Implementatie van Data at Rest Encryptie in Azure Storage

Implementatie van Data at Rest Encryptie in Azure Storage

01/03/2025

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en configureren van gegevensversleuteling in rust in Azure Storage. Het beschermen van opgeslagen gegevens is een fundamentele beveiligingsmaatregel. Azure Storage biedt standaard sterke versleuteling met Microsoft Managed Keys (MMK) en maakt het gebruik van door de klant beheerde sleutels (CMK) mogelijk via Azure Key Vault voor meer controle [1].

Introductie

Versleuteling van gegevens in rust zorgt ervoor dat opgeslagen gegevens worden beschermd tegen ongeoorloofde toegang. In Azure worden alle gegevens in Azure Storage standaard versleuteld [2]. Voor organisaties met strikte compliance-eisen is het gebruik van CMK essentieel omdat het volledige controle geeft over de levenscyclus van encryptiesleutels (aanmaak, rotatie en intrekking).

Deze handleiding behandelt de configuratie van beide versleutelingsmodellen, met de nadruk op het implementeren en valideren van door de klant beheerde sleutels.

Waarom is versleuteling van gegevens in rust cruciaal?

  • Bescherming tegen ongeoorloofde toegang: Zorgt ervoor dat gegevens onleesbaar zijn zonder de decoderingssleutel.
  • Naleving van regelgeving: Helpt te voldoen aan regelgeving zoals LGPD, AVG, HIPAA, enz.
  • Sleutelbeheer: Met CMK behouden organisaties de volledige controle over coderingssleutels.

Vereisten

  1. Actief Azure-abonnement.
  2. Beheerderstoegang: machtigingen voor het beheren van opslagaccounts en sleutelkluizen.
  3. Bestaand Azure Storage-account (bij voorkeur StorageV2).
  4. Azure Key Vault om CMK's op te slaan.

Stap voor stap: codering configureren

1. Versleuteling met door Microsoft beheerde sleutels (standaard)

Dit is de standaard en automatische instelling. Om te controleren:

  1. Navigeer naar uw Opslagaccount in de Azure-portal.
  2. Selecteer onder Beveiliging + Netwerk Codering.
  3. Bevestig dat het standaard 'Encryptietype' 'Microsoft Managed Keys' is.

2. Cryptografie implementeren met door de klant beheerde sleutels (CMK)

2.1. Maak een Azure Key Vault en sleutel

  1. Maak een nieuwe Azure Key Vault. Belangrijk: schakel Purge Protection in tijdens het maken.
  2. Navigeer in Key Vault naar Sleutels en klik op Genereren/importeren om een ​​nieuwe sleutel te maken (bijvoorbeeld: storage-cmk-key).

2.2. Toegang tot opslagaccount configureren

  1. Navigeer naar uw Opslagaccount.
  2. Ga naar Versleuteling en wijzig het Versleutelingstype in Door de klant beheerde sleutels.
  3. Selecteer de optie om een ​​sleutel uit Key Vault te gebruiken. Wanneer u dit doet, wordt u door Azure gevraagd een beheerde identiteit te maken voor het opslagaccount. Toestaan.
  4. Ga nu terug naar uw Key Vault en ga naar Toegangsbeleid.
  5. Maak een nieuw toegangsbeleid. Verleen de sleutelrechten 'Get', 'Wrap Key' en 'Unwrap Key'.
  6. Zoek en selecteer in de stap 'Security Principal' de beheerde identiteit voor uw opslagaccount.
  7. Sla het toegangsbeleid op.

2.3. Configureer het opslagaccount om CMK te gebruiken

  1. Ga terug naar de pagina Versleuteling voor uw opslagaccount.
  2. Selecteer de Key Vault en de sleutel die u hebt gemaakt.
  3. Wijzigingen opslaan. Vanaf nu worden alle gegevens die in het account zijn vastgelegd, gecodeerd met uw sleutel.

Validatie en testen

1. Gegevenstoegang testen

Na het configureren van de CMK kunt u een bestand uploaden en downloaden. De operatie moet transparant zijn.

# Laad een testbestand
az storage blob upload --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

# Download het testbestand
az storage blob download --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login

2. Intrekking van sleuteltoegang testen

Dit is de meest kritische test voor CMK.

  1. Navigeer in uw Key Vault naar de sleutel die u gebruikt.
  2. Klik op de huidige sleutelversie en wijzig de instelling Ingeschakeld in Nee.
  3. Wacht een paar minuten.
  4. Probeer toegang te krijgen tot de gegevens in uw opslagaccount (probeer bijvoorbeeld de blob opnieuw te downloaden).
  5. Verwacht resultaat: de bewerking zou moeten mislukken met een fout voor toegang geweigerd (403 Forbidden), wat bewijst dat u volledige controle heeft over de gegevenstoegang.
  6. Vergeet niet de sleutel opnieuw in te schakelen om de toegang te herstellen.

Sleutelrotatie

Sleutelroulatie is een essentiële beveiligingspraktijk. Met CMK heeft u twee opties:

  • Handmatige rotatie: maak een nieuwe versie van de sleutel in Key Vault en werk de versleutelingsconfiguratie in het opslagaccount bij zodat deze naar de nieuwe versie verwijst.
  • AutoRotatie: geef bij het configureren van de CMK voor het opslagaccount geen sleutelversie op. Het opslagaccount controleert Key Vault periodiek en gebruikt automatisch de nieuwste versie van de sleutel [3].

Beste praktijken

  • Schakel Wipe Protection en Soft Deletion in in uw Key Vault om uw sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.
  • Gebruik beheerde identiteiten om het opslagaccount toegang te geven tot Key Vault. Het is veiliger dan het gebruik van andere methoden.
  • Bewaak Key Vault-activiteit: gebruik Key Vault diagnostische logboeken om te controleren wie toegang heeft tot uw sleutels en wanneer.
  • Veilige overdracht (HTTPS) vereisen: wanneer u uw opslagaccount instelt, moet u altijd een veilige overdracht vereisen om gegevens tijdens de overdracht te versleutelen.

Conclusie

Het versleutelen van gegevens in rust in Azure Storage is een fundamentele verdedigingslaag. Terwijl door Microsoft beheerde sleutels standaard beveiliging bieden zonder enige moeite, bieden door de klant beheerde sleutels (CMK) het niveau van controle en zekerheid dat veel organisaties nodig hebben om te voldoen aan strenge beveiligings- en compliance-eisen. Door de implementatie en het beheer van CMK onder de knie te krijgen, zorgt u ervoor dat uw gegevens beschermd en onder uw controle blijven.

Referenties

[1]Microsoft. (2023). Overzicht van Azure Storage-versleuteling. [2]Microsoft. (2023). Azure Storage Service-versleuteling voor gegevens in rust. [3]Microsoft. (2023). Door de klant beheerde sleutels voor Azure Storage-versleuteling.