Azure Cosmos DB için Always Encrypted ile istemci tarafı şifrelemesi kullanma

UYGULANANLAR: NoSQL

Always Encrypted, Azure Cosmos DB'de depolanan kredi kartı numaraları veya ulusal/bölgesel kimlik numaraları (örneğin, ABD sosyal güvenlik numaraları) gibi hassas verileri korumak için tasarlanmış bir özelliktir. Always Encrypted, istemcilerin istemci uygulamaları içindeki hassas verileri şifrelemesine olanak tanır ve şifreleme anahtarlarını veritabanına hiçbir zaman göstermez.

Always Encrypted, Azure Cosmos DB'ye istemci tarafı şifreleme özellikleri getirir. Aşağıdaki senaryolarda veri istemci tarafınızı şifrelemek gerekebilir:

• Belirli gizlilik özelliklerine sahip hassas verileri koruma: Always Encrypted, istemcilerin uygulamalarında hassas verileri şifrelemesine ve düz metin verilerini veya şifreleme anahtarlarını Azure Cosmos DB hizmetine hiçbir zaman göstermemesini sağlar.
• Özellik başına erişim denetimi uygulama: Şifreleme, Azure Key Vault'tan sahip olduğunuz ve yönettiğiniz anahtarlarla denetlendiğinden, her istemcinin hangi hassas özelliklere erişimi olduğunu denetlemek için erişim ilkeleri uygulayabilirsiniz.

Kavramlar

Azure Cosmos DB için Always Encrypted, istemci tarafı şifrelemenizin yapılandırmasında yer alan bazı yeni kavramlar sağlar.

Şifreleme anahtarları

Veri şifreleme anahtarları

Always Encrypted kullanılırken veriler önceden oluşturulması gereken veri şifreleme anahtarları (DEK) ile şifrelenir. Bu DEK'ler Azure Cosmos DB hizmetinde depolanır ve veritabanı düzeyinde tanımlanır, bu nedenle DEK birden çok kapsayıcı arasında paylaşılabilir. DEK'lerin oluşturulması, Azure Cosmos DB SDK'sı kullanılarak istemci tarafında gerçekleştirilir.

Şunları yapabilirsiniz:

• Şifrelemek için özellik başına bir DEK oluşturun veya
• Birden çok özelliği şifrelemek için aynı DEK'yi kullanın.

Müşteri tarafından yönetilen anahtarlar

DEK'ler Azure Cosmos DB'de depolanmadan önce, müşteri tarafından yönetilen bir anahtar (CMK) tarafından sarmalanmıştır. CMK'ler, DEK'lerin sarmalanıp çıkarılma işlemlerini denetleyerek ilgili DEK'lerle şifrelenmiş verilere erişimi etkili bir şekilde denetler. CMK depolama, genişletilebilir olarak tasarlanmıştır ve bunların Azure Key Vault'ta depolanmasını bekleyen varsayılan bir uygulamadır.

Şifreleme ilkesi

Dizin oluşturma ilkesine benzer şekilde, şifreleme ilkesi de JSON özelliklerinin nasıl şifrelenmesi gerektiğini açıklayan kapsayıcı düzeyinde bir belirtimdir. Kapsayıcı oluşturulduğunda ve sabit olduğunda bu ilke sağlanmalıdır. Geçerli sürümde şifreleme ilkesini güncelleştiremezsiniz.

Şifrelemek istediğiniz her özellik için şifreleme ilkesi şunları tanımlar:

• özelliğinin biçimindeki /propertyyolu. Şu anda yalnızca en üst düzey yollar desteklenir, gibi /path/to/property iç içe yerleştirilmiş yollar desteklenmez.
• Özelliği şifrelerken ve şifresini çözerken kullanılacak DEK'nin kimliği.
• Şifreleme türü. Rastgele veya belirlenebilir.
• Özelliği şifrelerken kullanılacak şifreleme algoritması. Belirtilen algoritma, uyumluysa anahtarı oluştururken tanımlanan algoritmayı geçersiz kılabilir.

