Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kryptering i Azure Data Lake Storage Gen1 hjälper dig att skydda dina data, implementera företagssäkerhetsprinciper och uppfylla regelefterlevnadskrav. Den här artikeln ger en översikt över designen och beskriver några av de tekniska aspekterna av implementeringen.
Data Lake Storage Gen1 stöder kryptering av data både i vila och under överföring. För vilande data stöder Data Lake Storage Gen1 "på som standard", transparent kryptering. Här är vad dessa termer betyder lite mer detaljerat:
- På som standard: När du skapar ett nytt Data Lake Storage Gen1-konto aktiverar standardinställningen kryptering. Därefter krypteras data som lagras i Data Lake Storage Gen1 alltid innan de lagras på beständiga medier. Detta är beteendet för alla data och kan inte ändras när ett konto har skapats.
- Transparent: Data Lake Storage Gen1 krypterar automatiskt data innan de sparas och dekrypterar data innan de hämtas. Krypteringen konfigureras och hanteras på Data Lake Storage Gen1-kontonivå av en administratör. Inga ändringar görs i API:erna för dataåtkomst. Därför krävs inga ändringar i program och tjänster som interagerar med Data Lake Storage Gen1 på grund av kryptering.
Data under överföring (även kallade data i rörelse) krypteras också alltid i Data Lake Storage Gen1. Förutom att kryptera data innan de lagras i beständiga medier skyddas även data alltid under överföring med hjälp av HTTPS. HTTPS är det enda protokoll som stöds för Rest-gränssnitten för Data Lake Storage Gen1. Följande diagram visar hur data krypteras i Data Lake Storage Gen1:
Konfigurera kryptering med Data Lake Storage Gen1
Kryptering för Data Lake Storage Gen1 konfigureras när kontot skapas och aktiveras alltid som standard. Du kan antingen hantera nycklarna själv eller tillåta att Data Lake Storage Gen1 hanterar dem åt dig (detta är standardvärdet).
Mer information finns i Komma igång.
Så här fungerar kryptering i Data Lake Storage Gen1
Följande information beskriver hur du hanterar huvudkrypteringsnycklar och förklarar de tre olika typerna av nycklar som du kan använda i datakryptering för Data Lake Storage Gen1.
Huvudkrypteringsnycklar
Data Lake Storage Gen1 tillhandahåller två lägen för hantering av huvudkrypteringsnycklar (MEK). Anta för tillfället att huvudkrypteringsnyckeln är nyckeln på den översta nivån. Åtkomst till huvudkrypteringsnyckeln krävs för att dekryptera data som lagras i Data Lake Storage Gen1.
De två lägena för att hantera huvudkrypteringsnyckeln är följande:
- Tjänsthanterade nycklar
- Kundhanterade nycklar
I båda lägena skyddas huvudkrypteringsnyckeln genom att lagra den i Azure Key Vault. Key Vault är en fullständigt hanterad och mycket säker tjänst i Azure som kan användas för att skydda kryptografiska nycklar. Mer information finns i Key Vault.
Här är en kort jämförelse av de funktioner som tillhandahålls av de två lägena för att hantera MEK:erna.
| Fråga | Tjänsthanterade nycklar | Kundhanterade nycklar |
|---|---|---|
| Hur lagras data? | Krypteras alltid innan det lagras. | Krypteras alltid innan det lagras. |
| Var lagras huvudkrypteringsnyckeln? | Nyckelvalv | Nyckelvalv |
| Lagras krypteringsnycklar utanför Key Vault? | Nej | Nej |
| Kan MEK hämtas av Key Vault? | Nej. När MEK:t har lagrats i Key Vault kan den endast användas för kryptering och dekryptering. | Nej. När MEK:t har lagrats i Key Vault kan den endast användas för kryptering och dekryptering. |
| Vem äger Key Vault-instansen och MEK:t? | Data Lake Storage Gen1-tjänsten | Du äger Key Vault-instansen som tillhör din egen Azure-prenumeration. MEK:t i Key Vault kan hanteras av programvara eller maskinvara. |
| Kan du återkalla åtkomsten till MEK för Data Lake Storage Gen1-tjänsten? | Nej | Ja. Du kan hantera åtkomstkontrollistor i Key Vault och ta bort åtkomstkontrollposter till tjänstidentiteten för Data Lake Storage Gen1-tjänsten. |
| Kan du ta bort MEK:et permanent? | Nej | Ja. Om du tar bort MEK:t från Key Vault kan data i Data Lake Storage Gen1-kontot inte dekrypteras av någon, inklusive Data Lake Storage Gen1-tjänsten. Om du uttryckligen har säkerhetskopierat MEK:t innan du tar bort den från Key Vault kan MEK:t återställas och data kan sedan återställas. Men om du inte har säkerhetskopierat MEK innan du tar bort den från Key Vault kan data i Data Lake Storage Gen1-kontot aldrig dekrypteras därefter. |
Förutom den här skillnaden mellan vem som hanterar MEK och Key Vault-instansen där den finns, är resten av designen densamma för båda lägena.
