Inaktív adatok Azure Storage-titkosítása
Az Azure Storage szolgáltatásoldali titkosítással (SSE) automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. Az Azure Storage-titkosítás védi az adatokat, és segít megfelelni a vállalati biztonsági és megfelelőségi követelményeknek.
A Microsoft szolgáltatásoldali titkosítás használatát javasolja az adatok védelme érdekében a legtöbb esetben. A Blob Storage-hoz és a Queue Storage-hoz készült Azure Storage-ügyfélkódtárak azonban ügyféloldali titkosítást is biztosítanak azon ügyfelek számára, akiknek az ügyfélen lévő adatokat kell titkosítaniuk. További információ: Blobok és üzenetsorok ügyféloldali titkosítása.
Tudnivalók az Azure Storage szolgáltatásoldali titkosításáról
Az Azure Storage-ban az adatok titkosítása és visszafejtése transzparens módon történik a 256 bites AES-titkosítással, amely az egyik legerősebb elérhető blokktitkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure Storage-titkosítás hasonló a Windows BitLocker titkosításához.
Az Azure Storage-titkosítás minden tárfiókhoz engedélyezve van, beleértve a Resource Manager és a klasszikus tárfiókokat is. Az Azure Storage titkosítása nem tiltható le. Mivel az adatok alapértelmezés szerint védettek, nem kell módosítania a kódot vagy az alkalmazásokat az Azure Storage-titkosítás előnyeinek kihasználásához.
A tárfiókban lévő adatok titkosítása a teljesítményszinttől (standard vagy prémium), a hozzáférési szinttől (gyakori vagy ritka elérésű) vagy az üzemi modelltől (Azure Resource Manager vagy klasszikus) függetlenül történik. Az archív szinten lévő összes blob is titkosítva van. Minden Azure Storage-redundanciabeállítás támogatja a titkosítást, és a georeplikálás engedélyezése esetén az elsődleges és a másodlagos régióban lévő összes adat titkosítva van. Minden Azure Storage-erőforrás titkosítva van, beleértve a blobokat, lemezeket, fájlokat, üzenetsorokat és táblákat. Az összes objektum metaadata is titkosítva van. Az Azure Storage titkosítása nem jár további költséggel.
A 2017. október 20. után az Azure Storage-ba írt összes blokkblob, hozzáfűző blob vagy lapblob titkosítva van. Az ezen dátum előtt létrehozott blobokat továbbra is titkosítja egy háttérfolyamat. A 2017. október 20. előtt létrehozott blob titkosításának kényszerítéséhez újraírhatja a blobot. A blobok titkosítási állapotának ellenőrzéséhez tekintse meg a blobok titkosítási állapotának ellenőrzését ismertető témakört.
További információ az Azure Storage-titkosítás alapjául szolgáló titkosítási modulokról: Cryptography API: Next Generation.
Az Azure-beli felügyelt lemezek titkosításával és kulcskezelésével kapcsolatos információkért lásd az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítását.
Tudnivalók a titkosítási kulcsok kezeléséről
Az új tárfiókban lévő adatok alapértelmezés szerint a Microsoft által felügyelt kulcsokkal lesznek titkosítva. Továbbra is a Microsoft által felügyelt kulcsokra támaszkodhat az adatok titkosításához, vagy kezelheti a titkosítást a saját kulcsaival. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, két lehetősége van. Használhatja a kulcskezelés egyik típusát, vagy mindkettőt:
- Megadhat egy ügyfél által kezelt kulcsot, amelyet a Blob Storage-ban és Azure Files adatok titkosításához és visszafejtéséhez használhat. 1,2 Az ügyfél által felügyelt kulcsokat az Azure Key Vault vagy az Azure Key Vault Managed Hardware Security Model (HSM) (előzetes verzió) szolgáltatásban kell tárolni. Az ügyfél által felügyelt kulcsokkal kapcsolatos további információkért lásd: Ügyfél által felügyelt kulcsok használata az Azure Storage-titkosításhoz.
