Müşteri tarafından yönetilen anahtarlarla veri şifrelemesi

ŞUNLAR IÇIN GEÇERLIDIR: PostgreSQL için Azure Cosmos DB (PostgreSQL'e citus veritabanı uzantısıyla desteklenir)

PostgreSQL için Azure Cosmos DB kümenizde depolanan veriler, Microsoft tarafından yönetilen anahtarlarla otomatik ve sorunsuz bir şekilde şifrelenir. Bu anahtarlar hizmet tarafından yönetilen anahtarlar olarak adlandırılır. PostgreSQL için Azure Cosmos DB, hizmet tarafından yönetilen anahtarları kullanarak bekleyen verileri varsayılan olarak şifrelemek için Azure Depolama şifrelemesini kullanır. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarlarla şifrelemeyi etkinleştirerek ek bir güvenlik katmanı eklemeyi seçebilirsiniz.

Hizmet tarafından yönetilen anahtarlar

PostgreSQL için Azure Cosmos DB hizmeti bekleyen verilerin depolama şifrelemesi için FIPS 140-2 doğrulanmış şifreleme modülünü kullanır. Sorgular çalıştırılırken oluşturulan yedeklemeler ve geçici dosyalar da dahil olmak üzere tüm Veriler diskte şifrelenir. Hizmet, Azure depolama şifrelemesinde bulunan AES 256 bit şifrelemesini kullanır ve anahtarlar sistem tarafından yönetilir. Depolama şifrelemesi her zaman açıktır ve devre dışı bırakılamaz.

Müşteri tarafından yönetilen anahtarlar

Birçok kuruluş, müşteri tarafından yönetilen bir anahtar (CMK) kullanarak verilere erişimin tam denetimini gerektirir. PostgreSQL için Azure Cosmos DB için müşteri tarafından yönetilen anahtarlarla veri şifreleme, bekleyen verileri korumak için kendi anahtarınızı getirmenizi sağlar. Kuruluşlar bu sayede anahtarların ve verilerin yönetiminde görev ayrımı yapabilir. Müşteri tarafından yönetilen şifreleme ile bir anahtarın yaşam döngüsü, kullanım izinleri ve işlemlerin denetiminden siz sorumlu olursunuz ve tam denetime sahip olursunuz.

PostgreSQL için Azure Cosmos DB için müşteri tarafından yönetilen anahtarlarla veri şifreleme, sunucu düzeyinde ayarlanır. Yedeklemeler de dahil olmak üzere veriler diskte şifrelenir. Bu şifreleme sorguları çalıştırırken oluşturulan geçici dosyaları içerir. Belirli bir küme için, hizmetin veri şifreleme anahtarını (DEK) şifrelemek için anahtar şifreleme anahtarı (KEK) olarak adlandırılan müşteri tarafından yönetilen bir anahtar kullanılır. KEK, müşteriye ait ve müşteri tarafından yönetilen bir Azure Key Vault örneğinde depolanan asimetrik bir anahtardır.

Açıklama
Veri şifreleme anahtarı (DEK) Veri şifreleme anahtarı, bir veri bölümünü veya bloğunu şifrelemek için kullanılan simetrik bir AES256 anahtarıdır. Her veri bloğunun farklı bir anahtarla şifrelenmesi, şifreleme analizi saldırılarını daha zor hale getirir. Belirli bir bloğu şifreleyen ve şifresini çözen kaynak sağlayıcısı veya uygulama örneği, DEK'lere erişim gerektirir. Dek değerini yeni bir anahtarla değiştirdiğinizde, yalnızca ilişkili bloğundaki veriler yeni anahtarla yeniden şifrelenmelidir.
Anahtar şifreleme anahtarı (KEK) Anahtar şifreleme anahtarı, DEK'leri şifrelemek için kullanılan bir şifreleme anahtarıdır. Anahtar kasasından hiç ayrılmamış bir KEK, DEK'lerin şifrelenmesini ve denetlenmesini sağlar. KEK'ye erişimi olan varlık, DEK gerektiren varlıktan farklı olabilir. KEK'nin DEK'lerin şifresini çözmesi gerektiğinden KEK etkili bir şekilde tek bir noktadır ve KEK'nin silinmesi DEK'leri etkili bir şekilde siler.