Rastgele ve belirleyici şifreleme karşılaştırması

Azure Cosmos DB hizmeti, Always Encrypted ile şifrelenmiş özelliklerin düz metnini hiçbir zaman görmez. Ancak, bir özellik için kullanılan şifreleme türüne bağlı olarak şifrelenmiş veriler üzerinde bazı sorgulama özelliklerini desteklemeye devam eder. Always Encrypted aşağıdaki iki şifreleme türünü destekler:

• Belirleyici şifreleme: Belirli bir düz metin değeri ve şifreleme yapılandırması için her zaman aynı şifrelenmiş değeri oluşturur. Belirlenmci şifrelemenin kullanılması sorguların şifrelenmiş özelliklerde eşitlik filtreleri gerçekleştirmesine olanak tanır. Ancak, saldırganların şifrelenmiş özellikteki desenleri inceleyerek şifrelenmiş değerler hakkındaki bilgileri tahmin etmelerine izin verebilir. Bu durum özellikle True/False veya Kuzey/Güney/Doğu/Batı bölgesi gibi küçük bir dizi olası şifrelenmiş değer varsa geçerlidir.

• Rastgele şifreleme: Verileri daha az tahmin edilebilir bir şekilde şifreleyen bir yöntem kullanır. Rastgele şifreleme daha güvenlidir, ancak sorguların şifrelenmiş özelliklere göre filtrelenmesini engeller.

Always Encrypted'da belirlenimci ve rastgele şifreleme hakkında daha fazla bilgi edinmek için bkz . Başlatma vektöru (IV) oluşturma.

Azure Key Vault kurulumu

Always Encrypted'ı kullanmaya başlamanın ilk adımı, Azure Key Vault'ta CMK'lerinizi oluşturmaktır:

1. Yeni bir Azure Key Vault örneği oluşturun veya var olan bir örneği bulun.
2. Anahtarlar bölümünde yeni bir anahtar oluşturun.
3. Anahtar oluşturulduktan sonra geçerli sürümüne göz atın ve tam anahtar tanımlayıcısını kopyalayın:
   https://<my-key-vault>.vault.azure.net/keys/<key>/<version>. Anahtar tanımlayıcısının sonundaki anahtar sürümünü atlarsanız anahtarın en son sürümü kullanılır.

Ardından Azure Cosmos DB SDK'sının Azure Key Vault örneğine nasıl erişeceğini yapılandırmanız gerekir. Bu kimlik doğrulaması bir Microsoft Entra kimliği aracılığıyla yapılır. Büyük olasılıkla, istemci kodunuzla Azure Key Vault örneğiniz arasında ara sunucu olarak bir Microsoft Entra uygulamasının veya yönetilen kimliğin kimliğini kullanırsınız, ancak her türlü kimlik kullanılabilir. Ara sunucu olarak Microsoft Entra kimliğinizi kullanmak için aşağıdaki adımları kullanın:

1. Azure Key Vault örneğinizden Erişim ilkeleri bölümüne gidin ve yeni bir ilke ekleyin:

   1. Anahtar izinleri bölümünde Al, Listele, Anahtarı Çöz, Anahtarı Kaydır, Doğrula ve İmzala'yı seçin.
   2. Sorumlu seçin bölümünde Microsoft Entra kimliğinizi arayın.

CMK'nizi yanlışlıkla silinmeye karşı koruma

CMK'niz yanlışlıkla silindikten sonra şifrelenmiş verilerinize erişimi kaybetmediğinizden emin olmak için Azure Key Vault örneğinizde iki özellik ayarlamanız önerilir: Geçici Silme ve Temizleme Koruması.

Yeni bir Azure Key Vault örneği oluşturursanız oluşturma sırasında şu özellikleri etkinleştirin:

Mevcut bir Azure Key Vault örneği kullanıyorsanız, Azure portalındaki Özellikler bölümüne bakarak bu özelliklerin etkinleştirildiğini doğrulayabilirsiniz. Bu özelliklerden herhangi biri etkinleştirilmediyse, aşağıdaki makalelerden birinde "Geçici silmeyi etkinleştirme" ve "Temizleme Korumasını Etkinleştirme" bölümlerine bakın:

