Azure Storage versleuteling voor Data-at-restAzure Storage encryption for data at rest

Azure Storage worden uw gegevens automatisch versleuteld wanneer deze persistent worden gemaakt in de Cloud.Azure Storage automatically encrypts your data when it is persisted it to the cloud. Azure Storage versleuteling beveiligt uw gegevens en helpt u om te voldoen aan de beveiligings-en nalevings verplichtingen van uw organisatie.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Over Azure Storage versleutelingAbout Azure Storage encryption

Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling, een van de krach tigste blok cijfers die beschikbaar zijn en is compatibel met FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Azure Storage versleuteling lijkt op BitLocker-versleuteling in Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Azure Storage versleuteling is ingeschakeld voor alle nieuwe opslag accounts, met inbegrip van Resource Manager en klassieke opslag accounts.Azure Storage encryption is enabled for all new storage accounts, including both Resource Manager and classic storage accounts. Azure Storage versleuteling kan niet worden uitgeschakeld.Azure Storage encryption cannot be disabled. Omdat uw gegevens standaard worden beveiligd, hoeft u uw code of toepassingen niet te wijzigen om Azure Storage versleuteling te benutten.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Opslag accounts worden versleuteld, ongeacht hun prestatie niveau (Standard of Premium) of implementatie model (Azure Resource Manager of klassiek).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Alle Azure Storage redundantie opties ondersteunen versleuteling en alle kopieën van een opslag account worden versleuteld.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Alle Azure Storage bronnen worden versleuteld, waaronder blobs, schijven, bestanden, wacht rijen en tabellen.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Alle meta gegevens van objecten worden ook versleuteld.All object metadata is also encrypted.

Versleuteling heeft geen invloed op de prestaties van Azure Storage.Encryption does not affect Azure Storage performance. Er zijn geen extra kosten verbonden aan Azure Storage versleuteling.There is no additional cost for Azure Storage encryption.

Elke blok-blob, een toevoeg-BLOB of een pagina-blob die na 20 oktober 2017 is geschreven naar Azure Storage, is versleuteld.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. De blobs die vóór deze datum zijn gemaakt, worden versleuteld met een achtergrond proces.Blobs created prior to this date continue to be encrypted by a background process. Als u de versleuteling wilt afdwingen van een blob die is gemaakt vóór 20 oktober 2017, kunt u de BLOB herschrijven.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Zie de versleutelings status van een BLOB controlerenvoor meer informatie over het controleren van de versleutelings status van een blob.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Zie crypto GRAFIE API: Next Generation(Engelstalig) voor meer informatie over de onderliggende cryptografische modules Azure Storage versleuteling.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Over het beheer van versleutelings sleutelsAbout encryption key management

U kunt gebruikmaken van door micro soft beheerde sleutels voor de versleuteling van uw opslag account, of u kunt versleuteling beheren met uw eigen sleutels.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys. Als u ervoor kiest om versleuteling te beheren met uw eigen sleutels, hebt u twee opties:If you choose to manage encryption with your own keys, you have two options:

  • U kunt een door de klant beheerde sleutel opgeven met Azure Key Vault die moet worden gebruikt voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in azure files.You can specify a customer-managed key with Azure Key Vault to use for encrypting and decrypting data in Blob storage and in Azure Files.
  • U kunt een door de klant opgegeven sleutel voor Blob-opslag bewerkingen opgeven.You can specify a customer-provided key on Blob storage operations. Een client die een lees-of schrijf aanvraag uitvoert voor Blob Storage, kan een versleutelings sleutel bevatten op de aanvraag voor gedetailleerde controle over hoe BLOB-gegevens worden versleuteld en ontsleuteld.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted.

De volgende tabel vergelijkt de opties voor sleutel beheer voor Azure Storage versleuteling.The following table compares key management options for Azure Storage encryption.

Door micro soft beheerde sleutelsMicrosoft-managed keys Door de klant beheerde sleutelsCustomer-managed keys Door de klant verschafte sleutelsCustomer-provided keys
Bewerkingen voor versleuteling/ontsleutelingEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Azure Storage services ondersteundAzure Storage services supported AllesAll Blob-opslag, Azure FilesBlob storage, Azure Files Blob-opslagBlob storage
Sleutel opslagKey storage Micro soft-sleutel archiefMicrosoft key store Azure Key VaultAzure Key Vault Azure Key Vault of een ander sleutel archiefAzure Key Vault or any other key store
Verantwoordelijkheid voor sleutel rotatieKey rotation responsibility MicrosoftMicrosoft KlantCustomer KlantCustomer
SleutelgebruikKey usage MicrosoftMicrosoft Azure Portal, opslag Resource provider REST API, Azure Storage beheer Bibliotheken, Power shell, CLIAzure portal, Storage Resource Provider REST API, Azure Storage management libraries, PowerShell, CLI Azure Storage REST API (Blob Storage), Azure Storage client bibliothekenAzure Storage REST API (Blob storage), Azure Storage client libraries
Sleutel toegangKey access Alleen micro softMicrosoft only Micro soft, klantMicrosoft, Customer Alleen klantCustomer only

In de volgende secties worden de opties voor sleutel beheer in meer detail beschreven.The following sections describe each of the options for key management in greater detail.

