Inaktív adatok Azure Storage-titkosítása
Az Azure Storage szolgáltatásoldali titkosítással (SSE) automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzik. Az Azure Storage-titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítésében.
A Microsoft szolgáltatásoldali titkosítás használatát javasolja az adatok védelme érdekében a legtöbb esetben. A Blob Storage-hoz és a Queue Storage-hoz készült Azure Storage-ügyfélkódtárak azonban ügyféloldali titkosítást is biztosítanak az ügyfélen adatokat titkosító ügyfelek számára. További információ: Blobok és üzenetsorok ügyféloldali titkosítása.
Tudnivalók az Azure Storage szolgáltatásoldali titkosításáról
Az Azure Storage-ban lévő adatok titkosítása és visszafejtése transzparens módon történik a 256 bites AES-titkosítással, amely az egyik legerősebb elérhető blokktitkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure Storage-titkosítás hasonló a Windows BitLocker-titkosításához.
Az Azure Storage-titkosítás minden tárfiókhoz engedélyezve van, beleértve a Resource Manager és a klasszikus tárfiókokat is. Az Azure Storage titkosítása nem tiltható le. Mivel az adatok alapértelmezés szerint védettek, nem kell módosítania a kódot vagy az alkalmazásokat az Azure Storage-titkosítás előnyeinek kihasználásához.
A tárfiókban lévő adatok titkosítása a teljesítményszinttől (standard vagy prémium), a hozzáférési szinttől (gyakori vagy ritka elérésű) vagy az üzembehelyezési modelltől (Azure Resource Manager vagy klasszikus) függetlenül történik. Minden új és meglévő blokkblob, hozzáfűző blob és lapblob titkosítva van, beleértve az archív szinten lévő blobokat is. Minden Azure Storage-redundanciabeállítás támogatja a titkosítást, és az elsődleges és a másodlagos régióban lévő összes adat titkosítva van, ha engedélyezve van a georeplikáció. Minden Azure Storage-erőforrás titkosítva van, beleértve a blobokat, lemezeket, fájlokat, üzenetsorokat és táblákat. Az összes objektum metaadata is titkosítva van.
Az Azure Storage titkosítása nem jár többletköltséggel.
További információ az Azure Storage-titkosítás alapjául szolgáló titkosítási modulokról: Cryptography API: Next Generation.
További információ az Azure-beli felügyelt lemezek titkosításáról és kulcskezeléséről: Az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítása.
Tudnivalók a titkosítási kulcsok kezeléséről
Az új tárfiókban lévő adatok alapértelmezés szerint a Microsoft által felügyelt kulcsokkal lesznek titkosítva. Továbbra is támaszkodhat a Microsoft által kezelt kulcsokra az adatok titkosításához, vagy kezelheti a titkosítást saját kulcsaival. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, két lehetősége van. A kulcskezelés típusát vagy mindkettőt használhatja:
- Megadhat egy ügyfél által kezelt kulcsot, amelyet a Blob Storage-ban és a Azure Files adatok titkosításához és visszafejtéséhez használhat. 1,2 Az ügyfél által felügyelt kulcsokat az Azure Key Vault vagy az Azure Key Vault Managed Hardware Security Modelben (HSM) kell tárolni. További információ az ügyfél által felügyelt kulcsokról: Ügyfél által felügyelt kulcsok használata az Azure Storage-titkosításhoz.
- A Blob Storage-műveletekhez megadhat egy ügyfél által megadott kulcsot . A Blob Storage-ra olvasási vagy írási kérést küldő ügyfél tartalmazhat egy titkosítási kulcsot a blobadatok titkosításának és visszafejtési módjának részletes szabályozására irányuló kérelemhez. További információ az ügyfél által megadott kulcsokról: Titkosítási kulcs megadása a Blob Storage-nak küldött kéréshez.
