Azure Storage-versleuteling voor inactieve gegevens
Azure Storage versleuteling aan de serverzijde (SSE) gebruikt om uw gegevens automatisch te versleutelen wanneer deze naar de cloud worden opgeslagen. Azure Storage-versleuteling beveiligt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Over Azure Storage versleuteling
Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcodes die beschikbaar zijn en voldoen aan FIPS 140-2. Azure Storage is vergelijkbaar met BitLocker-versleuteling in Windows.
Azure Storage is ingeschakeld voor alle opslagaccounts, met inbegrip van zowel Resource Manager als klassieke opslagaccounts. Azure Storage-versleuteling kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage versleuteling.
Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag (Standard of Premium), de toegangslaag (hot of cool) of het implementatiemodel (Azure Resource Manager of klassiek). Alle blobs in de archieflaag zijn ook versleuteld. Alle Azure Storage redundantieopties ondersteunen versleuteling en alle gegevens in de primaire en secundaire regio's worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage zijn versleuteld, inclusief blobs, schijven, bestanden, wachtrijen en tabellen. Alle metagegevens van objecten worden ook versleuteld. Er zijn geen extra kosten voor Azure Storage versleuteling.
Elke blok-blob, app-blob of pagina-blob die na 20 oktober 2017 naar Azure Storage is geschreven, is versleuteld. Blobs die vóór deze datum zijn gemaakt, worden nog steeds versleuteld door een achtergrondproces. Als u de versleuteling wilt forceeren van een blob die is gemaakt vóór 20 oktober 2017, kunt u de blob opnieuw schrijven. Zie De versleutelingsstatus van een blob controleren voor meer informatie over het controleren van de versleutelingsstatus van een blob.
Zie Cryptography API: Next Generation (Cryptografie-API: next generation)voor meer informatie over de onderliggende cryptografische modules Azure Storage versleuteling.
Zie Versleuteling aan de serverzijde van beheerde Azure-schijven voor informatie over versleuteling en sleutelbeheer voor beheerde Azure-schijven.
Over versleutelingssleutelbeheer
Gegevens in een nieuw opslagaccount worden standaard versleuteld met door Microsoft beheerde sleutels. U kunt blijven vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw gegevens, of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, hebt u twee opties. U kunt een van beide typen sleutelbeheer of beide gebruiken:
- U kunt een door de klant beheerde sleutel opgeven die moet worden gebruikt voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files. 1,2 Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Model (HSM) (preview). Zie Door de klant beheerde sleutels gebruiken voor het versleutelen Azure Storage door de klant voor meer informatie over door de klant beheerde sleutels.
- U kunt een door de klant verstrekte sleutel opgeven voor Blob Storage-bewerkingen. Een client die een lees- of schrijfaanvraag voor Blob Storage maakt, kan een versleutelingssleutel bevatten voor de aanvraag voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld. Zie Een versleutelingssleutel voor een aanvraag voor Blob Storage verstrekken voor meer informatie over door de klant geleverde sleutels.
De volgende tabel vergelijkt opties voor sleutelbeheer voor Azure Storage versleuteling.
| Parameter voor sleutelbeheer | Door Microsoft beheerde sleutels | Door klant beheerde sleutels | Door de klant geleverde sleutels |
|---|---|---|---|
| Versleutelings-/ontsleutelingsbewerkingen | Azure | Azure | Azure |
| Azure Storage ondersteunde services | Alles | Blob Storage, Azure Files1,2 | Blob Storage |
| Sleutelopslag | Microsoft-sleutelopslag | Azure Key Vault of Key Vault HSM | Het eigen sleutelopslag van de klant |
| Verantwoordelijkheid voor sleutelrotatie | Microsoft | Klant | Klant |
| Sleutelbeheer | Microsoft | Klant | Klant |
1 Zie Een account maken dat door de klant beheerde sleutels voor wachtrijen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Queue Storage.
2 Zie Een account maken dat door de klant beheerde sleutels voor tabellen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Table Storage.
Notitie
Door Microsoft beheerde sleutels worden op de juiste wijze geroteerd volgens nalevingsvereisten. Als u specifieke vereisten voor sleutelrotatie hebt, raadt Microsoft u aan over te gaan op door de klant beheerde sleutels, zodat u de rotatie zelf kunt beheren en controleren.
Gegevens dubbel versleutelen met infrastructuurversleuteling
Klanten die een hoge mate van zekerheid vereisen dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op Azure Storage infrastructuurniveau. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer op serviceniveau en één keer op infrastructuurniveau versleuteld met twee verschillende versleutelingsalgoritmen en — — twee verschillende sleutels. Dubbele versleuteling Azure Storage gegevens beschermt tegen een scenario waarin een van de versleutelingsalgoritmen of sleutels kan worden aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beschermen.
Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault. Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel.
Zie Een opslagaccount maken met infrastructuurversleuteling ingeschakeld voor dubbele versleuteling van gegevens voor meer informatie over het maken van een opslagaccount dat infrastructuurversleuteling mogelijk maakt.