Door micro soft beheerde sleutelsMicrosoft-managed keys

Uw opslag account maakt standaard gebruik van door micro soft beheerde versleutelings sleutels.By default, your storage account uses Microsoft-managed encryption keys. U kunt de versleutelings instellingen voor uw opslag account bekijken in de sectie versleuteling van het Azure Portal, zoals wordt weer gegeven in de volgende afbeelding.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Account weer geven dat is versleuteld met door micro soft beheerde sleutels

Door de klant beheerde sleutels met Azure Key VaultCustomer-managed keys with Azure Key Vault

U kunt Azure Storage versleuteling op het niveau van het opslag account beheren met uw eigen sleutels.You can manage Azure Storage encryption at the level of the storage account with your own keys. Wanneer u een door de klant beheerde sleutel op het niveau van het opslag account opgeeft, wordt die sleutel gebruikt voor het versleutelen en ontsleutelen van alle BLOB-en bestands gegevens in het opslag account.When you specify a customer-managed key at the level of the storage account, that key is used to encrypt and decrypt all blob and file data in the storage account. Door de klant beheerde sleutels bieden meer flexibiliteit voor het maken, draaien, uitschakelen en intrekken van toegangs beheer.Customer-managed keys offer greater flexibility to create, rotate, disable, and revoke access controls. U kunt ook de versleutelings sleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.You can also audit the encryption keys used to protect your data.

U moet Azure Key Vault gebruiken om uw door de klant beheerde sleutels op te slaan.You must use Azure Key Vault to store your customer-managed keys. U kunt zelf sleutels maken en deze opslaan in een sleutel kluis, of u kunt de Azure Key Vault-Api's gebruiken om sleutels te genereren.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Het opslag account en de sleutel kluis moeten zich in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Zie Wat is Azure Key Vault?voor meer informatie over Azure Key Vault.For more information about Azure Key Vault, see What is Azure Key Vault?.

In dit diagram ziet u hoe Azure Storage Azure Active Directory en Azure Key Vault gebruikt om aanvragen te maken met de door de klant beheerde sleutel:This diagram shows how Azure Storage uses Azure Active Directory and Azure Key Vault to make requests using the customer-managed key:

Diagram waarin wordt getoond hoe door de klant beheerde sleutels in Azure Storage werken

In de volgende lijst worden de genummerde stappen in het diagram uitgelegd:The following list explains the numbered steps in the diagram:

  1. Een Azure Key Vault beheerder verleent machtigingen voor de versleutelings sleutels aan de beheerde identiteit die is gekoppeld aan het opslag account.An Azure Key Vault admin grants permissions to encryption keys to the managed identity that's associated with the storage account.
  2. Een Azure Storage-beheerder configureert versleuteling met een door de klant beheerde sleutel voor het opslag account.An Azure Storage admin configures encryption with a customer-managed key for the storage account.
  3. Azure Storage gebruikt de beheerde identiteit die aan het opslag account is gekoppeld om de toegang tot Azure Key Vault via Azure Active Directory te verifiëren.Azure Storage uses the managed identity that's associated with the storage account to authenticate access to Azure Key Vault via Azure Active Directory.
  4. Azure Storage verloopt de versleutelings sleutel van het account met de klant sleutel in Azure Key Vault.Azure Storage wraps the account encryption key with the customer key in Azure Key Vault.
  5. Voor lees-en schrijf bewerkingen stuurt Azure Storage aanvragen naar Azure Key Vault om de versleutelings sleutel van het account te verpakken en uit te pakken om bewerkingen voor versleuteling en ontsleuteling uit te voeren.For read/write operations, Azure Storage sends requests to Azure Key Vault to wrap and unwrap the account encryption key to perform encryption and decryption operations.

