Azure स्टोरेज में रेस्ट एन्क्रिप्शन पर डेटा लागू करना

Azure स्टोरेज में रेस्ट एन्क्रिप्शन पर डेटा लागू करना

03/01/2025

इस तकनीकी और शैक्षिक लेख का उद्देश्य सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों को एज़्योर स्टोरेज में डेटा एन्क्रिप्शन को लागू करने और कॉन्फ़िगर करने में मार्गदर्शन करना है। संग्रहीत डेटा की सुरक्षा करना एक मौलिक सुरक्षा उपाय है। Azure स्टोरेज Microsoft प्रबंधित कुंजी (MMK) के साथ डिफ़ॉल्ट रूप से मजबूत एन्क्रिप्शन प्रदान करता है, और अधिक नियंत्रण के लिए Azure कुंजी वॉल्ट के माध्यम से ग्राहक प्रबंधित कुंजी (CMK) के उपयोग की अनुमति देता है [1]।

परिचय

आराम पर डेटा का एन्क्रिप्शन यह सुनिश्चित करता है कि संग्रहीत डेटा अनधिकृत पहुंच से सुरक्षित है। Azure में, Azure स्टोरेज का सारा डेटा डिफ़ॉल्ट रूप से एन्क्रिप्ट किया गया है [2]। सख्त अनुपालन आवश्यकताओं वाले संगठनों के लिए, सीएमके का उपयोग करना आवश्यक है क्योंकि यह एन्क्रिप्शन कुंजी (निर्माण, रोटेशन और निरस्तीकरण) के जीवनचक्र पर पूर्ण नियंत्रण प्रदान करता है।

यह मार्गदर्शिका ग्राहक-प्रबंधित कुंजियों को लागू करने और मान्य करने पर ध्यान देने के साथ, दोनों एन्क्रिप्शन मॉडल के कॉन्फ़िगरेशन को कवर करेगी।

डेटा एट रेस्ट एन्क्रिप्शन क्यों महत्वपूर्ण है?

  • अनधिकृत पहुंच के विरुद्ध सुरक्षा: यह सुनिश्चित करता है कि डिक्रिप्शन कुंजी के बिना डेटा अपठनीय है।
  • नियामक अनुपालन*: एलजीपीडी, जीडीपीआर, एचआईपीएए, आदि जैसे नियमों को पूरा करने में मदद करता है।
  • कुंजी नियंत्रण: सीएमके के साथ, संगठन एन्क्रिप्शन कुंजी पर पूर्ण नियंत्रण बनाए रखते हैं।

पूर्वावश्यकताएँ

  1. सक्रिय Azure सदस्यता
  2. प्रशासनिक पहुंच: भंडारण खातों और कुंजी वॉल्टों को प्रबंधित करने की अनुमति।
  3. मौजूदा एज़्योर स्टोरेज खाता (स्टोरेजV2 पसंदीदा)।
  4. सीएमके को स्टोर करने के लिए एज़्योर की वॉल्ट

चरण दर चरण: एन्क्रिप्शन कॉन्फ़िगर करना

1. माइक्रोसॉफ्ट प्रबंधित कुंजी के साथ एन्क्रिप्शन (डिफ़ॉल्ट)

यह डिफ़ॉल्ट और स्वचालित सेटिंग है. जाँच करने के लिए:

  1. Azure पोर्टल में अपने स्टोरेज खाते पर जाएँ।
  2. सुरक्षा + नेटवर्क के अंतर्गत, एन्क्रिप्शन चुनें।
  3. पुष्टि करें कि डिफ़ॉल्ट 'एन्क्रिप्शन प्रकार' 'Microsoft प्रबंधित कुंजी' है।

2. ग्राहक प्रबंधित कुंजी (सीएमके) के साथ क्रिप्टोग्राफी लागू करना

2.1. एक Azure कुंजी वॉल्ट और कुंजी बनाएं

  1. एक नया Azure कुंजी वॉल्ट बनाएं। महत्वपूर्ण: निर्माण के दौरान पर्ज प्रोटेक्शन सक्षम करें।
  2. की वॉल्ट के अंदर, की पर जाएं और एक नई कुंजी बनाने के लिए जेनरेट/इम्पोर्ट पर क्लिक करें (उदा: स्टोरेज-सीएमके-की)।

2.2. संग्रहण खाता एक्सेस कॉन्फ़िगर करें

  1. अपने भंडारण खाते पर जाएँ।
  2. एन्क्रिप्शन पर जाएं और एन्क्रिप्शन प्रकार को ग्राहक प्रबंधित कुंजी में बदलें।
  3. की ​​वॉल्ट से कुंजी का उपयोग करने का विकल्प चुनें। जब आप ऐसा करते हैं, तो Azure आपको स्टोरेज खाते के लिए प्रबंधित पहचान बनाने के लिए संकेत देगा। अनुमति दें।
  4. अब, अपने की वॉल्ट पर वापस जाएं और एक्सेस पॉलिसीज पर जाएं।
  5. एक नई पहुंच नीति बनाएं. प्राप्त करें, रैप कुंजी, और अनरैप कुंजी कुंजी अनुमतियाँ प्रदान करें।
  6. 'सुरक्षा प्रिंसिपल' चरण में, अपने भंडारण खाते के लिए प्रबंधित पहचान खोजें और चुनें।
  7. एक्सेस नीति सहेजें.

