A Blob Storage titkosítási hatókörei

A titkosítási hatókörök lehetővé teszik a titkosítás kezelését egy tárolóra vagy önálló blobra vonatkozó kulccsal. Titkosítási hatókörök használatával biztonságos határokat hozhat létre az egy tárfiókban található, de különböző ügyfelekhez tartozó adatok között.

A titkosítási hatókörök használatával kapcsolatos további információkért lásd: Titkosítási hatókörök létrehozása és kezelése.

A titkosítási hatókörök használata

Alapértelmezés szerint a tárfiókok titkosítása a teljes tárfiókra vonatkozó kulccsal történik. A titkosítási hatókör meghatározásakor meg kell adnia egy kulcsot, amely egy tárolóra vagy egy adott blobra is kiterjedhet. Amikor a titkosítási hatókört alkalmazza egy blobra, a blob ezzel a kulccsal lesz titkosítva. Amikor a titkosítási hatókört alkalmazza egy tárolóra, az lesz a tárolóban lévő blobok alapértelmezett hatóköre, így a tárolóba feltöltött összes blob ugyanazokkal a kulccsal titkosítható. A tároló konfigurálható úgy, hogy kikényszeríteni az alapértelmezett titkosítási hatókört a tárolóban lévő összes blobra, vagy hogy az alapértelmezetttől különböző titkosítási hatókörrel fel tudja tölteni a tárolóba az egyes blobokat.

A titkosítási hatókörrel létrehozott blobok olvasási műveletei transzparens módon történnek, ha a titkosítási hatókör nincs letiltva.

Kulcskezelés

A titkosítási hatókör meghatározásakor megadhatja, hogy a hatókört a Microsoft által felügyelt kulccsal vagy a felhőben tárolt, ügyfél által felügyelt kulccsal Azure Key Vault. Egy tárfiók különböző titkosítási hatókörei a Microsoft által felügyelt vagy az ügyfél által felügyelt kulcsokat is használhatnak. A titkosítási hatókör védelméhez használt kulcs típusát ügyfél által felügyelt kulcsról Microsoft által felügyelt kulcsra vagy fordítva bármikor át is cserélheti. Az ügyfél által kezelt kulcsokkal kapcsolatos további információkért lásd: Ügyfél által kezelt kulcsok az Azure Storage titkosításhoz. További információ a Microsoft által kezelt kulcsokról: Tudnivalók a titkosítási kulcskezelésről.

Ha ügyfél által felügyelt kulccsal határoz meg titkosítási hatókört, akkor választhatja a kulcsverzió automatikus vagy manuális frissítését. Ha úgy dönt, hogy automatikusan frissíti a kulcsverziót, az Azure Storage naponta ellenőrzi a kulcstartót vagy a felügyelt HSM-et az ügyfél által felügyelt kulcs új verziójáért, és automatikusan frissíti a kulcsot a legújabb verzióra. További információ az ügyfél által felügyelt kulcs kulcsverziója frissítéséről: A kulcsverzió frissítése.

Azure Policy beépített szabályzatot biztosít, amely megköveteli, hogy a titkosítási hatókörök ügyfél által felügyelt kulcsokat használjanak. További információért tekintse meg a Storage szabályzatdefiníciók Azure Policy szakaszát.

A tárfiókok akár 10 000 titkosítási hatókörrel is lehetnek, amelyek ügyfél által kezelt kulcsokkal vannak védve, és amelyek kulcsverziója automatikusan frissül. Ha a tárfiók már 10 000, automatikusan frissített, ügyfél által kezelt kulcsokkal védett titkosítási hatókörrel rendelkezik, akkor a kulcsverziót manuálisan kell frissíteni az ügyfél által felügyelt kulcsokkal védett további titkosítási hatókörök esetén.

Infrastruktúra-titkosítás

Az Azure-beli infrastruktúra-Storage lehetővé teszi az adatok kettős titkosítását. Az infrastruktúra titkosításával az adatok kétszer titkosítva vannak a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén két különböző titkosítási algoritmussal és — — két különböző kulccsal.

Az infrastruktúra-titkosítás egy titkosítási hatókörben és a tárfiók szintjén is támogatott. Ha az infrastruktúra-titkosítás engedélyezve van egy fiókhoz, akkor a fiókhoz létrehozott titkosítási hatókörök automatikusan infrastruktúra-titkosítást alkalmaznak. Ha az infrastruktúra-titkosítás nincs engedélyezve a fiók szintjén, akkor a hatókör létrehozásakor engedélyezheti azt egy titkosítási hatókörben. A titkosítási hatókör infrastruktúra-titkosítási beállítása a hatókör létrehozása után nem módosítható.

