneer u de REST API's aanroept door de vereiste voor veilige overdracht voor het opslagaccount in te schakelen.
Shared Access Signatures (SAS) die u kunt gebruiken om toegang tot Azure Storage-objecten te delegeren, bevat een optie om op te geven dat alleen het HTTPS-protocol kan worden gebruikt.
SMB-versleuteling
SMB 3.0, gebruikt voor toegang tot Azure Files-shares, ondersteunt versleuteling en is beschikbaar in Windows Server 2012 R2, Windows 8, Windows 8.1 en Windows 10. Het biedt ondersteuning voor toegang in meerdere regio's en toegang op het bureaublad.
VPN-versleuteling
U kunt verbinding maken met Azure via een virtueel particulier netwerk dat een beveiligde tunnel maakt om de privacy van de gegevens die via het netwerk worden verzonden te beschermen.
Azure VPN Gateways
Azure VPN-gateway verzendt versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie via een openbare verbinding of tussen virtuele netwerken. Site-naar-site-VPN's gebruiken IPsec voor transportversleuteling.
Punt-naar-site-VPN's
Punt-naar-site VPN's bieden afzonderlijke clientcomputers toegang tot een virtueel Azure-netwerk. Het Secure Socket Tunneling Protocol (SSTP) maakt de VPN-tunnel. Zie Een punt-naar-site-verbinding met een virtueel netwerk configureren voor meer informatie.
Site-naar-site-VPN's
Een site-naar-site-VPN-gatewayverbinding verbindt uw on-premises netwerk met een virtueel Azure-netwerk via een IPsec-/IKE VPN-tunnel. Zie Een site-naar-site-verbinding maken voor meer informatie.
Sleutelbeheer met Key Vault
Zonder de juiste beveiliging en beheer van sleutels is versleuteling nutteloos. Azure biedt verschillende oplossingen voor sleutelbeheer, waaronder Azure Key Vault, Beheerde HSM van Azure Key Vault, Azure Cloud HSM en Azure Payment HSM.
Key Vault verwijdert de noodzaak om hardwarebeveiligingsmodules (HSM's) en sleutelbeheersoftware te configureren, patchen en onderhouden. Door Key Vault te gebruiken, behoudt u de controle. Microsoft ziet uw sleutels nooit en toepassingen hebben geen directe toegang tot deze sleutels. U kunt ook sleutels importeren of genereren in HSM's.
Zie Sleutelbeheer in Azure voor meer informatie over sleutelbeheer in Azure.