2.3. सीएमके का उपयोग करने के लिए संग्रहण खाते को कॉन्फ़िगर करें

  1. अपने भंडारण खाते के लिए एन्क्रिप्शन पृष्ठ पर वापस लौटें।
  2. कुंजी वॉल्ट और आपके द्वारा बनाई गई कुंजी का चयन करें।
  3. परिवर्तन सहेजें. अब से, खाते में दर्ज सभी डेटा आपकी कुंजी से एन्क्रिप्ट किया जाएगा।

सत्यापन और परीक्षण

1. डेटा एक्सेस का परीक्षण

सीएमके को कॉन्फ़िगर करने के बाद, एक फ़ाइल अपलोड और डाउनलोड करें। कार्रवाई पारदर्शी होनी चाहिए.

```बैश

एक परीक्षण फ़ाइल लोड करें

एज़ स्टोरेज ब्लॉब अपलोड --अकाउंट-नाम <स्टोरेज_अकाउंट> -सी <कंटेनर> -एन "टेस्ट.txt" -f "लोकल/पाथ/टू/टेस्ट.txt" --ऑथ-मोड लॉगिन

परीक्षण फ़ाइल डाउनलोड करें

एज़ स्टोरेज ब्लॉब डाउनलोड --अकाउंट-नाम <स्टोरेज_अकाउंट> -सी <कंटेनर> -एन "टेस्ट.txt" -f "लोकल/पाथ/टू/डाउनलोडेड.txt" --ऑथ-मोड लॉगिन ```

2. कुंजी पहुंच निरसन का परीक्षण

सीएमके के लिए यह सबसे महत्वपूर्ण परीक्षा है।

  1. अपने की वॉल्ट में, उपयोग की जा रही कुंजी पर जाएँ।
  2. वर्तमान कुंजी संस्करण पर क्लिक करें और सक्षम सेटिंग को नहीं में बदलें।
  3. कुछ मिनट रुकें.
  4. अपने संग्रहण खाते में डेटा तक पहुंचने का प्रयास करें (उदाहरण के लिए ब्लॉब को दोबारा डाउनलोड करने का प्रयास करें)।
  5. अपेक्षित परिणाम: एक्सेस अस्वीकृत त्रुटि (403 फ़ोर्ब) के साथ ऑपरेशन विफल हो जाना चाहिएiden), यह साबित करता है कि डेटा एक्सेस पर आपका पूर्ण नियंत्रण है।
  6. पहुँच बहाल करने के लिए कुंजी को पुनः सक्षम करना न भूलें

कुंजी घुमाव

कुंजी घुमाना एक आवश्यक सुरक्षा अभ्यास है। सीएमके के साथ, आपके पास दो विकल्प हैं:

  • मैन्युअल रोटेशन: की वॉल्ट में कुंजी का एक नया संस्करण बनाएं और नए संस्करण को इंगित करने के लिए स्टोरेज खाते में एन्क्रिप्शन कॉन्फ़िगरेशन को अपडेट करें।
  • ऑटोरोटेशन: स्टोरेज खाते पर सीएमके को कॉन्फ़िगर करते समय, एक कुंजी संस्करण निर्दिष्ट न करें। भंडारण खाता समय-समय पर कुंजी वॉल्ट की जांच करेगा और स्वचालित रूप से कुंजी के नवीनतम संस्करण का उपयोग करेगा [3]।

सर्वोत्तम प्रथाएँ

  • अपनी चाबियों को आकस्मिक या दुर्भावनापूर्ण विलोपन से बचाने के लिए अपने कुंजी वॉल्ट में वाइप प्रोटेक्शन और सॉफ्ट डिलीशन सक्षम करें
  • भंडारण खाते को कुंजी वॉल्ट तक पहुंचने की अनुमति देने के लिए प्रबंधित पहचान का उपयोग करें*। यह अन्य तरीकों का उपयोग करने से अधिक सुरक्षित है।
  • की वॉल्ट गतिविधि की निगरानी करें: आपकी चाबियों तक कौन और कब पहुंच रहा है, इसका ऑडिट करने के लिए की वॉल्ट डायग्नोस्टिक लॉग का उपयोग करें।
  • सुरक्षित स्थानांतरण (HTTPS) की आवश्यकता है: अपना भंडारण खाता सेट करते समय, ट्रांज़िट में डेटा को एन्क्रिप्ट करने के लिए हमेशा सुरक्षित स्थानांतरण की आवश्यकता होती है।

निष्कर्ष

Azure स्टोरेज में आराम से डेटा एन्क्रिप्ट करना सुरक्षा की एक मूलभूत परत है। जबकि Microsoft-प्रबंधित कुंजियाँ शून्य प्रयास के साथ डिफ़ॉल्ट रूप से सुरक्षा प्रदान करती हैं, ग्राहक-प्रबंधित कुंजियाँ (CMK) कठोर सुरक्षा और अनुपालन आवश्यकताओं को पूरा करने के लिए कई संगठनों द्वारा आवश्यक नियंत्रण और आश्वासन का स्तर प्रदान करती हैं। सीएमके कार्यान्वयन और प्रबंधन में महारत हासिल करके, आप सुनिश्चित करते हैं कि आपका डेटा सुरक्षित और आपके नियंत्रण में रहे।

सन्दर्भ

[1] माइक्रोसॉफ्ट। (2023)। एज़्योर स्टोरेज एन्क्रिप्शन का अवलोकन। [2] माइक्रोसॉफ्ट। (2023)। विश्राम पर डेटा के लिए Azure संग्रहण सेवा एन्क्रिप्शन। [3] माइक्रोसॉफ्ट। (2023)। एज़्योर स्टोरेज एन्क्रिप्शन के लिए ग्राहक-प्रबंधित कुंजियाँ