Amb l'emmagatzematge multi-inquilí, diversos usuaris comparteixen la mateixa infraestructura, però el xifratge garanteix que les seves dades es mantinguin privades i segures. Aquests són els punts clau:

• Dades en repòs: xifra els fitxers amb AES-256 o utilitzeu el xifratge de disc complet per protegir les dades emmagatzemades.
• Dades en trànsit: Utilitzeu TLS 1.3 o IPsec per protegir les dades que es mouen a través de les xarxes.
• Aïllament de llogaters: assigneu claus de xifratge úniques per a cada inquilí per evitar l'accés creuat.
• Gestió de claus: Gireu les claus amb regularitat, emmagatzemeu-les de manera segura i utilitzeu l'autenticació multifactor per accedir-hi.
• Control d'accés: els permisos basats en rols i la supervisió en temps real garanteixen un tractament adequat de les dades.

El xifratge no només prevé les fuites de dades, sinó que també protegeix contra el robatori físic, les vulnerabilitats de la xarxa i els errors de control d'accés. En combinar mètodes de xifratge forts amb una gestió i un seguiment de claus adequats, els entorns multi-inquilí poden mantenir-se segurs i complir.

Pràctiques recomanades per utilitzar l'Azure Key Vault en un servei web multiinquilí

Principals mètodes de xifratge

La protecció de les dades implica xifrar tant la informació emmagatzemada com la transmesa mitjançant múltiples capes de seguretat.

Xifratge d'emmagatzematge

El xifratge d'emmagatzematge protegeix les dades en repòs mitjançant dues tècniques principals:

Xifratge de disc complet (FDE)
Aquest mètode xifra les unitats d'emmagatzematge senceres, protegint-se del robatori físic o l'accés no autoritzat. Normalment utilitza l'estàndard AES-256.

Xifratge a nivell de fitxer
Aquest enfocament assigna claus de xifratge úniques a fitxers i directoris individuals, oferint un control més detallat. Normalment combina:

• AES per xifrar el contingut del fitxer
• RSA per a l'intercanvi de claus
• HMAC per verificar la integritat de les dades

Xifratge de xarxa

El xifratge de xarxa garanteix que les dades es mantinguin segures mentre viatgen entre sistemes i usuaris. Els protocols comuns inclouen:

Seguretat de la capa de transport (TLS)
TLS 1.3 ofereix funcions avançades com:

• Secret Forward Perfect (PFS)
• Temps d'anada i tornada zero (0-RTT)
• Una forta defensa contra els atacs de l'home del mig

IPsec (Seguretat del protocol d'Internet)
Funcionant a la capa IP, IPsec proporciona:

• Capçalera d'autenticació (AH) per a controls d'integritat
• Càrrega útil de seguretat encapsulada (ESP) per al xifratge
• Intercanvi de claus d'Internet (IKE) per a una distribució segura de claus

El següent pas per a un xifratge robust és la gestió eficaç de les claus.

Gestió de claus

La gestió adequada de les claus és essencial per mantenir la integritat del xifratge. Un bon sistema inclou:

Generació i emmagatzematge de claus

• Mòduls de seguretat de maquinari (HSM) per a la creació de claus segura
• Emmagatzematge encriptat amb còpies de seguretat en diverses ubicacions
• Separació clara entre les claus mestres i les claus de xifratge de dades

Control d'accés

• Control d'accés basat en rols (RBAC) per gestionar els permisos clau
• Autenticació multifactor per a operacions clau crítiques
• Registres d'auditoria complets per a totes les activitats relacionades amb les claus

Gestió del cicle de vida
Les claus necessiten actualitzacions periòdiques i eliminació segura. Les pràctiques estàndard inclouen:

• Rotació de claus de xifratge de dades cada trimestre
• Rotació de claus mestres anualment
• Eliminació de claus de manera segura segons els estàndards DOD 5220.22-M
• Ús de versions clau per mantenir l'accés a dades més antigues

Configuració del xifratge multi-inquilí

Anem a submergir-nos en la configuració del xifratge multi-inquilí, basant-nos en els mètodes de xifratge i les estratègies de gestió de claus comentades anteriorment. Aquesta configuració garanteix un desplegament segur i eficient.

Selecció de tipus de xifratge

Per aconseguir un equilibri entre seguretat i rendiment, penseu a utilitzar diverses capes de xifratge:

Protecció de dades en repòs

• Ús AES-256 per xifrar fitxers.
• Aplicar Xifratge transparent de dades (TDE) per a bases de dades.
• Activa xifratge a nivell de volum per a entorns d'emmagatzematge compartit.

Protecció de dades en trànsit

• Ús TLS 1.3 per a totes les comunicacions de l'API.
• Aplicar xifratge d'extrem a extrem per a operacions sensibles.
• Trieu protocols segurs per a còpies de seguretat i processos de rèplica.