Det är viktigt att komma ihåg följande när du väljer läget för huvudkrypteringsnycklarna:
- Du kan välja om du vill använda kundhanterade nycklar eller tjänsthanterade nycklar när du etablerar ett Data Lake Storage Gen1-konto.
- När ett Data Lake Storage Gen1-konto har etablerats kan inte läget ändras.
Kryptering och dekryptering av data
Det finns tre typer av nycklar som används vid utformningen av datakryptering. Följande tabell innehåller en sammanfattning:
| Nyckel | Förkortning | Associerad med | Lagringsplats | Typ | Noteringar |
|---|---|---|---|---|---|
| Huvudkrypteringsnyckel | MEK | Ett Data Lake Storage Gen1-konto | Nyckelvalv | Asymmetrisk | Det kan hanteras av Data Lake Storage Gen1 eller dig. |
| Datakrypteringsnyckel | DEK | Ett Data Lake Storage Gen1-konto | Beständig lagring, som hanteras av Data Lake Storage Gen1-tjänsten | Symmetrisk | DEK krypteras av MEK. Den krypterade DEK:en är det som lagras på beständiga medier. |
| Blockkrypteringsnyckel | BEK | Ett datablock | Ingen | Symmetrisk | BEK härleds från DEK och datablocket. |
Följande diagram illustrerar dessa begrepp:
Pseudoalgoritm när en fil ska dekrypteras:
- Kontrollera om DEK för Data Lake Storage Gen1-kontot är cachelagrat och redo att användas.
- Annars läser du den krypterade DEK:en från beständig lagring och skickar den till Key Vault för dekryptering. Cachea dekrypterad DEK i minnet. Den är nu redo att användas.
- För varje datablock i filen:
- Läs det krypterade datablocket från beständig lagring.
- Generera BEK från DEK och det krypterade datablocket.
- Använd BEK för att dekryptera data.
Pseudoalgoritm när ett datablock ska krypteras:
- Kontrollera om DEK för Data Lake Storage Gen1-kontot är cachelagrat och redo att användas.
- Annars läser du den krypterade DEK:en från beständig lagring och skickar den till Key Vault för dekryptering. Cachea dekrypterad DEK i minnet. Den är nu redo att användas.
- Generera en unik BEK för datablocket från DEK.
- Kryptera datablocket med BEK med hjälp av AES-256-kryptering.
- Lagra det krypterade datablocket för data på beständig lagring.
Anmärkning
DEK lagras alltid krypterat av MEK, oavsett om det finns på beständiga medier eller cachelagras i minnet.
Nyckelrotation
När du använder kundhanterade nycklar kan du rotera MEK:et. Information om hur du konfigurerar ett Data Lake Storage Gen1-konto med kundhanterade nycklar finns i Komma igång.
Förutsättningar
När du konfigurerar Data Lake Storage Gen1-kontot har du valt att använda dina egna nycklar. Det går inte att ändra det här alternativet när kontot har skapats. Följande steg förutsätter att du använder kundhanterade nycklar (det vill säga att du har valt dina egna nycklar från Key Vault).
Observera att om du använder standardalternativen för kryptering krypteras dina data alltid med hjälp av nycklar som hanteras av Data Lake Storage Gen1. I det här alternativet har du inte möjlighet att rotera nycklar eftersom de hanteras av Data Lake Storage Gen1.
Rotera MEK i Data Lake Storage Gen1
Logga in på Azure-portalen.
Bläddra till Key Vault-instansen som lagrar dina nycklar som är associerade med ditt Data Lake Storage Gen1-konto. Välj Nycklar.
Välj nyckeln som är associerad med ditt Data Lake Storage Gen1-konto och skapa en ny version av den här nyckeln. Observera att Data Lake Storage Gen1 för närvarande endast stöder nyckelrotation till en ny version av en nyckel. Den stöder inte rotation till en annan nyckel.
Bläddra till Data Lake Storage Gen1-kontot och välj Kryptering.
Ett meddelande meddelar dig att en ny nyckelversion av nyckeln är tillgänglig. Klicka på Rotera nyckel för att uppdatera nyckeln till den nya versionen.
Den här åtgärden bör ta mindre än två minuter och det finns ingen förväntad stilleståndstid på grund av nyckelrotation. När åtgärden är klar används den nya versionen av nyckeln.
Viktigt!
När nyckelrotationen är klar används inte längre den gamla versionen av nyckeln aktivt för att kryptera nya data. Det kan dock finnas fall där åtkomst till äldre data kan behöva den gamla nyckeln. Om du vill tillåta läsning av sådana äldre data ska du inte ta bort den gamla nyckeln