Az infrastruktúra-titkosítással kapcsolatos további információkért lásd: Enable infrastructure encryption for double encryption of data (Infrastruktúra-titkosítás engedélyezése az adatok kettős titkosítása érdekében).

Tárolók és blobok titkosítási hatókörei

Tároló létrehozásakor megadhat egy alapértelmezett titkosítási hatókört a tárolóba később feltöltött blobok számára. Amikor megad egy alapértelmezett titkosítási hatókört egy tárolóhoz, eldöntheti, hogyan lesz kikényszeríteni az alapértelmezett titkosítási hatókört:

  • Megkövetelheti, hogy a tárolóba feltöltött összes blob az alapértelmezett titkosítási hatókört használja. Ebben az esetben a tárolóban lévő összes blob ugyanazokkal a kulccsal van titkosítva.
  • Lehetővé teszi, hogy az ügyfél felülbírálja a tároló alapértelmezett titkosítási hatókörét, így a blobok az alapértelmezett hatókörtől más titkosítási hatókörrel is feltölthetők. Ebben az esetben a tárolóban lévő blobok különböző kulcsokkal titkosíthatóak.

Az alábbi táblázat a blobfeltöltési műveletek viselkedését foglalja össze attól függően, hogy hogyan van konfigurálva a tároló alapértelmezett titkosítási hatóköre:

A tárolón definiált titkosítási hatókör... Blob feltöltése az alapértelmezett titkosítási hatókörrel... Blob feltöltése az alapértelmezett hatókörön kívül más titkosítási hatókörrel...
Alapértelmezett titkosítási hatókör engedélyezett felülbírálásokkal Sikerül Sikerül
Alapértelmezett titkosítási hatókör tiltott felülbírálásokkal Sikerül Megbukik

A tároló létrehozásakor meg kell adni egy alapértelmezett titkosítási hatókört a tárolóhoz.

Ha nincs alapértelmezett titkosítási hatókör megadva a tárolóhoz, akkor a tárfiókhoz megadott bármely titkosítási hatókörrel feltölthet egy blobot. A titkosítási hatókört a blob feltöltésekor kell megadni.

Titkosítási hatókör letiltása

Ha letilt egy titkosítási hatókört, a titkosítási hatókörrel kapcsolatos további olvasási vagy írási műveletek a 403-as (Tiltott) HTTP-hibakóddal meghiúsulnak. Ha újra engedélyezi a titkosítási hatókört, az olvasási és írási műveletek a szokásos módon folytatódnak.

Ha egy titkosítási hatókör le van tiltva, a továbbiakban nem kell fizetni érte. Tiltsa le az összes olyan titkosítási hatókört, amely a szükségtelen díjak elkerülése érdekében nem szükséges.

Ha a titkosítási hatókört ügyfél által felügyelt kulccsal védi, és Ön visszavonja a kulcstartó kulcsát, az adatok elérhetetlenné válnak. A titkosítási hatókör használatának elkerülése érdekében mindenképpen tiltsa le a titkosítási hatókört a kulcs kulcsának visszatartóztatása előtt.

Ne feledje, hogy az ügyfél által felügyelt kulcsokat a kulcstartóban a soft delete és purge védelem védi, és a törölt kulcsokra az adott tulajdonságok által meghatározott viselkedés vonatkozik. További információért tekintse meg az alábbi témakörök egyikét a Azure Key Vault dokumentációjában:

Fontos

Titkosítási hatókör nem törölhető.

Szolgáltatások támogatása

Ez a táblázat bemutatja, hogyan támogatott ez a funkció a fiókjában, és hogy milyen hatással van a támogatásra bizonyos képességek engedélyezése.

Tárfiók típusa Blob Storage (alapértelmezett támogatás) Data Lake Storage Gen2 1 NFS 3.0 1 SFTP 1
Standard általános célú v2 Igen Nem Nem Nem
Prémium blokkblobok Igen Nem Nem Nem

1 A Data Lake Storage Gen2, a hálózati fájlrendszer (NFS) 3.0 protokoll és az SSH File Transfer Protocol (SFTP) támogatása mindegyikhez olyan tárfiókra van szükség, amely esetében engedélyezve van egy hierarchikus névtér.

Következő lépések