Configuració de claus de llogater

Cada inquilí requereix les seves pròpies claus de xifratge per garantir l'aïllament de les dades. A continuació s'explica com configurar-los:

Configuració de la clau mestra

• Genera a clau mestra única per a cada inquilí utilitzant HSM compatibles amb FIPS 140-2.
• Emmagatzema les claus mestres enclavaments segurs separats.
• Automatitzar la rotació de claus cada 90 dies per millorar la seguretat.

Estructura clau del llogater

• Crear Claus de xifratge de dades (DEK) específic de cada llogater.
• Xifra els DEK mitjançant la clau mestra de l'arrendatari.
• Mantenir versions separades de les claus per donar suport a la recuperació de dades quan sigui necessari.

Aquests passos adapten el procés de gestió de claus a un entorn multi-inquilí.

Configuració del control d'accés

Els mecanismes de control d'accés forts són fonamentals per aïllar les dades dels inquilins de manera eficaç:

Marc d'autenticació

• Ús OAuth 2.0 amb fitxes JWT per a una autenticació segura.
• Requereix autenticació multifactor (MFA) per a accions privilegiades.
• Implementar Control d'accés basat en rols (RBAC) per a la gestió detallada dels permisos.

Aïllament de dades de llogater

• Asigneu identificadors d'inquilí únics per crear contextos de xifratge diferents.
• Utilitzeu un emmagatzematge de claus independent per a cada inquilí per millorar l'aïllament.

Nivell de seguretat	Freqüència de rotació de tecles	Requisit de MFA	Àmbit de registre d'accés
Bàsica	Cada 180 dies	Opcional	Només esdeveniments clau
Estàndard	Cada 90 dies	Obligatori per als administradors	Tots els esdeveniments d'accés
Millora	Cada 30 dies	Obligatori per a tots els usuaris	Registres d'auditoria complets

Seguiment i compliment

• Configurar alertes en temps real per a intents d'accés no autoritzats.
• Automatitzeu les comprovacions de compliment per mantenir-vos alineats amb la normativa.
• Manteniu registres d'auditoria detallats per a totes les activitats relacionades amb el xifratge.

Aquesta configuració garanteix la seguretat i la responsabilitat en un entorn multi-inquilí.

sbb-itb-59e1987

Pautes de seguretat

Per millorar la protecció de dades sensibles i garantir el compliment, apliqueu mesures de seguretat estrictes juntament amb pràctiques d'encriptació i gestió de claus. Aquestes directrius estan dissenyades per reforçar la seguretat dels entorns d'emmagatzematge multi-inquilí.

Horari de rotació de claus

Definiu intervals de rotació clau en funció de la sensibilitat de les dades i dels requisits de compliment:

Intervals de rotació regulars

Classificació de dades	Freqüència de rotació	Requisits de còpia de seguretat	Període d'avís
Crític	30 dies	Diari fora del lloc	7 dies
Sensible	90 dies	Setmanal fora del lloc	14 dies
Estàndard	180 dies	Mensualment fora del lloc	30 dies

Protocols de rotació d'emergència

• Gireu les tecles immediatament si se sospita un compromís.
• Utilitzeu tecles d'emergència dedicades per als sistemes crítics i assegureu-vos que totes les rotacions estiguin registrades.

S'ha de combinar un pla sòlid de rotació de claus amb un seguiment continu de l'activitat del sistema per detectar anomalies a la primera oportunitat.

Monitorització de la seguretat

Un cop establerts els protocols clau, manteniu la seguretat mitjançant un seguiment coherent i actiu:

Monitorització en temps real

• Feu un seguiment de l'ús de les claus i dels patrons d'accés en temps real.
• Configureu alertes per a qualsevol intent d'accés no autoritzat.

Seguiment d'accés

Nivell de seguiment	Mètriques	Llindar d'alerta	Temps de resposta
A tot el sistema	Ús de claus, accés	>10 intents fallits	5 minuts
Específic del llogater	Accés a dades, trucades API	Puxes de volum sobtades	15 minuts
Administratiu	Operacions privilegiades	Qualsevol acció no autoritzada	Immediatament

Complint amb els estàndards de dades

Per alinear-se amb els protocols de xifratge, seguiu aquests estàndards de dades establerts:

Integració del marc de compliment

• Ús FIPS 140-2 mòduls criptogràfics validats.
• Complir amb Article 32 del RGPD requisits de xifratge.
• Assegureu-vos que la gestió de claus s'alinea amb HIPAA normatives.

Requisits de documentació

• Mantenir registres de totes les activitats clau de gestió.
• Mantingueu rastres detallats d'auditoria de xifratge.
• Documenteu a fons els procediments de resposta a incidents.

Procés de validació

• Realitzar auditories de compliment cada trimestre.
• Realitzar proves de penetració anuals per identificar vulnerabilitats.
• Actualitzeu regularment els certificats de seguretat segons sigui necessari.

