前言回顧

技能解封中間章程-狡兔三窟快速戰備(Azure BCDR)

已領取技能符石

解封技能樹(Start)

適合的勇者？

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

學完可以帶走甚麼？

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹，把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

泰瑞爾 vs 巴爾

層層秘文重裝上陣

文獻戰記繼上次被攻破後仍心有餘悸，雖然多虧了天使術士麥迪文才把傷害降至最低但其實仍造成一些傷害無論是城中士兵或是堡壘，現在重新研擬秘法把文獻嘗試拆解成多份後分別放置不同陣地並在每個陣地都擁有不同的魔法陣來重新封印，以避免少數的天使將士受到針對而被當攻擊弱點，回到人類聽得懂的代名詞"靜態資料加密"小弟先簡述一下此服務究竟為何？

靜態加密(官方稱待用)是一般是常聽到的一項安全保護機制。其實說白了就是將放在 Azure 上的靜態資料透過對稱式加密金鑰來做編碼行為讓資料本身不會以明文方式呈現，Azure 常見可用如：儲存體，資料庫，資料湖或磁碟等．．這些服務類型其資料做加密。而當資料需要取用而準備載入到記憶體時，相同的加密金鑰可用來將資料解密。
金鑰本身須存在具身分存取控制和原則稽核的安全機制上運行。而資料加密金鑰會借重 Azure Key Vault 中加密金鑰來進行加密進而其保護非法的資料存取等情事發生。

靜態加密本身目的就是對儲存資料做資料保護的因應作為。當有非法行為想奪取資料而嘗試去取得資料本身的實體層硬體如：可能的常見方式就是在維護期間非法人員直接拔取伺服器主機中的硬碟，進而將硬碟放到他們的電腦當資料磁碟的身份進而做盜取資料的動作。而加密保護就是在防止此一情事的發生，即使讓非法人員取得具有已加密資料的硬碟，但因為是沒有加密金鑰，則須破解加密後才能存取。雖然沒有破解不了的鎖，但其實相對存取未加密資料相比，因為變得更加耗時耗工最後放棄而保住的資料的完整性避免後面的商業損失。

目前根據政府規定特定產業組織在資料處理合規性上也會需要套用靜態加密來保護資料如：HIPAA、PCI、FedRAMP 等．．靜態用加密是能符合這政策合規上所需的必要方案。

靜態加密金鑰類型：

• 資料加密金鑰(DEK) – 將資料或資料分割區做 AES256 層級的對稱式金鑰。透過使用不同金鑰將每個分割資料區各自進行加密，讓即使取得實體設備如：存取硬碟讓破解更加複雜讓難度大幅提高。而回到正常資料存取流程，此服務的資源提供者或服務都需要 DEK 來做加解密動作(解密還須搭配 KEK)進而才能正常存取資料。
• 金鑰加密金鑰(KEK) – 就是在把用來加密資料的金鑰上面再上一層鎖的意思。讓金鑰本身永遠不會脫離 Key Vault 金鑰服務，除了資料加密金鑰可控外。能夠存取 KEK 的硬體層級本身也不同於一般 DEK 硬體。此硬體主機可正常行為委派存取 DEK，對每個 DEK 限制只能由特定分割區存取。而透過 KEK 才能將 DEK 解密。

加密模型
Azure 支援各種加密模型，包括使用下列方式進行的伺服器端加密：服務管理的金鑰、Key Vault 中客戶管理的金鑰，或受客戶控制硬體上客戶管理的金鑰。 使用用戶端加密時，您可以在內部部署或另一個安全位置中管理和儲存金鑰。
用戶端加密是在非 Azure 之外來做執行。其中涵蓋如下：

• 由客戶本身或應用服務程式本身做加密資料。
• Azure 收到前就屬於已加密的資料。
• 用戶端加密，雲端提供商並無法存取加密金鑰外無法將此資料解密。你自己本身對會對金鑰有完整控制。
  下圖範例中加密是 Azure 中服務應用程式執行。Azure 資源提供者無需以任何方式解密的能力或具有加密金鑰的存取權，即可接收加密的 blob 資料(內部已經完成加解密動作)。
  

伺服器端加密中有三種可供不同金鑰管理類型來做需求選擇：

• 服務管理金鑰：較為方便且負載量也低。
• 客戶管理金鑰：可完整控制金鑰，包括支援攜帶自己金鑰(BYOK)或允許自己產生新的金鑰。
• 受控硬體管理金鑰：可不受微軟控制的專用金鑰管理存放庫。不過設定較為複雜而且大多 Azure 服務並不支援。
  下圖範例中 Azure 儲存體會在進行文字作業同時接收資料並在內部執行加/解密。而資源提供者會用微軟或客戶自己管理的的加密金鑰根據提供的設定來施作。
  

金鑰存取優劣
使用具服務管理金鑰伺服器端加密時，金鑰從建立，儲存到存取都屬服務管理範疇。一般 Azure 資源提供者會將資料加密金鑰儲存在最快速可用且可存取的儲存區中，而金鑰加密金鑰則是儲存在安全的內部儲存區中。
好處：

• 簡單易用。
• Microsoft 全託管金鑰一切的安全、備份備援等保護機制。
• 使用者無施作導入前相關成本或自訂金鑰管理配置上的風險。

劣勢：

• 無加密金鑰相關控制權如：自訂金鑰規格、生命週期、註銷等功能。
• 無法從服務整體管理上將金鑰管理做區隔。

儲存體本身就是由微軟託管預設加密，而如果您想要自訂可以透過自己的 URI 或 Key Vault 來做加密

透明資料加密(TDE)本身會執行資料和記錄過程做即時加/解密。加密會用資料庫加密金鑰(DEK)，此金鑰是放在資料庫開機記錄中以便復原期間可供使用。此方案支援資料庫類型如下：

• SQL Server on VM
• Azure SQL Database
• Azure SQL Data Warehouse
  

最後腦補一下
透過 Azure 儲存體加密後包含的檔案資料都會加密，也包含像是Azure VM 磁碟分頁 blob 的備份，而同時一樣可使用 Azure 磁碟來作加密虛擬機的硬碟加密保護。在 Windows 上使用標準 BitLocker，而 Linux 則是 DM Crypt 來與 Key Vault 作為作業系統的加密解決方案。故兩種並無衝突都可以併行強化安全性。

儲存體加密完工圖(欲知詳情請點選以下傳送門)

共用存取簽章 (SAS) 超過時限存取會直接禁止存取 Azure 儲存體上資料(欲知詳情請點選以下傳送門)

實作工坊

而光說不練怎麼行，實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下：

技能解封最終對決-卷軸祕文添加神秘色彩(Azure Static Data Encryption & SAS)

1. Azure Static Data Encryption 成本計價。
2. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持，歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