Шифрование хранилища данных Azure?

Я создаю приложение на основе Azure, которое должно быть совместимым с pci. В моей компании есть понимание, что для соблюдения этого соответствия любая личная информация (PII) должна храниться в зашифрованном виде.

У меня есть ряд вопросов.

Верно ли, что соответствие pci означает шифрование PII в хранилище данных?

Какие у меня варианты с этим в Azure?

Я хотел бы хранить данные в documentdb, так как это будет наиболее близким к формату данных в приложении. Большая часть данных основана на документах и ​​json. Будет ли это соответствовать стандартам соответствия PCI?

Имеет ли значение, если хранилище данных, содержащее информацию о платеже и карте, отличается от хранилища, содержащего PII?


azure encryption azure-cosmosdb pci-compliance pci-dss
person Mark W    schedule 12.08.2015    source источник
comment
Я не думаю, что хранилище Azure поддерживает какое-либо шифрование, но Azure SQL поддерживает его на сервере v12: msdn.microsoft.com/en-us/library/Dn948096.aspx   -  person mfanto    schedule 12.08.2015

Ответы (3)


arrow_upward
1
arrow_downward

Вопрос о том, что требуется для соблюдения требований PCI, лучше всего задавать специалисту по комплаенсу вашей организации. Именно им в конечном итоге придется «подписать» ваше решение, чтобы они контролировали спецификации, над которыми вы работаете.

Что касается ваших вариантов, mfanto указал на поддержку SQL для новых уровней. Также есть хранилище Azure, в котором теперь есть расширения шифрования. Насколько мне известно, в DB Document еще ничего нет. А если у вас есть собственная база данных, виртуальные машины Windows уже некоторое время поддерживают шифрование с помощью Bitlocker на дисках с данными.

person BrentDaCodeMonkey    schedule 12.08.2015
comment
Если бы у нас был комплаенс, то было бы просто :-) - person Mark W; 12.08.2015
comment
Верно, DocumentDB еще не имеет шифрования данных в состоянии покоя. Вы можете использовать подход, реализованный в Storage, и реализовать шифрование на клиенте, прежде чем передавать данные в облако. Это сработало бы, если бы вам не нужно было запрашивать зашифрованные данные. Итак, оставьте данные, которые необходимо запрашивать, в виде открытого текста, чтобы DocumentDB мог их проиндексировать и зашифровать (на стороне клиента) данные, которые необходимо защитить. - person Ryan CrawCour; 13.08.2015
comment
есть много компаний, с которыми вы можете сотрудничать, чтобы провести для вас аудит на соответствие требованиям PCI. любой из них должен сообщить вам, каковы требования к PCI. - person Ryan CrawCour; 13.08.2015
comment
Я бы предпочел использовать Azure в качестве Pass, а не Iaas. Если мне удастся избежать использования виртуальных машин, я это сделаю. - person Mark W; 13.08.2015
comment
Если вы хотели использовать реляционную базу данных, база данных SQL Azure обеспечивает прозрачное шифрование данных, которое очень легко реализовать. msdn.microsoft.com/library/dn948096.aspx - person Mark Brown; 13.08.2015

arrow_upward
0
arrow_downward

Хотя в примере используются локальные файлы, следует отметить, что Azure Encryption Extensions также поддерживает потоки для всех методов загрузки / выгрузки - и ничего никогда не записывается на диск (потоки шифруются / дешифруются на лету).

UploadFromStreamEncrypted(...) DownloadToStreamEncrypted(...)

https://github.com/stefangordon/azure-encryption-extensions/blob/master/AzureEncryptionExtensionsTests/FunctionalTests.cs#L107

person StefanGordon    schedule 23.11.2015

arrow_upward
0
arrow_downward

Cosmos DB (ранее DocumentDB) теперь поддерживает шифрование в состоянии покоя. По умолчанию он включен в каждом регионе. Это не влияет на стоимость или производительность SLA. Примечание. Локальный эмулятор не поддерживает шифрование в состоянии покоя (хотя эмулятор предназначен только для разработки / тестирования).

Что касается соответствия, вам нужно будет поговорить с экспертом по соблюдению / юридическим вопросам.

Дополнительные сведения о неактивном шифровании Cosmos DB см. На странице этот пост.

person David Makogon    schedule 02.06.2017