Безопасность и шифрование данных в диспетчере данных Azure для энергетики

В этой статье представлен обзор функций безопасности в Azure Data Manager для энергетики. В ней рассматриваются основные области шифрования, шифрование при передаче, протокол TLS, https, управляемые корпорацией Майкрософт ключи и управляемый клиентом ключи.

Шифрование неактивных данных

Azure Data Manager для энергетики использует несколько ресурсов хранилища для хранения метаданных, пользовательских данных, данных в памяти и т. д. Платформа использует шифрование на стороне службы для автоматического шифрования и сохранения данных в облаке. Шифрование данных в состоянии покоя защищает ваши данные, помогая вам выполнять обязательства по безопасности и соответствию нормативным требованиям вашей организации. Все данные в Azure Data Manager для энергетики шифруются с помощью ключей, управляемых Microsoft по умолчанию. Помимо ключа, управляемого Microsoft, вы можете использовать собственный ключ шифрования, хранящийся в Azure Key Vault или Azure Key Vault управляемый аппаратный модуль безопасности (HSM) для защиты данных в Azure Data Manager для энергетики. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления доступом к управляемому Microsoft ключу, который шифрует данные.

Шифрование передаваемых данных

Azure Data Manager для энергетики поддерживает протокол TLS 1.2 для защиты данных при перемещении между облачными службами и клиентами. TLS обеспечивает надежную аутентификацию, конфиденциальность сообщений и целостность (позволяющие обнаруживать изменения сообщений, перехват и подделку), совместимость и гибкость выбора алгоритмов.

Помимо TLS, при взаимодействии с диспетчером данных Azure для энергетики все транзакции происходят по протоколу HTTPS.

Настройка клиентских управляемых ключей (CMK) для Azure Data Manager for Energy.

Предварительные требования

Шаг 1. Настройка хранилища ключей

1. Для хранения ключей, управляемых клиентом, можно использовать новое или существующее хранилище ключей. Дополнительные сведения об Azure Key Vault см. в обзоре Azure Key Vault и Что такое Azure Key Vault?

2. Использование ключей, управляемых клиентом, с Azure Data Manager for Energy требует, чтобы для хранилища ключей были включены функции мягкого удаления и защиты от окончательного удаления. Мягкое удаление включено по умолчанию при создании нового хранилища ключей и не может быть отключено. Вы можете включить защиту очистки при создании хранилища ключей или после этого.

3. Сведения о создании хранилища ключей с помощью портала Azure см. в статье Quickstart: создание хранилища ключей с помощью портала Azure. Хранилище ключей должно находиться в том же регионе, что и Azure Data Manager для энергетики. При создании хранилища ключей выберите Включить защиту от очистки.

   

4. Чтобы включить защиту от очистки в существующем хранилище ключей, выполните следующие действия.

   1. Перейдите к хранилищу ключей на портале Azure.
   2. В разделе Параметры выберите Свойства.
   3. В разделе защиты от очистки выберите Включить защиту от очистки.

Шаг 2. Добавление ключа

1. Сведения о добавлении ключа на портале Azure см. в статье Quickstart: установка и получение ключа из Azure Key Vault с помощью портала Azure.
2. Размер ключа RSA рекомендуется иметь значение 3072, см. в разделе Настройка ключей, управляемых клиентом, для учетной записи Azure Cosmos DB | Microsoft Learn.

Шаг 3. Выбор управляемого удостоверения для авторизации доступа к хранилищу ключей

1. Если вы включаете ключи, управляемые клиентом для существующего экземпляра диспетчера данных Azure для энергетики, необходимо указать управляемое удостоверение, используемое для авторизации доступа к хранилищу ключей, содержащему ключ. Управляемое удостоверение должно иметь разрешения на доступ к ключу в хранилище ключей.
2. Вы можете создать управляемое удостоверение, назначаемое пользователем.

Настройка ключей, управляемых клиентом, для существующей учетной записи

1. Создайте экземпляр Azure Data Manager для энергетики.

2. Перейдите на вкладку Encryption.

3. На вкладке шифрования выберите ключи, управляемые клиентом (CMK).

4. Для использования CMK необходимо выбрать хранилище ключей, в котором хранится ключ.

5. Выберите ключ шифрования как "Выбрать хранилище ключей и ключ"

6. Затем выберите "Выбрать хранилище ключей и ключ"

7. Затем выберите хранилище ключей и ключ.

   

8. Затем выберите управляемое удостоверение, назначаемое пользователем, которое используется для авторизации доступа к хранилищу ключей, содержащего ключ.

9. Выберите "Выбрать удостоверение пользователя" Выберите управляемое удостоверение, назначаемое пользователем, которое вы создали в предварительных требованиях. Управляемое удостоверение, назначаемое пользователем, должно быть создано в том же регионе, что и экземпляр Azure Data Manager для энергетики.

10. Это назначаемая пользователем идентичность должна иметь разрешения для получения ключа, перечисления ключей, упаковки ключа и распаковки ключа в хранилище ключей. Дополнительные сведения о назначении политик доступа Azure Key Vault см. в статье Assign a Key Vault Access Policy.

    

11. Вы также можете выбрать ключ шифрования как "Ввод ключа из URI" и ввести "URI ключа" в формате https://<your-key-vault-name>.vault.azure.net/keys/<your-key-name> или https://<your-hsm-key-vault-name>.managedhsm.azure.net/keys/<your-managed-hsm-key-name>. Для ключа необходимо включить мягкое удаление и защиту от очистки. Необходимо подтвердить это, установив флажок, как показано ниже.

    

12. Затем нажмите кнопку "Просмотр и создание" после завершения других вкладок.

13. Нажмите кнопку "Создать".

14. Экземпляр менеджера данных Azure для энергетики создается с помощью ключей, управляемых клиентом.

15. После включения CMK вы увидите его состояние на экране обзора .

    

16. Вы можете перейти к Шифрованию и увидеть, что CMK включен с управляемым удостоверением пользователя.

    

Следующие шаги

Узнать больше о частных ссылках.