- Megadhatja az ügyfél által megadott kulcsot a Blob Storage-műveletekhez. A Blob Storage-ra irányuló olvasási vagy írási kérést küldő ügyfelek tartalmazhatnak egy titkosítási kulcsot a blobadatok titkosításának és visszafejtési módjának részletes szabályozására vonatkozó kéréshez. Az ügyfél által megadott kulcsokkal kapcsolatos további információkért lásd: Titkosítási kulcs megadása a Blob Storage-nak küldött kéréshez.
A tárfiókok alapértelmezés szerint a teljes tárfiókra kiterjedő kulccsal lesznek titkosítva. A titkosítási hatókörök lehetővé teszik a titkosítás kezelését egy tárolóra vagy egy adott blobba vonatkozó kulccsal. Titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanazon tárfiókban található, de különböző ügyfelekhez tartozó adatok között. A titkosítási hatókörök a Microsoft által felügyelt vagy az ügyfél által felügyelt kulcsokat is használhatják. A titkosítási hatókörökről további információt a Blob Storage titkosítási hatóköreit ismertető cikkben talál.
Az alábbi táblázat az Azure Storage-titkosítás kulcskezelési lehetőségeit hasonlítja össze.
| Kulcskezelési paraméter | Microsoft által felügyelt kulcsok | Felhasználó által kezelt kulcsok | Ügyfél által megadott kulcsok |
|---|---|---|---|
| Titkosítási/visszafejtési műveletek | Azure | Azure | Azure |
| Támogatott Azure Storage-szolgáltatások | Mind | Blob Storage, Azure Files 1,2 | Blob Storage |
| Kulcstároló | Microsoft kulcstároló | Azure Key Vault vagy Key Vault HSM | Az ügyfél saját kulcstárolója |
| Kulcsrotálási felelősség | Microsoft | Ügyfél | Ügyfél |
| Kulcsvezérlő | Microsoft | Ügyfél | Ügyfél |
| Kulcshatókör | Fiók (alapértelmezett), tároló vagy blob | Fiók (alapértelmezett), tároló vagy blob | N/A |
1 További információ az ügyfél által felügyelt kulcsok Queue Storage-beli használatát támogató fiókok létrehozásáról: Ügyfél által felügyelt kulcsokat támogató fiók létrehozása az üzenetsorokhoz.
2 További információ az ügyfél által felügyelt kulcsok Table Storage-beli használatát támogató fiókok létrehozásáról: Ügyfél által felügyelt kulcsokat támogató fiók létrehozása a táblákhoz.
Megjegyzés
A Microsoft által felügyelt kulcsok a megfelelőségi követelményeknek megfelelően vannak elforgatva. Ha konkrét kulcsrotálási követelményekkel rendelkezik, a Microsoft azt javasolja, hogy lépjen az ügyfél által felügyelt kulcsokra, hogy Ön felügyelhesse és naplózhassa a rotációt.
Adatok kétszeres titkosítása infrastruktúra-titkosítással
Azok az ügyfelek, akik magas szintű biztonságot igényelnek az adataik biztonságáról, 256 bites AES-titkosítást is lehetővé tehetnek az Azure Storage-infrastruktúra szintjén. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok két különböző titkosítási algoritmussal és két különböző kulccsal lesznek titkosítva – egyszer a szolgáltatás szintjén és egyszer az infrastruktúra szintjén. Az Azure Storage-adatok kettős titkosítása védelmet nyújt egy olyan forgatókönyvvel szemben, amelyben az egyik titkosítási algoritmus vagy kulcs biztonsága sérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.
A szolgáltatásszintű titkosítás támogatja a Microsoft által felügyelt kulcsok vagy az azure Key Vault ügyfél által felügyelt kulcsok használatát. Az infrastruktúraszintű titkosítás a Microsoft által felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ.
Az infrastruktúra-titkosítást lehetővé tevő tárfiókok létrehozásával kapcsolatos további információkért lásd: Tárfiók létrehozása az adatok kettős titkosításához engedélyezett infrastruktúra-titkosítással.
Ügyféloldali titkosítás blobokhoz és üzenetsorokhoz
A .NET, Java és Python Azure Blob Storage ügyfélkódtárai támogatják az adatok titkosítását az ügyfélalkalmazásokban az Azure Storage-ba való feltöltés előtt, valamint az adatok visszafejtését az ügyfélre való letöltéskor. A Queue Storage .NET- és Python-ügyfélkódtárai szintén támogatják az ügyféloldali titkosítást.