A tárfiókok alapértelmezés szerint a teljes tárfiókra kiterjedő kulccsal lesznek titkosítva. A titkosítási hatókörök lehetővé teszik a titkosítás kezelését egy tárolóra vagy egy adott blobra hatókörrel rendelkező kulccsal. A titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanabban a tárfiókban található, de különböző ügyfelekhez tartozó adatok között. A titkosítási hatókörök a Microsoft által felügyelt kulcsokat vagy az ügyfél által felügyelt kulcsokat használhatják. További információ a titkosítási hatókörökről: Titkosítási hatókörök a Blob Storage-hoz.
Az alábbi táblázat az Azure Storage-titkosítás kulcskezelési lehetőségeit hasonlítja össze.
| Kulcskezelési paraméter | Microsoft által felügyelt kulcsok | Felhasználó által kezelt kulcsok | Ügyfél által megadott kulcsok |
|---|---|---|---|
| Titkosítási/visszafejtési műveletek | Azure | Azure | Azure |
| Támogatott Azure Storage-szolgáltatások | Mind | Blob Storage, Azure Files 1,2 | Blob Storage |
| Kulcstároló | Microsoft-kulcstár | Azure Key Vault vagy Key Vault HSM | Az ügyfél saját kulcstárolója |
| Kulcsrotálási felelősség | Microsoft | Ügyfél | Ügyfél |
| Kulcsvezérlő | Microsoft | Ügyfél | Ügyfél |
| Kulcs hatóköre | Fiók (alapértelmezett), tároló vagy blob | Fiók (alapértelmezett), tároló vagy blob | N/A |
1 Ha olyan fiókot szeretne létrehozni, amely támogatja az ügyfél által felügyelt kulcsok Queue Storage-beli használatát, tekintse meg az Ügyfél által felügyelt kulcsokat támogató fiók létrehozása az üzenetsorokhoz című témakört.
2 Az ügyfél által felügyelt kulcsokat a Table Storage-tal támogató fiókok létrehozásáról a Táblák ügyfél által felügyelt kulcsait támogató fiók létrehozása című témakörben olvashat.
Megjegyzés
A Microsoft által felügyelt kulcsok a megfelelőségi követelményeknek megfelelően vannak elforgatva. Ha konkrét kulcsrotálási követelményekkel rendelkezik, a Microsoft azt javasolja, hogy lépjen az ügyfél által felügyelt kulcsokra, hogy ön felügyelhesse és naplózhassa a rotációt.
Adatok duplálása infrastruktúra-titkosítással
Azok az ügyfelek, akik magas szintű biztonságot igényelnek az adataik biztonságossá tételéhez, 256 bites AES-titkosítást is lehetővé tehetnek az Azure Storage-infrastruktúra szintjén. Ha az infrastruktúra-titkosítás engedélyezve van, a tárfiókban lévő adatok kétszer – egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén – titkosítva lesznek két különböző titkosítási algoritmussal és két különböző kulccsal. Az Azure Storage-adatok kettős titkosítása védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs biztonsága sérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.
A szolgáltatásszintű titkosítás támogatja a Microsoft által felügyelt kulcsok vagy az azure Key Vault ügyfél által felügyelt kulcsok használatát. Az infrastruktúraszintű titkosítás a Microsoft által felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ.
Az infrastruktúra-titkosítást lehetővé tevő tárfiókok létrehozásával kapcsolatos további információkért lásd: Tárfiók létrehozása az adatok dupla titkosításához engedélyezett infrastruktúra-titkosítással.
Ügyféloldali titkosítás blobokhoz és üzenetsorokhoz
A .NET-, Java- és Python-Azure Blob Storage ügyfélkódtárak támogatják az ügyfélalkalmazásokban lévő adatok titkosítását az Azure Storage-ba való feltöltés előtt, valamint az adatok visszafejtését az ügyfélre való letöltés során. A .NET-hez és Pythonhoz készült Queue Storage ügyfélkódtárak szintén támogatják az ügyféloldali titkosítást.
Megjegyzés
Fontolja meg az Azure Storage szolgáltatásoldali titkosítási funkcióinak használatát az adatok védelme érdekében az ügyféloldali titkosítás helyett.