Not

Azure Key Vault, bulut tabanlı bir anahtar yönetim sistemidir. Yüksek oranda kullanılabilir ve isteğe bağlı olarak FIPS 140 onaylı donanım güvenlik modülleri (HSM) tarafından desteklenen RSA şifreleme anahtarları için ölçeklenebilir, güvenli depolama sağlar. Anahtar kasası, depolanan bir anahtara doğrudan erişime izin vermez, ancak yetkili varlıklara şifreleme ve şifre çözme hizmetleri sağlar. Anahtar kasası anahtarı oluşturabilir, içeri aktarabilir veya şirket içi HSM cihazından aktarabilir.

KEK'lerle şifrelenmiş DEK'ler ayrı olarak depolanır. Bu DEK'lerin şifresini yalnızca KEK erişimi olan bir varlık çözebilir. Daha fazla bilgi için bkz . Bekleyen şifrelemede güvenlik..

Müşteri tarafından yönetilen anahtarla veri şifreleme nasıl çalışır?

Bir kümenin DEK şifrelemesi için Key Vault'ta depolanan müşteri tarafından yönetilen anahtarları kullanması için, Key Vault yöneticisi sunucuya aşağıdaki erişim haklarını verir:

Açıklama
get Anahtar kasasındaki anahtarın ortak kısmını ve özelliklerini almayı etkinleştirir.
wrapKey DEK'nin şifrelenmesini sağlar. Şifrelenmiş DEK, PostgreSQL için Azure Cosmos DB'de depolanır.
unwrapKey DEK'nin şifresinin çözülmesini sağlar. PostgreSQL için Azure Cosmos DB, şifresi çözülen DEK'nin verileri şifrelemesini/şifresini çözmesini gerektirir.

Anahtar kasası yöneticisi, Key Vault denetim olaylarının günlüğe kaydedilmesini de etkinleştirerek daha sonra denetlenebilir. PostgreSQL için Azure Cosmos DB kümesi, anahtar kasasında depolanan müşteri tarafından yönetilen anahtarı kullanacak şekilde yapılandırıldığında, küme şifrelemeler için DEK'yi anahtar kasasına gönderir. Key Vault, kullanıcı veritabanında depolanan şifrelenmiş DEK'yi döndürür. Benzer şekilde, gerektiğinde sunucu korumalı DEK'yi şifre çözme için anahtar kasasına gönderir. Denetçiler, günlüğe kaydetme etkinse Key Vault denetim olay günlüklerini gözden geçirmek için Azure İzleyici'yi kullanabilir.

Müşteri tarafından yönetilen anahtarlarla veri şifreleme mimarisinin ekran görüntüsü.

Sosyal haklar

PostgreSQL için Azure Cosmos DB için müşteri tarafından yönetilen anahtarlarla veri şifreleme aşağıdaki avantajları sağlar:

  • Anahtarı kaldırma ve veritabanına erişilemez hale getirme özelliğiyle veri erişimini tam olarak denetlersiniz.
  • Anahtarın belirli şirket ilkeleriyle uyumlu olacak şekilde döndürülerek anahtar yaşam döngüsü üzerinde tam denetim.
  • Azure Key Vault'ta anahtarların merkezi yönetimi ve düzenlenmesi.
  • Güvenlik görevlileri, veritabanı yöneticileri ve sistem yöneticileri arasında görev ayrımı yapabilme.
  • Şifrelemeyi etkinleştirmenin, müşteri tarafından yönetilen anahtarlarla veya anahtarlar olmadan ek performans etkisi olmaz. PostgreSQL için Azure Cosmos DB, hem müşteri tarafından yönetilen hem de hizmet tarafından yönetilen anahtar senaryolarında veri şifrelemesi için Azure Depolama'ya dayanır.

Sonraki adımlar