Implementering van data-in-rus-enkripsie in Azure-berging

Implementering van data-in-rus-enkripsie in Azure-berging

03/01/2025

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en konfigurasie van data-enkripsie in rus in Azure Storage. Die beskerming van gestoorde data is 'n fundamentele veiligheidsmaatreël. Azure Storage bied by verstek sterk enkripsie met Microsoft Managed Keys (MMK), en laat die gebruik van Customer Managed Keys (CMK) deur Azure Key Vault toe vir groter beheer [1].

Inleiding

Enkripsie van data in rus verseker dat gestoorde data teen ongemagtigde toegang beskerm word. In Azure is alle data in Azure Storage by verstek geïnkripteer [2]. Vir organisasies met streng voldoeningsvereistes is die gebruik van CMK noodsaaklik aangesien dit volle beheer oor die lewensiklus van enkripsiesleutels (skepping, rotasie en herroeping) verleen.

Hierdie gids sal die konfigurasie van beide enkripsiemodelle dek, met die fokus op die implementering en validering van klantbestuurde sleutels.

Waarom is data-in-rus-enkripsie van kardinale belang?

  • Beskerming teen ongemagtigde toegang: Verseker dat data onleesbaar is sonder die dekripsiesleutel.
  • Regulatoriese nakoming: Help om aan regulasies soos LGPD, GDPR, HIPAA, ens.
  • Sleutelbeheer: Met CMK behou organisasies volle beheer oor enkripsiesleutels.

Voorvereistes

  1. Active Azure-intekening.
  2. Administratiewe toegang: Toestemmings om bergingsrekeninge en sleutelkluise te bestuur.
  3. Bestaande Azure-bergingsrekening (StorageV2 verkieslik).
  4. Azure Key Vault om CMK's te stoor.

Stap vir stap: konfigurasie van enkripsie

1. Enkripsie met Microsoft-bestuurde sleutels (verstek)

Dit is die verstek en outomatiese instelling. Om te kontroleer:

  1. Navigeer na jou Stoorrekening in die Azure-portaal.
  2. Onder Sekuriteit + Netwerk, kies Enkripsie.
  3. Bevestig dat die verstek Enkripsietipe Microsoft Managed Keys is.

2. Implementering van kriptografie met klantbestuurde sleutels (CMK)

2.1. Skep 'n Azure Key Vault en sleutel

  1. Skep 'n nuwe Azure Key Vault. Belangrik: aktiveer Purge Protection tydens skepping.
  2. Binne Sleutelkluis, navigeer na Sleutels en klik Genereer/Import om 'n nuwe sleutel te skep (bv.: berging-cmk-sleutel).

2.2. Stel bergingrekeningtoegang op

  1. Gaan na jou bergingrekening.
  2. Gaan na Enkripsie en verander die Enkripsietipe na Klantbestuurde sleutels.
  3. Kies die opsie om 'n sleutel van Key Vault te gebruik. Wanneer jy dit doen, sal Azure jou vra om 'n bestuurde identiteit vir die bergingsrekening te skep. Laat toe.
  4. Gaan nou terug na jou Sleutelkluis en gaan na Toegangsbeleide.
  5. Skep 'n nuwe toegangsbeleid. Gee die Kry, Wrap sleutel en Unwrap Key sleuteltoestemmings.
  6. In die Sekuriteitskoolhoof-stap, soek en kies die bestuurde identiteit vir jou bergingsrekening.
  7. Stoor die toegangsbeleid.

2.3. Stel die bergingrekening op om CMK te gebruik

  1. Keer terug na die Enkripsie-bladsy vir jou bergingsrekening.
  2. Kies die Sleutelkluis en die sleutel wat jy geskep het.
  3. Stoor veranderinge. Van nou af sal alle data wat in die rekening aangeteken is, met jou sleutel geënkripteer word.

Bekragtiging en toetsing

1. Toets datatoegang

Nadat u die CMK gekonfigureer het, laai en laai 'n lêer af. Die operasie moet deursigtig wees.

# Laai 'n toetslêer
az stoor blob oplaai --rekeningnaam <storage_account> -c <houer> -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

# Laai die toetslêer af
az stoor blob aflaai --rekeningnaam <berging_rekening> -c <houer> -n "test.txt" -f "plaaslik/pad/na/afgelaai.txt" --auth-mode login

2. Toets sleuteltoegangherroeping

Dit is die mees kritieke toets vir CMK.

  1. Navigeer in jou Sleutelkluis na die sleutel wat gebruik word.
  2. Klik op die huidige sleutelweergawe en verander die Geaktiveer instelling na Nee.
  3. Wag 'n paar minute.
  4. Probeer om toegang tot die data in jou stoorrekening te verkry (probeer bv. om die blob weer af te laai).
  5. Verwagte resultaat: Die bewerking behoort misluk met 'n toegang geweier-fout (403 Forbidden), wat bewys dat jy volle beheer oor datatoegang het.
  6. Moenie vergeet om die sleutel weer te aktiveer nie om toegang te herstel.

Sleutelrotasie

Sleutelrotasie is 'n noodsaaklike sekuriteitspraktyk. Met CMK het jy twee opsies:

  • Handmatige rotasie: Skep 'n nuwe weergawe van die sleutel in Sleutelkluis en werk die enkripsiekonfigurasie in die bergingsrekening op om na die nuwe weergawe te wys.
  • AutoRotation: Wanneer die CMK op die stoorrekening gekonfigureer word, moenie 'n sleutelweergawe spesifiseer nie. Die bergingsrekening sal Sleutelkluis gereeld nagaan en outomaties die nuutste weergawe van die sleutel gebruik [3].

Beste praktyke

  • Aktiveer veebeskerming en sagte uitvee in jou sleutelkluis om jou sleutels te beskerm teen toevallige of kwaadwillige uitvee.
  • Gebruik Bestuurde Identiteite om die bergingsrekening toegang te gee tot Sleutelkluis. Dit is veiliger as om ander metodes te gebruik.
  • Monitor Sleutelkluis-aktiwiteit: Gebruik Sleutelkluis-diagnostiese logs om te oudit wie toegang tot jou sleutels het en wanneer.
  • Vereis Veilige Oordrag (HTTPS): Wanneer jy jou bergingsrekening opstel, vereis altyd veilige oordrag om data tydens vervoer te enkripteer.

Gevolgtrekking

Die enkripteer van data in rus in Azure Storage is 'n fundamentele laag van verdediging. Terwyl Microsoft-bestuurde sleutels by verstek sekuriteit verskaf met geen moeite nie, bied klantbestuurde sleutels (CMK) die vlak van beheer en versekering wat deur baie organisasies vereis word om aan streng sekuriteit- en voldoeningsvereistes te voldoen. Deur CMK-implementering en -bestuur te bemeester, verseker jy dat jou data beskerm en onder jou beheer bly.

Verwysings

[1] Microsoft. (2023). Oorsig van Azure Storage-enkripsie. [2] Microsoft. (2023). Azure Storage Service-enkripsie vir data in rus. [3] Microsoft. (2023). Klantbestuurde sleutels vir Azure Storage-enkripsie.