Azure Storage Account a Ako ho Zabezpečiť

Azure Storage Account je základná jednotka úložiska v Azure, ktorá poskytuje škálovateľné, vysoko dostupné a bezpečné úložisko pre rôzne typy dát. Tento úložný účet podporuje niekoľko typov úložiska, vrátane blob úložiska, súborového úložiska a tabuliek.

Načo Služí Šifrovanie

Šifrovanie je kľúčovým mechanizmom na ochranu dát pred neoprávneným prístupom. Pomáha zabezpečiť, že vaše dáta sú bezpečné počas prenosu aj v pokoji, a zároveň splňuje rôzne bezpečnostné a regulačné požiadavky. Azure Storage Account využíva šifrovanie na zabezpečenie dát tak, aby ich mohli čítať iba autorizovaní používatelia alebo aplikácie.

Ako Zabezpečiť Azure Storage Account

Existuje niekoľko krokov a postupov, ako zabezpečiť váš Azure Storage Account:

1. Používanie Šifrovania

Azure Storage Account automaticky šifruje všetky dáta uložené v úložisku. Toto šifrovanie môže byť spravované Microsoftom alebo zákazníkom.

a) Microsoft Managed Keys (MMK)

Toto je predvolená možnosť šifrovania, kde Azure automaticky spravuje šifrovacie kľúče. Používateľ nemusí robiť žiadne dodatočné nastavenia.

b) Customer Managed Keys (CMK)

Toto umožňuje zákazníkom spravovať vlastné šifrovacie kľúče pomocou Azure Key Vault. Môžete vytvárať, spravovať a rotovať kľúče podľa vlastných bezpečnostných požiadaviek.

2. Šifrovanie počas prenosu (Encryption in Transit)

Azure Storage podporuje šifrovanie dát počas prenosu pomocou protokolov TLS (Transport Layer Security). Použitie HTTPS je vyžadované na zabezpečenie šifrovaného prenosu dát medzi klientmi a Azure Storage službami, čím sa ochráni pred útokmi typu man-in-the-middle.

Infrastruktúrne šifrovanie je dodatočná vrstva šifrovania ponúkaná Azure Storage na zvýšenie bezpečnosti vašich dát. Táto funkcia šifruje dáta na úrovni infraštruktúry, čím poskytuje dvojité šifrovanie v kombinácii s predvoleným šifrovaním v pokoji.

Kľúčové body o infrastrukturnom šifrovaní:

1. Dvojité šifrovanie: Infrastruktúrne šifrovanie pridáva druhú vrstvu šifrovania k dátam, čím ich ešte viac zabezpečuje proti neoprávnenému prístupu.
2. Automatické riadenie: Obe vrstvy šifrovania (infrastruktúrna a predvolená šifrovanie v pokoji) sú spravované spoločnosťou Microsoft, čo znižuje zložitosť pre používateľov.
3. Súlad a bezpečnosť: Táto funkcia pomáha splniť prísne regulačné požiadavky a zvyšuje ochranu dát poskytovaním viacerých vrstiev šifrovania.
4. Transparentné pre používateľov: Dodatočná vrstva šifrovania sa aplikuje automaticky a je transparentná pre používateľov, čo znamená, že nie je potrebná ďalšia konfigurácia alebo správa zo strany používateľov.

Ako funguje infrastrukturne šifrovanie:

• Prvá vrstva: Predvolené šifrovanie v pokoji, ktoré používa buď Microsoft Managed Keys (MMK) alebo Customer Managed Keys (CMK).
• Druhá vrstva: Infrastruktúrne šifrovanie pridáva ďalšiu vrstvu šifrovania na už šifrované dáta pomocou kľúčov spravovaných spoločnosťou Microsoft.

Výhody:

• Zvýšená bezpečnosť: Pridaním extra vrstvy šifrovania poskytuje robustnejšiu ochranu proti hrozbám.
• Súlad: Pomáha organizáciám splniť regulačné a právne požiadavky, ktoré vyžadujú viac vrstiev šifrovania.
• Spravované spoločnosťou Microsoft: Zjednodušuje proces správy šifrovania, pretože obe vrstvy šifrovania sú riadené Azure.

Infrastruktúrne šifrovanie je obzvlášť užitočné pre organizácie s vysokými bezpečnostnými a regulačnými požiadavkami, čím zaisťuje, že ich dáta zostanú chránené aj v prípade, že by jedna vrstva šifrovania bola ohrozená.

Nasadenie

Nastavenie šifrovania v storage account je potrebné vykonať na novej inštancii. Na inštaláciu je potrebné mať nasadený Key Vault, ktorý zabezpečuje uloženie súkromných kľúčov, pomocou ktorých sa bude dané úložisko šifrovať.

Architektúra:

1. Vytvorenie kľúčov potrebných na šifrovanie

V tejto časti je potrebné definovať názov daného kľúča a veľkosť kľúča, ktorý bude vytvorený.

2. Vytvorenie kľúčov pri inštalácii storage account (túto možnosť nie je možné neskôr zmeniť)

Pre zapnutie šifrovania je potrebné vybrať vytvorený kľúč v príslušnom Key Vault serveri.