Implementace šifrování dat v klidu v Azure Storage

Implementace šifrování dat v klidu v Azure Storage

03/01/2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a konfiguraci šifrování dat v klidu v Azure Storage. Ochrana uložených dat je základním bezpečnostním opatřením. Azure Storage nabízí ve výchozím nastavení silné šifrování pomocí Microsoft Managed Keys (MMK) a umožňuje použití Customer Managed Keys (CMK) prostřednictvím Azure Key Vault pro lepší kontrolu [1].

Úvod

Šifrování uložených dat zajišťuje ochranu uložených dat před neoprávněným přístupem. V Azure jsou všechna data v Azure Storage ve výchozím nastavení šifrována [2]. Pro organizace s přísnými požadavky na shodu je použití CMK zásadní, protože poskytuje plnou kontrolu nad životním cyklem šifrovacích klíčů (vytváření, rotace a odvolání).

Tato příručka pokryje konfiguraci obou modelů šifrování se zaměřením na implementaci a ověřování klíčů spravovaných zákazníkem.

Proč je šifrování dat v klidu klíčové?

  • Ochrana proti neoprávněnému přístupu: Zajišťuje, že data jsou nečitelná bez dešifrovacího klíče.
  • Soulad s předpisy: Pomáhá splnit nařízení, jako je LGPD, GDPR, HIPAA atd.
  • Kontrola klíčů: S CMK si organizace udržují plnou kontrolu nad šifrovacími klíči.

Předpoklady

  1. Aktivní předplatné Azure.
  2. Administrativní přístup: Oprávnění ke správě účtů úložiště a trezorů klíčů.
  3. Stávající účet Azure Storage (preferováno úložiště V2).
  4. Azure Key Vault pro ukládání CMK.

Krok za krokem: Konfigurace šifrování

1. Šifrování pomocí Microsoft Managed Keys (výchozí)

Toto je výchozí a automatické nastavení. Kontrola:

  1. Přejděte na svůj Účet úložiště na Azure Portal.
  2. V části „Zabezpečení + síť“ vyberte Šifrování.
  3. Potvrďte, že výchozí Typ šifrování je Microsoft Managed Keys.

2. Implementace kryptografie pomocí klíčů spravovaných zákazníkem (CMK)

2.1. Vytvořte Azure Key Vault a klíč

  1. Vytvořte nový Azure Key Vault. Důležité: během vytváření povolte Ochranu vymazání.
  2. V Key Vault přejděte na Klíče a kliknutím na Generovat/Importovat vytvořte nový klíč (např. storage-cmk-key).

2.2. Konfigurace přístupu k účtu úložiště

  1. Přejděte na svůj Účet úložiště.
  2. Přejděte na Šifrování a změňte „Typ šifrování“ na „Klíče spravované zákazníkem“.
  3. Vyberte možnost použití klíče z Key Vault. Když to uděláte, Azure vás vyzve k vytvoření spravované identity pro účet úložiště. Povolit.
  4. Nyní se vraťte do Key Vault a přejděte na Zásady přístupu.
  5. Vytvořte novou politiku přístupu. Udělte klíčům Get, Wrap Key a Unwrap Key klíčová oprávnění.
  6. V kroku Security Principal vyhledejte a vyberte spravovanou identitu pro svůj účet úložiště.
  7. Uložte zásady přístupu.

2.3. Nakonfigurujte účet úložiště pro použití CMK

  1. Vraťte se na stránku Šifrování svého účtu úložiště.
  2. Vyberte Key Vault a klíč, který jste vytvořili.
  3. Uložte změny. Od této chvíle budou všechna data zaznamenaná na účtu šifrována vaším klíčem.

Validace a testování

1. Testování přístupu k datům

Po konfiguraci CMK nahrajte a stáhněte soubor. Operace musí být transparentní.

# Načtěte testovací soubor
az storage BLOB upload --account-name <účet_úložiště> -c <kontejner> -n "test.txt" -f "místní/cesta/k/test.txt" --auth-mode přihlášení

# Stáhněte si testovací soubor
az storage blob download --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login

2. Testování odvolání přístupu ke klíči

Toto je nejkritičtější test pro CMK.

  1. Ve svém Sejfu klíčů přejděte na používaný klíč.
  2. Klikněte na aktuální verzi klíče a změňte nastavení Povoleno na Ne.
  3. Počkejte několik minut.
  4. Zkuste získat přístup k datům ve vašem účtu úložiště (např. zkuste znovu stáhnout objekt blob).
  5. Očekávaný výsledek: Operace by měla selhat s chybou odepřený přístup (403 Forbidden), čímž prokážete, že máte plnou kontrolu nad přístupem k datům.
  6. Nezapomeňte znovu povolit klíč pro obnovení přístupu.

Rotace kláves

Střídání klíčů je základní bezpečnostní praxí. S CMK máte dvě možnosti:

  • Ruční otočení: Vytvořte novou verzi klíče v Key Vault a aktualizujte konfiguraci šifrování v účtu úložiště tak, aby ukazovala na novou verzi.
  • AutoRotation: Při konfiguraci CMK na účtu úložiště nezadávejte verzi klíče. Účet úložiště bude pravidelně kontrolovat Key Vault a automaticky používat nejnovější verzi klíče [3].

Nejlepší postupy

  • Povolte ve svém trezoru klíčů Wipe Protection a Soft Delete, abyste ochránili své klíče před náhodným nebo úmyslným smazáním.
  • Pomocí Managed Identities povolte účtu úložiště přístup k Key Vault. Je to bezpečnější než použití jiných metod.
  • Sledování aktivity Key Vault: Použijte diagnostické protokoly Key Vault k auditu, kdo a kdy přistupuje k vašim klíčům.
  • Vyžadovat zabezpečený přenos (HTTPS): Při nastavování účtu úložiště vždy požadujte bezpečný přenos pro šifrování dat při přenosu.

Závěr

Šifrování dat v klidu v Azure Storage je základní vrstvou obrany. Zatímco klíče spravované společností Microsoft poskytují zabezpečení ve výchozím nastavení s nulovým úsilím, klíče spravované zákazníkem (CMK) poskytují úroveň kontroly a zajištění, kterou mnoho organizací vyžaduje ke splnění přísných požadavků na zabezpečení a shodu. Zvládnutím implementace a správy CMK zajistíte, že vaše data zůstanou chráněna a pod vaší kontrolou.

Reference

[1] Microsoft. (2023). Přehled šifrování Azure Storage. [2] Microsoft. (2023). Šifrování služby Azure Storage pro data v klidu. [3] Microsoft. (2023). Klíče spravované zákazníkem pro šifrování Azure Storage.