• PowerShell ile geçici silmeyi kullanma
• Azure CLI ile geçici silmeyi kullanma

SDK'yi başlatma

var tokenCredential = new DefaultAzureCredential();
var keyResolver = new KeyResolver(tokenCredential);
var client = new CosmosClient("<connection-string>")
    .WithEncryption(keyResolver, KeyEncryptionKeyResolverName.AzureKeyVault);

TokenCredential tokenCredential = new DefaultAzureCredentialBuilder()
    .build();
KeyEncryptionKeyClientBuilder keyEncryptionKeyClientBuilder =
    new KeyEncryptionKeyClientBuilder().credential(tokenCredentials);
CosmosAsyncClient client = new CosmosClientBuilder()
    .endpoint("<endpoint>")
    .key("<primary-key>")
    .buildAsyncClient();
CosmosEncryptionAsyncClient cosmosEncryptionAsyncClient =
    new CosmosEncryptionClientBuilder().cosmosAsyncClient(client).keyEncryptionKeyResolver(keyEncryptionKeyClientBuilder)
        .keyEncryptionKeyResolverName(CosmosEncryptionClientBuilder.KEY_RESOLVER_NAME_AZURE_KEY_VAULT).buildAsyncClient();

Veri şifreleme anahtarı oluşturma

Verilerin kapsayıcıda şifrelenmeden önce üst veritabanında bir veri şifreleme anahtarı oluşturulması gerekir.

var database = client.GetDatabase("my-database");
await database.CreateClientEncryptionKeyAsync(
    "my-key",
    DataEncryptionAlgorithm.AeadAes256CbcHmacSha256,
    new EncryptionKeyWrapMetadata(
        KeyEncryptionKeyResolverName.AzureKeyVault,
        "akvKey",
        "https://<my-key-vault>.vault.azure.net/keys/<key>/<version>",
        EncryptionAlgorithm.RsaOaep.ToString()));

CosmosEncryptionAsyncDatabase database =
    cosmosEncryptionAsyncClient.getCosmosEncryptionAsyncDatabase("my-database");
EncryptionKeyWrapMetadata metadata = new EncryptionKeyWrapMetadata(
    cosmosEncryptionAsyncClient.getKeyEncryptionKeyResolverName(), 
    "akvKey", 
    "https://<my-key-vault>.vault.azure.net/keys/<key>/<version>",
    EncryptionAlgorithm.RSA_OAEP.toString());
database.createClientEncryptionKey(
    "my-key",
    CosmosEncryptionAlgorithm.AEAD_AES_256_CBC_HMAC_SHA256.getName(),
    metadata);

Şifreleme ilkesiyle kapsayıcı oluşturma

Kapsayıcıyı oluştururken kapsayıcı düzeyinde şifreleme ilkesini belirtin.

var path1 = new ClientEncryptionIncludedPath
{
    Path = "/property1",
    ClientEncryptionKeyId = "my-key",
    EncryptionType = EncryptionType.Deterministic.ToString(),
    EncryptionAlgorithm = DataEncryptionAlgorithm.AeadAes256CbcHmacSha256
};
var path2 = new ClientEncryptionIncludedPath
{
    Path = "/property2",
    ClientEncryptionKeyId = "my-key",
    EncryptionType = EncryptionType.Randomized.ToString(),
    EncryptionAlgorithm = DataEncryptionAlgorithm.AeadAes256CbcHmacSha256
};
await database.DefineContainer("my-container", "/partition-key")
    .WithClientEncryptionPolicy()
    .WithIncludedPath(path1)
    .WithIncludedPath(path2)
    .Attach()
    .CreateAsync();

ClientEncryptionIncludedPath path1 = new ClientEncryptionIncludedPath();
path1.setClientEncryptionKeyId("my-key"):
path1.setPath("/property1");
path1.setEncryptionType(CosmosEncryptionType.DETERMINISTIC.getName());
path1.setEncryptionAlgorithm(CosmosEncryptionAlgorithm.AEAES_256_CBC_HMAC_SHA_256.getName());

ClientEncryptionIncludedPath path2 = new ClientEncryptionIncludedPath();
path2.setClientEncryptionKeyId("my-key"):
path2.setPath("/property2");
path2.setEncryptionType(CosmosEncryptionType.RANDOMIZED.getName());
path2.setEncryptionAlgorithm(CosmosEncryptionAlgorithm.AEAES_256_CBC_HMAC_SHA_256.getName());