Door de klant beheerde sleutels voor een opslag account inschakelenEnable customer-managed keys for a storage account

Wanneer u versleuteling inschakelt met door de klant beheerde sleutels voor een opslag account, Azure Storage verpakt de account versleutelings sleutel met de klant sleutel in de bijbehorende sleutel kluis.When you enable encryption with customer-managed keys for a storage account, Azure Storage wraps the account encryption key with the customer key in the associated key vault. Het inschakelen van door de klant beheerde sleutels heeft geen invloed op de prestaties en het account wordt direct met de nieuwe sleutel versleuteld, zonder enige tijd vertraging.Enabling customer-managed keys does not impact performance, and the account is encrypted with the new key immediately, without any time delay.

Een nieuw opslag account wordt altijd versleuteld met door micro soft beheerde sleutels.A new storage account is always encrypted using Microsoft-managed keys. Het is niet mogelijk om door de klant beheerde sleutels in te scha kelen op het moment dat het account wordt gemaakt.It's not possible to enable customer-managed keys at the time that the account is created. Door de klant beheerde sleutels worden opgeslagen in Azure Key Vault en de sleutel kluis moet worden ingericht met toegangs beleid waarmee sleutel machtigingen worden verleend aan de beheerde identiteit die aan het opslag account is gekoppeld.Customer-managed keys are stored in Azure Key Vault, and the key vault must be provisioned with access policies that grant key permissions to the managed identity that is associated with the storage account. De beheerde identiteit is alleen beschikbaar nadat het opslag account is gemaakt.The managed identity is available only after the storage account is created.

Zie een van de volgende artikelen voor meer informatie over het gebruik van door de klant beheerde sleutels met Azure Key Vault voor Azure Storage versleuteling:To learn how to use customer-managed keys with Azure Key Vault for Azure Storage encryption, see one of these articles:

Belangrijk

Door de klant beheerde sleutels zijn gebaseerd op beheerde identiteiten voor Azure-resources, een functie van Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Wanneer u door de klant beheerde sleutels in de Azure Portal configureert, wordt er automatisch een beheerde identiteit toegewezen aan uw opslag account.When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned to your storage account under the covers. Als u het abonnement, de resource groep of het opslag account vervolgens verplaatst van de ene Azure AD-Directory naar een andere, wordt de beheerde identiteit die aan het opslag account is gekoppeld, niet overgebracht naar de nieuwe Tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken.If you subsequently move the subscription, resource group, or storage account from one Azure AD directory to another, the managed identity associated with the storage account is not transferred to the new tenant, so customer-managed keys may no longer work. Zie een abonnement overdragen tussen Azure AD-mappen in Veelgestelde vragen en bekende problemen met beheerde identiteiten voor Azure-resourcesvoor meer informatie.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Door de klant beheerde sleutels opslaan in Azure Key VaultStore customer-managed keys in Azure Key Vault

Als u door de klant beheerde sleutels wilt inschakelen voor een opslag account, moet u een Azure Key Vault gebruiken om uw sleutels op te slaan.To enable customer-managed keys on a storage account, you must use an Azure Key Vault to store your keys. U moet de instellingen voorlopig verwijderen en niet wissen in de sleutel kluis inschakelen.You must enable both the Soft Delete and Do Not Purge properties on the key vault.

De sleutel kluis moet zich in hetzelfde abonnement bevinden als het opslag account.The key vault must be located in the same subscription as the storage account. Azure Storage gebruikt beheerde identiteiten voor Azure-resources om te verifiëren bij de sleutel kluis voor het versleutelen en ontsleutelen van bewerkingen.Azure Storage uses managed identities for Azure resources to authenticate to the key vault for encryption and decryption operations. Beheerde identiteiten bieden momenteel geen ondersteuning voor scenario's met meerdere mappen.Managed identities do not currently support cross-directory scenarios.

Door de klant beheerde sleutels draaienRotate customer-managed keys

U kunt een door de klant beheerde sleutel in Azure Key Vault draaien volgens uw nalevings beleid.You can rotate a customer-managed key in Azure Key Vault according to your compliance policies. Wanneer de sleutel wordt geroteerd, moet u het opslag account bijwerken om de nieuwe sleutel-URI te gebruiken.When the key is rotated, you must update the storage account to use the new key URI. Voor informatie over het bijwerken van het opslag account voor het gebruik van een nieuwe versie van de sleutel in de Azure Portal, zie de sectie de sleutel versie bijwerken in door de klant beheerde sleutels configureren voor Azure Storage met behulp van de Azure Portal.To learn how to update the storage account to use a new version of the key in the Azure portal, see the section titled Update the key version in Configure customer-managed keys for Azure Storage by using the Azure portal.