Megjegyzés
Az ügyféloldali titkosítás helyett fontolja meg az Azure Storage által biztosított szolgáltatásoldali titkosítási funkciók használatát az adatok védelmére.
A Blob Storage és a Queue Storage ügyfélkódtárak az AES-t használják a felhasználói adatok titkosításához. Az ügyféloldali titkosításnak két verziója érhető el az ügyfélkódtárakban:
- A 2. verzió Galois/Counter Mode (GCM) módot használ az AES-sel. A Blob Storage és a Queue Storage SDK-k támogatják az ügyféloldali titkosítást a v2-vel.
- Az 1. verzió titkosítási blokkláncolást (CBC) használ az AES-sel. A Blob Storage, a Queue Storage és a Table Storage SDK-k támogatják az ügyféloldali titkosítást az 1-s verzióval.
Figyelmeztetés
Az ügyféloldali titkosítás v1 használata már nem ajánlott az ügyfélkódtár CBC mód implementációjának biztonsági rése miatt. További információ erről a biztonsági résről: Azure Storage– ügyféloldali titkosítás frissítése az SDK-ban a biztonsági rés kezelése érdekében. Ha jelenleg 1-edik verziót használ, javasoljuk, hogy frissítse az alkalmazást az ügyféloldali titkosítás v2 használatára, és telepítse át az adatokat.
Az Azure Table Storage SDK csak az ügyféloldali titkosítás v1-et támogatja. Nem ajánlott ügyféloldali titkosítást használni a Table Storage-tal.
Az alábbi táblázat bemutatja, hogy mely ügyfélkódtárak támogatják az ügyféloldali titkosítás mely verzióit, és útmutatást nyújt az ügyféloldali titkosítás v2-re való migráláshoz.
| Ügyfélkódtár | Az ügyféloldali titkosítás támogatott verziója | Javasolt migrálás | További útmutatás |
|---|---|---|---|
| Blob Storage ügyfélkódtárak a .NET-hez (12.13.0-s és újabb verziók), Java -hoz (12.18.0-s és újabb verziók) és Python (12.13.0-s vagy újabb verzió) | 2.0 1.0 (csak visszamenőleges kompatibilitás esetén) |
Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéshez, majd fejtse vissza újra az ügyféloldali titkosítás v2-vel. |
Ügyféloldali titkosítás blobokhoz |
| Blob Storage ügyfélkódtár a .NET-hez (12.12.0-s és újabb verziók), Java -hoz (12.17.0-s és újabb verziók) és Python (12.12.0-s és újabb verziókhoz) | 1.0 (nem ajánlott) | Frissítse az alkalmazást úgy, hogy a Blob Storage SDK olyan verzióját használja, amely támogatja az ügyféloldali titkosítás 2-es verzióját. Részletekért tekintse meg az ügyféloldali titkosítás SDK-támogatási mátrixát . Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéshez, majd fejtse vissza újra az ügyféloldali titkosítás v2-vel. |
Ügyféloldali titkosítás blobokhoz |
| A Queue Storage ügyféloldali kódtára a .NET-hez (12.11.0-s vagy újabb verzió) és Python (12.4-es vagy újabb verzió) | 2.0 1.0 (csak visszamenőleges kompatibilitás esetén) |
Frissítse a kódot az ügyféloldali titkosítás v2 használatára. | Ügyféloldali titkosítás üzenetsorokhoz |
| Queue Storage ügyfélkódtár a .NET-hez (12.10.0-s és újabb verziók) és Python (12.3.0-s és újabb verziók) | 1.0 (nem ajánlott) | Frissítse az alkalmazást úgy, hogy a Queue Storage SDK ügyféloldali titkosítást támogató verziójának 2-es verzióját használja. Az ügyféloldali titkosítás SDK-támogatási mátrixának megtekintése Frissítse a kódot az ügyféloldali titkosítás v2 használatára. |
Ügyféloldali titkosítás üzenetsorokhoz |
| Table Storage ügyféloldali kódtár a .NET-hez, a Java-hoz és a Python-hez | 1.0 (nem ajánlott) | Nem érhető el. | N/A |