List<ClientEncryptionIncludedPath> paths = new ArrayList<>();
paths.add(path1);
paths.add(path2);

CosmosContainerProperties containerProperties =
    new CosmosContainerProperties("my-container", "/id");
containerProperties.setClientEncryptionPolicy(new ClientEncryptionPolicy(paths));
database.createEncryptionContainerAsync(containerProperties);

Şifrelenmiş verileri okuma ve yazma

Veriler nasıl şifrelenir?

Bir belge Azure Cosmos DB'ye her yazıldıktan sonra SDK, hangi özelliklerin şifrelenmesinin gerektiğini ve nasıl şifrelenmesinin gerektiğini bulmak için şifreleme ilkesini arar. Şifrelemenin sonucu bir temel 64 dizesidir.

Karmaşık türlerin şifrelenmesini:

• Şifreleme özelliği bir JSON dizisi olduğunda, dizinin her girişi şifrelenir.

• Şifreleme özelliği bir JSON nesnesi olduğunda, yalnızca nesnenin yaprak değerleri şifrelenir. Ara alt özellik adları düz metin biçiminde kalır.

Şifrelenmiş öğeleri okuma

Nokta okumaları (kimliği ve bölüm anahtarıyla tek bir öğeyi getirme), sorgular veya değişiklik akışını okurken şifrelenmiş özelliklerin şifresini çözmek için açık bir eylem gerekmez. Bunun nedeni:

• SDK, hangi özelliklerin şifresinin çözülmesi gerektiğini bulmak için şifreleme ilkesini arar.
• Şifrelemenin sonucu, değerin özgün JSON türünü ekler.

Şifrelenmiş özelliklerin çözümünün ve bunların sonraki şifre çözme işlemlerinin yalnızca isteklerinizden döndürülen sonuçlara dayandığını unutmayın. Örneğin, şifrelenmişse ancak ()SELECT property1 AS property2 FROM c olarak property2 yansıtılıyorsaproperty1, SDK tarafından alındığında şifrelenmiş özellik olarak tanımlanmamıştır.

Şifrelenmiş özelliklerdeki sorguları filtreleme

Şifrelenmiş özelliklere göre filtreleyen sorgular yazarken, sorgu parametresinin değerini geçirmek için belirli bir yöntem kullanılmalıdır. Bu yöntem aşağıdaki bağımsız değişkenleri alır:

• Sorgu parametresinin adı.
• Sorguda kullanılacak değer.
• Şifrelenmiş özelliğin yolu (şifreleme ilkesinde tanımlandığı gibi).

var queryDefinition = container.CreateQueryDefinition(
    "SELECT * FROM c where c.property1 = @Property1");
await queryDefinition.AddParameterAsync(
    "@Property1",
    1234,
    "/property1");

SqlQuerySpecWithEncryption sqlQuerySpecWithEncryption = new SqlQuerySpecWithEncryption(
    new SqlQuerySpec("SELECT * FROM c where c.property1 = @Property1"));
sqlQuerySpecWithEncryption.addEncryptionParameter(
    "/property1", new SqlParameter("@Property1", 1234))

Özelliklerin yalnızca bir alt kümesinin şifresinin çözülebildiği belgeleri okuma

İstemcinin özellikleri şifrelemek için kullanılan tüm CMK'lere erişimi olmadığı durumlarda, veriler yeniden okunduğunda özelliklerin yalnızca bir alt kümesinin şifresi çözülebilir. Örneğin, anahtar1 ile şifrelendiyse ve property2 anahtar2 ile şifrelendiyseproperty1, yalnızca key1'e erişimi olan bir istemci uygulaması verileri okumaya devam edebilir, ancak okuyamayabilirproperty2. Böyle bir durumda, VERILERINIZI SQL sorguları aracılığıyla okumanız ve istemcinin şifresini çözemeyebileceği özellikleri yansıtmanız gerekir: SELECT c.property1, c.property3 FROM c.