Problemes comuns i solucions

El xifratge a l'emmagatzematge multi-inquilí inclou el seu propi conjunt de reptes. A continuació, abordarem alguns problemes comuns i maneres pràctiques d'abordar-los, centrant-nos en el rendiment, la gestió de claus i l'equilibri entre seguretat i usabilitat.

Velocitat i rendiment

El xifratge pot alentir les operacions a causa del processament addicional que requereix. A continuació s'explica com fer que les coses funcionin sense problemes:

• Acceleració de maquinari
  L'ús d'acceleradors de maquinari com Intel AES-NI pot reduir l'ús de la CPU mantenint els estàndards de xifratge.
• Estratègies de memòria cau
  La memòria cau intel·ligent pot millorar el rendiment sense comprometre la seguretat. Aquí teniu un desglossament ràpid:

Nivell de memòria cau	Implementació	Augment del rendiment	Consideracions de seguretat
Memòria	Memòria cau xifrada per a dades actives	Accés més ràpid	Risc afegit mínim
Sessió	Emmagatzematge temporal de claus	Menor latència	Exposició a curt termini
Disc	Xifratge selectiu per a zones específiques	Millor eficiència d'E/S	Proteccions ajustables

Un cop optimitzat el rendiment, és essencial abordar possibles problemes amb la gestió de claus.

Problemes clau de gestió

La gestió adequada de les claus és crucial per a l'aïllament dels inquilins i la integritat general del sistema. Un sistema de claus de tres nivells és molt eficaç quan s'implementa correctament:

• Aïllament de llogaters
  • Assegureu-vos que les claus mestra, inquilí i dades estiguin aïllades per evitar l'accés entre llogaters.
  • Verifiqueu que la distribució de claus automatitzada no desdibuixa els límits dels inquilins.
  • Utilitzeu procediments de còpia de seguretat únics per a les claus de cada inquilí mentre manteniu un procés de recuperació unificat per als administradors.

La gestió de claus només és una part de l'equació. Igualment important és equilibrar la seguretat forta amb la comoditat de l'usuari.

Seguretat versus facilitat d'ús

Aconseguir l'equilibri adequat entre seguretat i usabilitat requereix controls d'accés i automatització atents:

• Optimització del control d'accés
  Protegiu les dades sense complicar-ho massa per als usuaris mitjançant la implementació de funcions com:

Característica	Nivell de seguretat	Impacte de l'usuari	Implementació
Inici de sessió únic	Alt	Mínima interrupció	Serveis de la Federació
Accés basat en rols	Fort	Complexitat moderada	Permisos granulars
Accés just a temps	Molt alt	Lleus retards	Credencials temporals

• Automatització i integració
  Automatitzeu la rotació de claus i utilitzeu controls de seguretat basats en API per reduir el treball manual. La introducció de portals d'autoservei també pot simplificar les tasques rutinàries.
• Seguiment i alertes
  Configureu un sistema de vigilància sòlid per detectar i resoldre problemes aviat:
  • Feu un seguiment del rendiment del xifratge en temps real.
  • Superviseu l'ús de les claus per detectar anomalies.
  • Automatitzar les respostes per a problemes comuns.

Les auditories periòdiques i els comentaris dels usuaris són essencials per a la millora contínua. Penseu en associar-vos amb proveïdors com Servidor per racionalitzar la gestió del xifratge i abordar els reptes de rendiment de manera eficaç.

Resum

Aquesta secció recull les estratègies principals per assegurar l'emmagatzematge multi-inquilí amb xifratge. La clau és combinar diverses capes de xifratge, acceleració de maquinari i memòria cau intel·ligent per protegir les dades mantenint els impactes sobre el rendiment baixos.

En xifrar les dades tant a nivell d'emmagatzematge com de xarxa i imposar una gestió estricta de claus, les dades dels inquilins romanen aïllades. L'acceleració de maquinari i la memòria cau eficient ajuden a reduir la càrrega de rendiment del xifratge, garantint que la seguretat no alenti les coses.

Els elements bàsics d'un xifratge efectiu inclouen:

• Controls d'accés basats en rols per limitar l'accés a les dades
• Provisió de credencials just a temps per millorar la seguretat
• Programes de rotació de claus automatitzats per prevenir vulnerabilitats
• Auditories de seguretat periòdiques per identificar i abordar els riscos

Amb les claus específiques de l'inquilí, la gestió d'accés es reforça encara més amb:

• Utilitzant claus de xifratge úniques per a cada inquilí
• Implementació AES-256 i altres algorismes reconeguts per la indústria
• Manteniment registres d'accés detallats per la responsabilitat
• Ocupant sistemes de control automatitzat per detectar anomalies

Publicacions de bloc relacionades

• Explicació del xifratge d'extrem a extrem per a l'allotjament
• Gestió de claus en l'allotjament de xifratge d'extrem a extrem
• Llista de verificació per a la seguretat de l'API d'emmagatzematge al núvol
• Com protegir les connexions de l'API d'emmagatzematge al núvol