我正在将一个应用程序移动到 Azure,并且需要为单个表中的几列实现 PCI 合规性。我意识到我可以在存储数据之前对其进行加密,但我想知道 SQL Azure 中是否有一个功能可以为我管理其中的一部分。我读过一些书,但我不确定是什么;或者不是;SQL Azure 中支持。
我已经阅读了有关使用 SQL Server(而不是 SQL Azure)的模式,其中数据加密和解密应用在视图后面。在这种情况下,所有客户端都通过视图访问数据,因此从加密/解密过程中抽象出来。话虽如此,似乎有点危险。
我愿意接受有关如何处理这种情况的任何和所有建议。
简短回答:截至 2012 年 4 月 20 日,SQL Azure 不支持列加密,请参阅:http: //msdn.microsoft.com/en-us/library/windowsazure/ee336253.aspx并搜索 ENCRYPT。您将看到所有加密功能都被列为不受支持。
如果您需要加密静态数据并且必须支持 SQL Azure,那么您将不得不在应用程序级别进行加密。由于许多良好的加密实践(使用随机数作为每个单元的初始化向量,用于跟踪哪些密钥加密哪些列的密钥管理,完整性验证,具有基于角色的权限的加密密钥的分层保护),这更难得到自己实施。我强烈建议让安全专业人员与您一起进行加密,因为要正确处理具有挑战性,如果您遗漏了某些内容,那么您就会有一种错误的安全感,以后可能会真正烧毁您。
您可以查看http://securentity.codeplex.com,它声称是管理加密数据并支持 SQL Azure 的解决方案。我没有亲自使用过它,也不能保证它的正确性,但它是一个潜在的选择。
其他信息:
在 SQL Server 中,列级加密既简单又非常安全(即使使用视图),因为您可以使用角色来管理谁可以访问加密密钥。即使用户可以从视图中进行选择,如果他们没有被授予对加密基础数据的密钥的访问权限,那么他们将获得这些加密列的 NULL。我有一组用于 SQL Server 2005 及更高版本的示例代码,可在此处演示 SQL Server 的加密功能:http: //sqlcrypto.codeplex.com
Windows Azure 符合支付卡行业 (PCI) 数据安全标准 (DSS) 的 1 级标准,并由独立的合格安全评估员 (QSA) 验证,允许商家建立安全的持卡人环境并获得自己的认证。
https://www.windowsazure.com/en-us/support/trust-center/compliance/
要加密托管在 Azure 中的 SQL 表,最简单的方法是启动 SQL IaaS 实例,并启用 TDE 或列级加密。(而不是使用不支持透明数据加密或单元级加密的 SQL Azure PaaS 产品)。
除了加密信用卡号码之外,还有许多其他安全要求需要考虑。
截至今天,关于MSDN 文章和 Microsoft Docs 提供的兼容性信息,Azure SQL 数据库 (PaaS) 中提供了下面列出的两个功能。
因此,您可以简单地使用这些功能来满足您的要求,并将整个加密过程保留在幕后。
这是一个总体摘要的链接,其中介绍了 Azure 数据库的安全方面,可以作为准备适当安全架构的起点。
根据我的经验,我可以告诉你,如果你的系统在 Azure 和 OnPremises 环境之间划分,你应该小心。在这种情况下,设置所有内容(授权、同步)可能会有些困难。