CMK döndürme

Geçerli CMK'nin gizliliğinin ihlal edildiğini düşünüyorsanız CMK'nizi "döndürmek" isteyebilirsiniz (geçerli CMK yerine yeni bir CMK kullanın). CMK'yi düzenli olarak döndürmek de yaygın bir güvenlik uygulamasıdır. Bu döndürmeyi gerçekleştirmek için, yalnızca belirli bir DEK'yi sarmak için kullanılması gereken yeni CMK'nin anahtar tanımlayıcısını sağlamanız gerekir. Bu işlemin verilerinizin şifrelenmesini değil DEK'nin korunmasını etkilediğini unutmayın. Döndürme tamamlanana kadar önceki CMK'ye erişim iptal edilmemelidir.

await database.RewrapClientEncryptionKeyAsync(
    "my-key",
    new EncryptionKeyWrapMetadata(
        KeyEncryptionKeyResolverName.AzureKeyVault,
        "akvKey",
        "https://<my-key-vault>.vault.azure.net/keys/<new-key>/<version>",
        EncryptionAlgorithm.RsaOaep.ToString()));

EncryptionKeyWrapMetadata metadata = new EncryptionKeyWrapMetadata(
    cosmosEncryptionAsyncClient.getKeyEncryptionKeyResolverName(), 
    "akvKey", 
    "https://<my-key-vault>.vault.azure.net/keys/<new-key>/<version>",
    EncryptionAlgorithm.RSA_OAEP.toString());
database.rewrapClientEncryptionKey(
    "my-key",
    metadata);

DEK döndürme

Veri şifreleme anahtarını döndürme özelliği, anahtar teslimi özelliği olarak sunulmaz. Bunun nedeni, DEK'nin güncelleştirilmesi için bu anahtarın kullanıldığı tüm kapsayıcıların taranıp bu anahtarla şifrelenen tüm özelliklerin yeniden şifrelenmesi gerekir. Bu işlem yalnızca Azure Cosmos DB hizmeti DEK'nin düz metin değerini depolamadığından veya bunlara erişmediğinden istemci tarafında gerçekleşebilir.

Uygulamada DEK döndürme işlemi, etkilenen kapsayıcılardan yeni kapsayıcılara veri geçişi gerçekleştirilerek gerçekleştirilebilir. Yeni kapsayıcılar, özgün kapsayıcılarla tam olarak aynı şekilde oluşturulabilir. Bu tür bir veri geçişi konusunda size yardımcı olmak için GitHub'da tek başına bir geçiş aracı bulabilirsiniz.

Ek şifrelenmiş özellikler ekleme

Mevcut bir şifreleme ilkesine ek şifrelenmiş özellikler eklenmesi, yukarıdaki bölümde açıklanan nedenlerle desteklenmez. Bu işlem, özelliklerin tüm örneklerinin düzgün bir şekilde şifrelendiğinden emin olmak için kapsayıcının tam taramasını gerektirir ve bu yalnızca istemci tarafında gerçekleşebilen bir işlemdir. Dek döndürmede olduğu gibi, uygun bir şifreleme ilkesine sahip yeni bir kapsayıcıya veri geçişi gerçekleştirilerek ek şifrelenmiş özellikler eklenebilir.

Şema açısından yeni şifrelenmiş özelliklerin eklenme şekli konusunda esnekliğiniz varsa, Azure Cosmos DB'nin şemadan bağımsız doğasından da yararlanabilirsiniz. Şifreleme ilkenizde "özellik paketi" olarak tanımlanan bir özellik kullanıyorsanız, kısıtlama olmadan aşağıda daha fazla özellik ekleyebilirsiniz. Örneğin, bunun property1 şifreleme ilkenizde tanımlandığını ve başlangıçta belgelerinizde yazdığınızı property1.property2 düşünelim. Daha sonraki bir aşamada şifrelenmiş özellik olarak eklemeniz property3 gerekiyorsa, belgelerinizde yazmaya property1.property3 başlayabilirsiniz ve yeni özellik de otomatik olarak şifrelenir. Bu yaklaşım herhangi bir veri geçişi gerektirmez.

Sonraki adımlar

• Bekleyen şifreleme için müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi edinin