Inaktív adatok Azure Storage-titkosítása

Az Azure Storage kiszolgálóoldali titkosítással (SSE) titkosítja automatikusan az adatokat, amikor megőrzik őket a felhőben. Az Azure Storage-titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségvállalások teljesítésében.

Az Azure Storage-titkosítás

Az Azure Storage-ban tárolt adatok titkosítása és visszafejtése transzparens módon, 256 bites AES-titkosítássaltörténik, amely az egyik legerősebb elérhető blokktitkosítás, és FIPS 140-2 szabványnak megfelelő. Az Azure Storage-titkosítás hasonló a Windows rendszeren használt BitLocker-titkosításhoz.

Az Azure Storage-titkosítás minden tárfiókhoz engedélyezve van, beleértve a Resource Manager a klasszikus tárfiókokat is. Az Azure Storage-titkosítás nem tiltható le. Mivel az adatok alapértelmezés szerint védettek, nem kell módosítania a kódot vagy az alkalmazásokat az Azure Storage-titkosítás előnyeinek kihasználása érdekében.

A tárfiókban tárolt adatok a teljesítményszinttől (standard vagy prémium), a hozzáférési szinttől (a magas vagy a elérésű szinttől) vagy az üzembe helyezési modelltől (Azure Resource Manager vagy klasszikustól függetlenül) titkosítva vannak. Az archív szinten lévő összes blob is titkosítva van. Az Azure Storage összes redundancia-beállítás támogatja a titkosítást, és a georeplikáció engedélyezése esetén az elsődleges és a másodlagos régióban található összes adat titkosítva lesz. Minden Azure Storage-erőforrás titkosítva van, beleértve a blobokat, a lemezeket, a fájlokat, az üzenetsorokat és a táblákat. Az objektum metaadatai is titkosítva vannak. Az Azure Storage-titkosítás nem jár többletköltséggel.

Minden olyan blokkblob, hozzáfűző blob vagy lapblob titkosítva van, amely 2017. október 20. után lett az Azure Storage-ba írva. Az ezt az időpontot megelőzően létrehozott blobokat továbbra is egy háttérfolyamat titkosítja. A 2017. október 20. előtt létrehozott blob titkosításának kényszerítenie kell a blob átírását. A blobok titkosítási állapotának ellenőrzésével a Blob titkosítási állapotának ellenőrzése cikkből tudhatja meg.

További információ az Azure Storage-titkosítás alapjául szolgáló titkosítási modulokról: Titkosítási API: Következő generáció.

Az Azure-beli felügyelt lemezek titkosítására és kulcskezelésére vonatkozó információkért lásd: Azure felügyelt lemezek kiszolgálóoldali titkosítása.

A titkosítási kulcskezelés

Az új tárfiókban található adatok alapértelmezés szerint a Microsoft által kezelt kulcsokkal vannak titkosítva. Továbbra is a Microsoft által felügyelt kulcsokra támaszkodhat az adatok titkosítására, vagy kezelheti a titkosítást a saját kulcsokkal. Ha úgy dönt, hogy a titkosítást a saját kulcsokkal kezeli, két lehetőség közül választhat. Használhatja a kulcskezelés típusát, vagy mindkettőt:

  • Megadhat egy ügyfél által felügyelt kulcsot, amely a Blob Storage-ban és a blobtárolóban tárolt adatok titkosításához és visszafejtéséhez Azure Files. 1,2 Az ügyfél által felügyelt kulcsokat Azure Key Vault vagy Azure Key Vault HSM (előzetes verzió) szolgáltatásban kell tárolni. Az ügyfél által kezelt kulcsokkal kapcsolatos további információkért lásd: Ügyfél által kezelt kulcsok használata az Azure Storage-titkosításhoz.
  • A Blob Storage-műveletekhez ügyfél által megadott kulcsot is megadhat. A Blob Storage-hoz olvasási vagy írási kérést igénylést betartó ügyfél tartalmazhat egy titkosítási kulcsot, amely részletesen szabályozhatja a blobadatok titkosítását és visszafejtését. Az ügyfél által biztosított kulcsokkal kapcsolatos további információkért lásd: Titkosítási kulcs kérése a Blob Storage-hoz.

Az alábbi táblázat az Azure Storage-titkosítás kulcskezelési lehetőségeit hasonlítja össze.

Kulcskezelési paraméter Microsoft által felügyelt kulcsok Felhasználó által kezelt kulcsok Ügyfél által megadott kulcsok
Titkosítási/visszafejtési műveletek Azure Azure Azure
Támogatott Azure Storage-szolgáltatások Mind Blob Storage, Azure Files1,2 Blob Storage
Kulcstároló Microsoft-kulcstároló Azure Key Vault vagy Key Vault HSM Az ügyfél saját kulcstárolója
Kulcsrotációs felelősség Microsoft Ügyfél Ügyfél
Kulcsvezérlés Microsoft Ügyfél Ügyfél

1 A felhasználó által kezelt kulcsok Queue Storage-tárolóval való használatát támogató fiók létrehozásával kapcsolatos információkért lásd: Üzenetsorok ügyfél által kezelt kulcsait támogató fiók létrehozása.
2 Az ügyfél által felügyelt kulcsok Table Storage-lal való használatát támogató fiók létrehozásával kapcsolatos információkért lásd: A táblák ügyfél által kezelt kulcsait támogató fiók létrehozása.

Megjegyzés

A Microsoft által felügyelt kulcsok a megfelelőségi követelményeknek megfelelően vannak váltva. Ha konkrét kulcsrotálási követelményekkel kell szembeni, a Microsoft azt javasolja, hogy lépjen az ügyfél által kezelt kulcsokra, hogy ön felügyelni és naplózni tudja a rotációt.

Adatok duplázása infrastruktúratitkosítással

Azok az ügyfelek, akiknek nagy biztonságra van szükségük az adataik biztonságában, 256 bites AES-titkosítást is engedélyeznek az Azure Storage infrastruktúra szintjén. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban található adatok kétszer titkosítva vannak a szolgáltatás szintjén, egyszer az infrastruktúra szintjén két különböző titkosítási algoritmussal és két — — különböző kulccsal. Az Azure Storage-adatok kettős titkosítása védelmet nyújt az olyan forgatókönyvek ellen, ahol az egyik titkosítási algoritmus vagy kulcs biztonsága sérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.

A szolgáltatásszintű titkosítás támogatja a Microsoft által felügyelt vagy az ügyfél által felügyelt kulcsok használatát a Azure Key Vault. Az infrastruktúraszintű titkosítás a Microsoft által felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ.

Az infrastruktúra-titkosítást engedélyező tárfiókok létrehozásáról további információért lásd: Tárfiók létrehozása olyan infrastruktúra-titkosítással, amelynél engedélyezve van az adatok kettős titkosítása.

Következő lépések