Infrastruktúra-titkosítás engedélyezése az adatok dupla titkosításához
Cikk
Az Azure Storage szolgáltatásszinten automatikusan titkosítja a tárfiókban lévő összes adatot a 256 bites AES használatával GCM módú titkosítással, amely az egyik legerősebb blokk-titkosítás, és a FIPS 140-2 szabványnak is megfelel. Azok az ügyfelek, akik magasabb szintű biztonságot igényelnek az adataik biztonságossá tételéhez, az Azure Storage-infrastruktúra szintjén cBC-titkosítással rendelkező 256 bites AES-t is engedélyezhetik a dupla titkosításhoz. Az Azure Storage-adatok dupla titkosítása védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs megsérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.
Az infrastruktúra-titkosítás engedélyezhető a teljes tárfiókhoz vagy egy fiókon belüli titkosítási hatókörhöz. Ha az infrastruktúra-titkosítás engedélyezve van egy tárfiókhoz vagy egy titkosítási hatókörhöz, az adatok két különböző titkosítási algoritmussal és két különböző kulcssal kétszer lesznek titkosítva – egyszer a szolgáltatás szintjén és egyszer az infrastruktúra szintjén.
A szolgáltatásszintű titkosítás a Microsoft által felügyelt kulcsok vagy ügyfél által felügyelt kulcsok használatát támogatja az Azure Key Vault vagy a Key Vault felügyelt hardveres biztonsági modell (HSM) használatával. Az infrastruktúraszintű titkosítás a Microsoft által felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ. Az Azure Storage-titkosítással történő kulcskezeléssel kapcsolatos további információkért lásd: A titkosítási kulcsok kezelése.
Az adatok kétszeres titkosításához először létre kell hoznia egy tárfiókot vagy egy infrastruktúra-titkosításhoz konfigurált titkosítási hatókört. Ez a cikk az infrastruktúra-titkosítás engedélyezését ismerteti.
Fontos
Az infrastruktúra titkosítása olyan helyzetekben ajánlott, ahol az adatok duplázása szükséges a megfelelőségi követelményekhez. A legtöbb más forgatókönyv esetében az Azure Storage-titkosítás kellően hatékony titkosítási algoritmust biztosít, és nem valószínű, hogy előnyös az infrastruktúra-titkosítás használata.
A tárfiókok infrastruktúra-titkosításának engedélyezéséhez konfigurálnia kell egy tárfiókot az infrastruktúra-titkosítás használatára a fiók létrehozásakor. Az infrastruktúra-titkosítás nem engedélyezhető vagy tiltható le a fiók létrehozása után. A tárfióknak általános célú v2 vagy prémium szintű blokkblob típusúnak kell lennie.
Ha az Azure Portal használatával olyan tárfiókot szeretne létrehozni, amelyen engedélyezve van az infrastruktúra titkosítása, kövesse az alábbi lépéseket:
Az Azure Portalon lépjen a Tárfiókok lapra.
A Hozzáadás gombra kattintva új, általános célú v2- vagy prémium szintű blokkblobtároló-fiókot vehet fel.
A Titkosítás lapon keresse meg az Infrastruktúra-titkosítás engedélyezése lehetőséget, és válassza az Engedélyezve lehetőséget.
Válassza a Véleményezés + létrehozás lehetőséget a tárfiók létrehozásának befejezéséhez.
Annak ellenőrzéséhez, hogy az infrastruktúra-titkosítás engedélyezve van-e egy tárfiókhoz az Azure Portalon, kövesse az alábbi lépéseket:
Navigate to your storage account in the Azure portal.
A Biztonság + hálózatkezelés területen válassza a Titkosítás lehetőséget.
Ha a PowerShell használatával olyan tárfiókot szeretne létrehozni, amelyen engedélyezve van az infrastruktúra titkosítása, győződjön meg arról, hogy telepítette az Az.Storage PowerShell-modult, amely 2.2.0-s vagy újabb verziójú. További információ: Az Azure PowerShell telepítése.
Ezután hozzon létre egy általános célú v2 vagy prémium szintű blokkblobtárfiókot a New-AzStorageAccount parancs meghívásával. Adja meg az -RequireInfrastructureEncryption infrastruktúra-titkosítás engedélyezésének lehetőségét.
Az alábbi példa bemutatja, hogyan hozható létre egy általános célú v2-tárfiók, amely írásvédett georedundáns tároláshoz (RA-GRS) van konfigurálva, és az infrastruktúra-titkosítás engedélyezve van az adatok dupla titkosításához. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
Annak ellenőrzéséhez, hogy az infrastruktúra titkosítása engedélyezve van-e egy tárfiókhoz, hívja meg a Get-AzStorageAccount parancsot. Ez a parancs a tárfiók tulajdonságainak és értékeinek egy készletét adja vissza. Kérje le a RequireInfrastructureEncryption mezőt a Encryption tulajdonságon belül, és ellenőrizze, hogy be van-e állítva True.
Az alábbi példa a tulajdonság értékét RequireInfrastructureEncryption kéri le. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
Ha az Azure CLI használatával olyan tárfiókot szeretne létrehozni, amely rendelkezik engedélyezett infrastruktúra-titkosítással, győződjön meg arról, hogy telepítette az Azure CLI 2.8.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése.
Ezután hozzon létre egy általános célú v2 vagy prémium szintű blokkblobtárfiókot az az storage account create parancs meghívásával, és adja meg az --require-infrastructure-encryption option infrastruktúra titkosításának engedélyezéséhez.
Az alábbi példa bemutatja, hogyan hozható létre egy általános célú v2-tárfiók, amely írásvédett georedundáns tároláshoz (RA-GRS) van konfigurálva, és az infrastruktúra-titkosítás engedélyezve van az adatok dupla titkosításához. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
Annak ellenőrzéséhez, hogy az infrastruktúra-titkosítás engedélyezve van-e egy tárfiókhoz, hívja meg az az storage account show parancsot. Ez a parancs a tárfiók tulajdonságainak és értékeinek egy készletét adja vissza. Keresse meg a requireInfrastructureEncryption tulajdonságon belüli encryption mezőt, és ellenőrizze, hogy be van-e állítva true.
Az alábbi példa a tulajdonság értékét requireInfrastructureEncryption kéri le. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
Az alábbi JSON-példa létrehoz egy általános célú v2-tárfiókot, amely az olvasási hozzáférésű georedundáns tároláshoz (RA-GRS) van konfigurálva, és az infrastruktúra titkosítása lehetővé teszi az adatok kettős titkosítását. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
Az Azure Policy egy beépített szabályzatot biztosít, amely megköveteli az infrastruktúra titkosításának engedélyezését egy tárfiókhoz. További információkért tekintse meg az Azure Policy beépített szabályzatdefinícióinak Storage szakaszát.
Ha az infrastruktúra-titkosítás engedélyezve van egy fiókhoz, akkor a fiókon létrehozott titkosítási hatókörök automatikusan infrastruktúra-titkosítást használnak. Ha az infrastruktúra-titkosítás nincs engedélyezve a fiók szintjén, akkor a hatókör létrehozásakor engedélyezheti azt egy titkosítási hatókörhöz. A titkosítási hatókör infrastruktúra-titkosítási beállítása nem módosítható a hatókör létrehozása után. További információ: Titkosítási hatókör létrehozása.