Als u de sleutel roteert, wordt het opnieuw versleutelen van gegevens in het opslag account niet geactiveerd.Rotating the key does not trigger re-encryption of data in the storage account. Er is geen verdere actie vereist van de gebruiker.There is no further action required from the user.

Toegang tot door de klant beheerde sleutels intrekkenRevoke access to customer-managed keys

Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u Power shell of Azure CLI.To revoke access to customer-managed keys, use PowerShell or Azure CLI. Zie Azure Key Vault Power shell of Azure Key Vault cli(Engelstalig) voor meer informatie.For more information, see Azure Key Vault PowerShell or Azure Key Vault CLI. Als u toegang intrekt, wordt de toegang tot alle gegevens in het opslag account effectief geblokkeerd, omdat de versleutelings sleutel niet toegankelijk is voor Azure Storage.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Door de klant beheerde sleutels voor Azure Managed disks (preview)Customer-managed keys for Azure managed disks (preview)

Door de klant beheerde sleutels zijn ook beschikbaar voor het beheren van versleuteling van Azure Managed disks (preview).Customer-managed keys are also available for managing encryption of Azure managed disks (preview). Door de klant beheerde sleutels gedragen zich anders voor Managed disks dan voor Azure Storage resources.Customer-managed keys behave differently for managed disks than for Azure Storage resources. Zie server side Encryption of Azure Managed disks for Windows of server side Encryption of Azure Managed disks for Linux voor meer informatie.For more information, see Server side encryption of Azure managed disks for Windows or Server side encryption of Azure managed disks for Linux.

Door de klant verschafte sleutels (preview-versie)Customer-provided keys (preview)

Clients die aanvragen indienen voor Azure Blob-opslag hebben de optie om een versleutelings sleutel op te geven voor een afzonderlijke aanvraag.Clients making requests against Azure Blob storage have the option to provide an encryption key on an individual request. Met inbegrip van de versleutelings sleutel op de aanvraag biedt gedetailleerde controle over de versleutelings instellingen voor Blob Storage-bewerkingen.Including the encryption key on the request provides granular control over encryption settings for Blob storage operations. Door de klant verschafte sleutels (preview) kunnen worden opgeslagen in Azure Key Vault of in een ander sleutel archief.Customer-provided keys (preview) can be stored in Azure Key Vault or in another key store.

Voor een voor beeld van hoe u een door de klant opgegeven sleutel opgeeft voor een aanvraag voor Blob-opslag, raadpleegt u een door de klant opgegeven sleutel opgeven voor een aanvraag voor Blob-opslag met .net.For an example that shows how to specify a customer-provided key on a request to Blob storage, see Specify a customer-provided key on a request to Blob storage with .NET.

Lees-en schrijf bewerkingen versleutelenEncrypting read and write operations

Wanneer een client toepassing een versleutelings sleutel voor de aanvraag levert, Azure Storage de versleuteling en ontsleuteling transparant uitvoeren tijdens het lezen en schrijven van BLOB-gegevens.When a client application provides an encryption key on the request, Azure Storage performs encryption and decryption transparently while reading and writing blob data. Azure Storage schrijft een SHA-256-hash van de versleutelings sleutel naast de inhoud van de blob.Azure Storage writes an SHA-256 hash of the encryption key alongside the blob's contents. De hash wordt gebruikt om te controleren of alle volgende bewerkingen voor de BLOB dezelfde versleutelings sleutel gebruiken.The hash is used to verify that all subsequent operations against the blob use the same encryption key.

Azure Storage de versleutelings sleutel niet opslaat of beheert die de client met de aanvraag verzendt.Azure Storage does not store or manage the encryption key that the client sends with the request. De sleutel wordt veilig verwijderd zodra het proces voor versleuteling of ontsleuteling is voltooid.The key is securely discarded as soon as the encryption or decryption process is complete.

Wanneer een-client een BLOB maakt of bijwerkt met behulp van een door de klant geleverde sleutel, moeten volgende Lees-en schrijf aanvragen voor die BLOB ook de sleutel bevatten.When a client creates or updates a blob using a customer-provided key, then subsequent read and write requests for that blob must also provide the key. Als de sleutel niet is opgenomen in een aanvraag voor een blob die al is versleuteld met een door de klant verschafte sleutel, mislukt de aanvraag met fout code 409 (conflict).If the key is not provided on a request for a blob that has already been encrypted with a customer-provided key, then the request fails with error code 409 (Conflict).

Als de client toepassing een versleutelings sleutel op de aanvraag verstuurt en het opslag account ook is versleuteld met een door micro soft beheerde sleutel of een door de klant beheerde sleutel, gebruikt Azure Storage de sleutel die op de aanvraag voor versleuteling en ontsleuteling wordt vermeld.If the client application sends an encryption key on the request, and the storage account is also encrypted using a Microsoft-managed key or a customer-managed key, then Azure Storage uses the key provided on the request for encryption and decryption.

