Šifrování služby Azure Storage pro neaktivní uložená data

Azure Storage používá šifrování na straně serveru (SSE) k automatickému šifrování vašich dat při trvalém ukládání do cloudu. Azure Storage šifrování chrání vaše data a umožňuje vám plnit závazky zabezpečení vaší organizace a dodržování předpisů.

O šifrování Azure Storage

Data v Azure Storage jsou šifrována a dešifrována transparentně pomocí 256 šifrování AES, je k dispozici jedna z nejúčinnějších šifrovacích šifr a je kompatibilní se standardem FIPS 140-2. Šifrování Azure Storage se v systému Windows podobá šifrování BitLockeru.

Azure Storage šifrování je povolené pro všechny účty úložiště, včetně účtů úložiště Správce prostředků a Classic. Šifrování Azure Storage nelze zakázat. Vzhledem k tomu, že vaše data jsou zabezpečená ve výchozím nastavení, nemusíte upravovat kód ani aplikace, abyste mohli využívat Azure Storage šifrování.

Data v účtu úložiště jsou šifrovaná bez ohledu na úroveň výkonu (Standard nebo Premium), úroveň přístupu (horkou nebo studenou) nebo model nasazení (Azure Resource Manager nebo klasický). Všechny objekty BLOB v archivní úrovni jsou také šifrované. Všechny možnosti redundance Azure Storage podporují šifrování a všechna data v primární i sekundární oblasti jsou zašifrovaná, pokud je geografická replikace povolená. Všechny prostředky Azure Storage jsou zašifrované, včetně objektů blob, disků, souborů, front a tabulek. Všechna metadata objektů jsou také šifrována. Azure Storage šifrování se neúčtují žádné další náklady.

Všechny objekty blob bloku, doplňovací objekty blob nebo objekty blob stránky, které byly zapsány do Azure Storage po 20. října 2017, jsou zašifrovány. Objekty blob vytvořené před tímto datem budou i nadále zašifrovány procesem na pozadí. Pokud chcete vynutit šifrování objektu blob, který se vytvořil před 20. října 2017, můžete objekt BLOB přepsat. Informace o tom, jak zjistit stav šifrování objektu blob, najdete v tématu ověření stavu šifrování objektu BLOB.

Další informace o kryptografických modulech podkladových Azure Storage šifrování najdete v tématu kryptografické rozhraní API: další generace.

Informace o šifrování a správě klíčů pro Azure Managed disks najdete v tématu šifrování na straně serveru služby Azure Managed disks.

O správě šifrovacích klíčů

Data v novém účtu úložiště se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Můžete i nadále spoléhat na klíče spravované Microsoftem pro šifrování vašich dat, nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, máte dvě možnosti. Můžete použít buď typ správy klíčů, nebo obojí:

  • Můžete zadat klíč spravovaný zákazníkem , který se použije pro šifrování a dešifrování dat v úložišti objektů BLOB a ve službě soubory Azure. 1, 2 spravované klíče pro zákazníky musí být uložené ve Azure Key Vault nebo Azure Key Vault spravovaném modelu hardwarového zabezpečení (HSM) (Preview). Další informace o klíčích spravovaných zákazníkem najdete v tématu použití klíčů spravovaných zákazníkem pro Azure Storage šifrování.
  • Můžete zadat klíč poskytnutý zákazníkem pro operace BLOB Storage. Klient, který vytváří požadavek na čtení nebo zápis proti úložišti objektů blob, může do žádosti přidat šifrovací klíč a získat tak podrobné řízení způsobu, jakým se data objektů BLOB šifrují a dešifrují. Další informace o klíčích poskytovaných zákazníkem najdete v tématu poskytnutí šifrovacího klíče pro požadavek na úložiště objektů BLOB.

Následující tabulka porovnává možnosti správy klíčů pro Azure Storage šifrování.

Parametr správy klíčů Klíče spravované Microsoftem Klíče spravované zákazníkem Klíče poskytované zákazníky
Operace šifrování a dešifrování Azure Azure Azure
Podporované služby Azure Storage Services Vše BLOB Storage, soubory Azure1, 2 Blob Storage
Úložiště klíčů Microsoft Key Store Azure Key Vault nebo Key Vault HSM Vlastní úložiště klíčů zákazníka
Odpovědnost za rotaci klíčů Microsoft Zákazník Zákazník
Řízení pomocí klíče Microsoft Zákazník Zákazník

1 Informace o vytvoření účtu, který podporuje používání klíčů spravovaných zákazníkem se službou Queue Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro fronty.
2 Informace o vytvoření účtu, který podporuje používání klíčů spravovaných zákazníkem se službou Table Storage, najdete v tématu Vytvoření účtu, který podporuje klíče pro tabulky spravované zákazníkem.

Poznámka

Klíče spravované Microsoftem se obměnají odpovídajícím způsobem podle požadavků na dodržování předpisů. Pokud máte specifické požadavky na rotaci klíčů, Microsoft doporučuje přejít na klíče spravované zákazníkem, abyste mohli rotaci spravovat a auditovat sami.

Doubly encrypt data with infrastructure encryption

Zákazníci, kteří vyžadují vysokou úroveň záruky, že jsou jejich data zabezpečená, mohou také povolit 256bitové šifrování AES na Azure Storage úrovni infrastruktury. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát jednou na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a — — dvěma různými klíči. Dvojité šifrování Azure Storage dat chrání před scénářem, kdy může dojít k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři vaše data dál chrání další vrstva šifrování.

Šifrování na úrovni služby podporuje použití klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem pomocí Azure Key Vault. Šifrování na úrovni infrastruktury závisí na klíčích spravovaných Microsoftem a vždy používá samostatný klíč.

Další informace o vytvoření účtu úložiště, který umožňuje šifrování infrastruktury, najdete v tématu Vytvoření účtu úložiště s povoleným šifrováním infrastruktury pro dvojité šifrování dat.

Další kroky