Blog Archive:

* Can be used in order to search for older blogs Entries

Search in blogs

KeywordsPhrase

Blog Categories:

* Can be used in order to search for blogs Entries by Categories

Blog Tags:

* Can be used in order to search for blogs by keywords

TNWikiSummit

Microsoft® Community Contributor

Read this before you use the blog!

New! Azure Database for MySQL supports data encryption with a customer-managed key [Heb]

יול25

Written by: ronen ariely
25/07/2022 22:41

הקדמה

לפני יומיים מיקרוסופט הכריזה על האפשרות להשתמש בהצפנת נתונים עם מפתחות מנוהלים על ידי לקוח (CMK) עבור Azure Database for MySQL!

האפשרות להביא מפתח משלך (BYOK) להגנה על נתונים במצב מנוחה, יכולה להעלות את האבטחה ולאפשר מיגרציה וסינכרון בין השרתים המקומיים לביןם השרתים בענן. אתה יכול להשתמש בתכונה זו כדי ליישם הפרדת חובות לניהול מפתחות ונתונים. בנוסף, ניתן לנהל ולארגן מפתחות באופן מרכזי באמצעות Azure Key Vault. השימוש בהצפנה מנוהלת על ידי לקוח ניתנת לך את הכוח והחראיות על מחזור החיים של מפתח האבטחה, הרשאות שימוש במפתח ופעולות ביקורת על מפתחות.

הצפנת נתונים עם מפתחות בניהול לקוחות עבור Azure Database עבור MySQL, מוגדרת ברמת השרת. עבור שרת נתון, מפתח בניהול לקוח, הנקרא מפתח הצפנת מפתח (KEK), משמש להצפנת מפתח הצפנת הנתונים (DEK) המשמש את השירות. ה-KEK הוא מפתח א-סימטרי המאוחסן במופע Azure Key Vault בבעלות לקוח ובניהול לקוח.

Key Vault היא מערכת ניהול מפתחות חיצונית מבוססת ענן אשר מספקת אחסון גמיש ומאובטח עבור מפתחות קריפטוגרפיים RSA. את הנתונים אפשר לגבות על ידי תקן פדרלי לעיבוד מידע (140-2) ברמה 2 מודולי אבטחת חומרה מאומתים (HSM). מערכת Key Vault אינה מאפשרת גישה ישירה למפתח מאוחסן, אך מספקת שירותי הצפנה ופענוח לגופים מורשים. כספת מפתחות יכולה ליצור את המפתח, לייבא אותו או להעביר אותו מהתקן HSM מקומי.

יתרונות

הצפנת נתונים עם מפתחות בניהול לקוחות עבור Azure Database עבור MySQL מספקת את היתרונות הבאים:

גישה לנתונים נשלטת על ידך במלואה על ידי היכולת להסיר את המפתח ולהפוך את מסד הנתונים לבלתי נגיש
שליטה מלאה על מחזור החיים של המפתח, כולל סיבוב המפתח כדי להתיישר עם המדיניות הארגונית
ניהול וארגון מרכזי של מפתחות ב-Azure Key Vault
יכולת יישום הפרדת תפקידים בין קציני אבטחה, ומנהלי מערכות DBA

טרמינולוגיה ותיאור

מפתח הצפנת נתונים (DEK): מפתח AES256 סימטרי המשמש להצפנת מחיצה או בלוק נתונים. הצפנת כל בלוק נתונים במפתח אחר מקשה על התקפות ניתוח קריפטו. גישה ל-DEKs נחוצה על ידי ספק המשאב או מופע היישום שמצפין ומפענח בלוק ספציפי. כאשר אתה מחליף DEK במפתח חדש, רק הנתונים בבלוק המשויך לו חייבים להיות מוצפנים מחדש עם המפתח החדש.

מפתח הצפנה (KEK): מפתח הצפנה המשמש להצפנת ה-DEKs. KEK שלעולם לא עוזב את כספת המפתח מאפשר ל-DEK עצמם להיות מוצפנים ובקרה. הישות שיש לה גישה ל-KEK עשויה להיות שונה מהישות שדורשת את ה-DEK. מכיוון שה-KEK נדרש לפענח את ה-DEK, ה-KEK הוא למעשה נקודה אחת שבאמצעותה ניתן למחוק את ה-DEK ביעילות על ידי מחיקת ה-KEK.

ה-DEKs אשר מוצפנים עם ה-KEKs מאוחסנים בנפרד ורק ישות עם גישה ל-KEK יכולה לפענח את ה-DEK האלה.

כיצד פועלת הצפנת נתונים עם מפתח בניהול לקוח

כדי ששרת MySQL ישתמש במפתחות מנוהלים על ידי לקוחות המאוחסנים ב-Key Vault להצפנה של ה-DEK, מנהל Key Vault צריך לתת את הרשאות הגישה הבאות לשרת:

get: לאחזור החלק הציבורי והמאפיינים של המפתח בכספת המפתחות.
wrapKey: כדי להיות מסוגל להצפין את ה-DEK. ה-DEK המוצפן מאוחסן ב-Azure Database עבור MySQL.
unwrapKey: כדי להיות מסוגל לפענח את ה-DEK. Azure Database for MySQL זקוק ל-DEK המפוענח כדי להצפין/פענח את הנתונים

מנהל המפתחות יכול גם לאפשר רישום של אירועי ביקורת כספת מפתחות, כך שניתן יהיה לבדוק אותם מאוחר יותר.

כאשר השרת מוגדר להשתמש במפתח המנוהל על ידי הלקוח המאוחסן בכספת המפתחות, השרת שולח את ה-DEK לכספת המפתחות לצורך הצפנה. כספת מפתח מחזירה את ה-DEK המוצפן, אשר מאוחסן במסד הנתונים של המשתמש. באופן דומה, בעת הצורך, השרת שולח את ה-DEK המוגן לכספת המפתחות לצורך פענוח. מבקרים יכולים להשתמש ב-Azure Monitor כדי לסקור יומני אירועי ביקורת Key Vault, אם רישום מופעל.

לחץ על קישור זה על מנת להמשך קריאה על הפרטים המלאים מומלץ לעבור למסמך הרשמי באנגלית באתר של המיקרוסופט.

Trackback Print

Tags: Azure , MySQL , Security

Categories: Azure

Location: Blogs Parent Separator