Als u de versleutelings sleutel wilt verzenden als onderdeel van de aanvraag, moet een client een beveiligde verbinding tot stand brengen met Azure Storage met behulp van HTTPS.To send the encryption key as part of the request, a client must establish a secure connection to Azure Storage using HTTPS.

Elke BLOB-moment opname kan een eigen versleutelings sleutel hebben.Each blob snapshot can have its own encryption key.

Aanvraag headers voor het opgeven van door de klant opgegeven sleutelsRequest headers for specifying customer-provided keys

Voor REST-aanroepen kunnen clients de volgende headers gebruiken om informatie over de versleutelings sleutel op een aanvraag voor Blob-opslag veilig door te geven:For REST calls, clients can use the following headers to securely pass encryption key information on a request to Blob storage:

AanvraagheaderRequest Header BeschrijvingDescription
x-ms-encryption-key Vereist voor zowel schrijf-als Lees aanvragen.Required for both write and read requests. Een met base64 gecodeerde AES-256-versleutelings sleutel waarde.A Base64-encoded AES-256 encryption key value.
x-ms-encryption-key-sha256 Vereist voor zowel schrijf-als Lees aanvragen.Required for both write and read requests. De met base64 gecodeerde SHA256 van de versleutelings sleutel.The Base64-encoded SHA256 of the encryption key.
x-ms-encryption-algorithm Vereist voor schrijf aanvragen, optioneel voor lees aanvragen.Required for write requests, optional for read requests. Hiermee geeft u de algoritme op die moet worden gebruikt voor het versleutelen van gegevens met de opgegeven sleutel.Specifies the algorithm to use when encrypting data using the given key. Moet AES256 zijn.Must be AES256.

Het opgeven van de versleutelings sleutels voor de aanvraag is optioneel.Specifying encryption keys on the request is optional. Als u echter een van de hierboven vermelde kopteksten voor een schrijf bewerking opgeeft, moet u deze allemaal opgeven.However, if you specify one of the headers listed above for a write operation, then you must specify all of them.

Blob Storage-bewerkingen die door de klant verschafte sleutels worden ondersteundBlob storage operations supporting customer-provided keys

De volgende bewerkingen voor Blob Storage ondersteunen het verzenden van door de klant verschafte versleutelings sleutels voor een aanvraag:The following Blob storage operations support sending customer-provided encryption keys on a request:

Door de klant verschafte sleutels draaienRotate customer-provided keys

Als u een versleutelings sleutel wilt draaien die is door gegeven voor de aanvraag, downloadt u de BLOB en uploadt u deze opnieuw met de nieuwe versleutelings sleutel.To rotate an encryption key passed on the request, download the blob and re-upload it with the new encryption key.

Belangrijk

De Azure Portal kan niet worden gebruikt om te lezen van of te schrijven naar een container of BLOB die is versleuteld met een sleutel die in de aanvraag is gegeven.The Azure portal cannot be used to read from or write to a container or blob that is encrypted with a key provided on the request.

Zorg ervoor dat u de versleutelings sleutel beveiligt die u opgeeft voor een aanvraag voor Blob-opslag in een beveiligd sleutel archief zoals Azure Key Vault.Be sure to protect the encryption key that you provide on a request to Blob storage in a secure key store like Azure Key Vault. Als u een schrijf bewerking probeert uit te voeren op een container of BLOB zonder de versleutelings sleutel, mislukt de bewerking en krijgt u geen toegang meer tot het object.If you attempt a write operation on a container or blob without the encryption key, the operation will fail, and you will lose access to the object.

Azure Storage versleuteling versus schijf versleutelingAzure Storage encryption versus disk encryption

Azure Storage versleuteling versleutelt de pagina-blobs die back-ups maken van virtuele machines van Azure.Azure Storage encryption encrypts the page blobs that back Azure virtual machine disks. Daarnaast kunnen alle schijven van virtuele machines van Azure, met inbegrip van lokale tijdelijke schijven, eventueel worden versleuteld met Azure Disk Encryption.Additionally, all Azure virtual machine disks, including local temp disks, may optionally be encrypted with Azure Disk Encryption. Azure Disk Encryption maakt gebruik van een industrie standaard BitLocker in Windows en dm-crypt op Linux om versleutelings oplossingen op basis van besturings systemen te bieden die zijn geïntegreerd met Azure Key Vault.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Volgende stappenNext steps