A Blob Storage és a Queue Storage ügyfélkódtárak az AES-t használják a felhasználói adatok titkosításához. Az ügyféloldali titkosításnak két verziója érhető el az ügyfélkódtárakban:
- A 2. verzió a Galois/Counter Mode (GCM) módot használja az AES-sel. A Blob Storage és a Queue Storage SDK-k támogatják az ügyféloldali titkosítást v2-vel.
- Az 1. verzió titkosítási blokklánc (CBC) módot használ az AES-sel. A Blob Storage, a Queue Storage és a Table Storage SDK-k támogatják az ügyféloldali titkosítást v1-zel.
Figyelmeztetés
Az ügyféloldali titkosítás v1 használata már nem ajánlott, mert az ügyfélkódtár CBC mód implementációjában biztonsági rés van érvényben. További információ erről a biztonsági résről: Az Azure Storage az ügyféloldali titkosítás frissítése az SDK-ban a biztonsági rés kezelése érdekében. Ha jelenleg 1-et használ, javasoljuk, hogy frissítse az alkalmazást az ügyféloldali titkosítás v2 használatára, és migrálja az adatokat.
Az Azure Table Storage SDK csak az ügyféloldali titkosítás v1-et támogatja. Nem ajánlott ügyféloldali titkosítást használni a Table Storage-tal.
Az alábbi táblázat bemutatja, hogy mely ügyfélkódtárak támogatják az ügyféloldali titkosítás mely verzióit, és útmutatást nyújt az ügyféloldali titkosítás v2-re való migráláshoz.
| Ügyfélkódtár | Támogatott ügyféloldali titkosítás verziója | Javasolt migrálás | További útmutatás |
|---|---|---|---|
| Blob Storage ügyfélkódtárak a .NET-hez (12.13.0-s vagy újabb verzió), Java (12.18.0-s vagy újabb verzió) és Pythonhoz (12.13.0-s vagy újabb verzió) | 2.0 1.0 (csak visszamenőleges kompatibilitás esetén) |
Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéshez, majd újra visszafejtse azokat ügyféloldali titkosítás v2-vel. |
Ügyféloldali titkosítás blobokhoz |
| Blob Storage ügyfélkódtár a .NET-hez (12.12.0-s és újabb verziók), Java (12.17.0-s és újabb verziók) és Pythonhoz (12.12.0-s és újabb verziók) | 1.0 (nem ajánlott) | Frissítse az alkalmazást úgy, hogy a Blob Storage SDK olyan verzióját használja, amely támogatja az ügyféloldali titkosítás v2-t. A részletekért lásd az ügyféloldali titkosítás SDK-támogatási mátrixát . Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéshez, majd újra visszafejtse azokat ügyféloldali titkosítás v2-vel. |
Ügyféloldali titkosítás blobokhoz |
| Queue Storage ügyfélkódtár a .NET-hez (12.11.0-s vagy újabb verzió) és a Pythonhoz (12.4-es vagy újabb verzió) | 2.0 1.0 (csak visszamenőleges kompatibilitás esetén) |
Frissítse a kódot az ügyféloldali titkosítás v2 használatára. | Ügyféloldali titkosítás üzenetsorokhoz |
| Queue Storage ügyfélkódtár a .NET-hez (12.10.0-s és újabb verzió) és Pythonhoz (12.3.0-s vagy újabb verzió) | 1.0 (nem ajánlott) | Frissítse az alkalmazást úgy, hogy a Queue Storage SDK ügyféloldali titkosítást támogató verziójának 2-es verzióját használja. Lásd: Ügyféloldali titkosítás SDK-támogatási mátrixa Frissítse a kódot az ügyféloldali titkosítás v2 használatára. |
Ügyféloldali titkosítás üzenetsorokhoz |
| Table Storage ügyfélkódtár a .NET, a Java és a Python számára | 1.0 (nem ajánlott) | Nem érhető el. | N/A |