Azure Storage-versleuteling voor inactieve gegevens

Azure Storage maakt gebruik van versleuteling aan de servicezijde (SSE) om uw gegevens automatisch te versleutelen wanneer deze worden bewaard in de cloud. Azure Storage-versleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.

Microsoft raadt aan om versleuteling aan de servicezijde te gebruiken om uw gegevens voor de meeste scenario's te beveiligen. De Azure Storage-clientbibliotheken voor Blob Storage en Queue Storage bieden echter ook versleuteling aan clientzijde voor klanten die gegevens op de client moeten versleutelen. Zie Versleuteling aan clientzijde voor blobs en wachtrijen voor meer informatie.

Over versleuteling aan de servicezijde van Azure Storage

Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen beschikbaar en voldoen aan FIPS 140-2. Azure Storage-versleuteling is vergelijkbaar met BitLocker-versleuteling in Windows.

Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, inclusief zowel Resource Manager als klassieke opslagaccounts. Azure Storage-versleuteling kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling.

Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag (standard of Premium), de toegangslaag (dynamisch of statisch) of het implementatiemodel (Azure Resource Manager of klassiek). Alle blobs in de archieflaag worden ook versleuteld. Alle opties voor Azure Storage-redundantie ondersteunen versleuteling en alle gegevens in zowel de primaire als de secundaire regio's worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage-resources worden versleuteld, inclusief blobs, schijven, bestanden, wachtrijen en tabellen. Alle objectmetagegevens worden ook versleuteld. Er zijn geen extra kosten verbonden aan Azure Storage-versleuteling.

Elke blok-blob, toevoeg-blob of pagina-blob die na 20 oktober 2017 naar Azure Storage is geschreven, wordt versleuteld. Blobs die vóór deze datum zijn gemaakt, blijven versleuteld door een achtergrondproces. Als u de versleuteling wilt afdwingen van een blob die is gemaakt vóór 20 oktober 2017, kunt u de blob opnieuw schrijven. Zie De versleutelingsstatus van een blob controleren voor meer informatie over het controleren van de versleutelingsstatus van een blob.

Zie Cryptografie-API: Volgende generatie voor meer informatie over de cryptografische modules die onderliggende Azure Storage-versleuteling bevatten.

Zie Versleuteling aan de serverzijde van beheerde Azure-schijven voor informatie over versleuteling en sleutelbeheer voor beheerde Azure-schijven.

Over versleutelingssleutelbeheer

Gegevens in een nieuw opslagaccount worden standaard versleuteld met door Microsoft beheerde sleutels. U kunt blijven vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw gegevens, of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, hebt u twee opties. U kunt het type sleutelbeheer of beide gebruiken:

  • U kunt een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files. 1,2 Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Model (HSM) (preview). Zie Door de klant beheerde sleutels gebruiken voor Azure Storage-versleuteling voor meer informatie over door de klant beheerde sleutels.
  • U kunt een door de klant opgegeven sleutel opgeven voor Blob Storage-bewerkingen. Een client die een lees- of schrijfaanvraag maakt op basis van Blob Storage, kan een versleutelingssleutel bevatten voor de aanvraag voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld. Zie Een versleutelingssleutel opgeven voor een aanvraag voor Blob Storage voor meer informatie over door de klant verstrekte sleutels.

Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar tot verschillende klanten behoren. Versleutelingsbereiken kunnen door Microsoft beheerde sleutels of door de klant beheerde sleutels gebruiken. Zie Versleutelingsbereiken voor Blob Storage voor meer informatie over versleutelingsbereiken.

In de volgende tabel worden de opties voor sleutelbeheer voor Azure Storage-versleuteling vergeleken.

Parameter voor sleutelbeheer Door Microsoft beheerde sleutels Door klant beheerde sleutels Door de klant verstrekte sleutels
Versleutelings-/ontsleutelingsbewerkingen Azure Azure Azure
Ondersteunde Azure Storage-services Alles Blob Storage, Azure Files 1,2 Blob Storage
Sleutelopslag Microsoft Key Store Azure Key Vault of Key Vault HSM Eigen sleutelarchief van de klant
Verantwoordelijkheid voor sleutelrotatie Microsoft Klant Klant
Sleutelbeheer Microsoft Klant Klant
Sleutelbereik Account (standaard), container of blob Account (standaard), container of blob N.v.t.

1 Zie Een account maken dat door de klant beheerde sleutels voor wachtrijopslag ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor door de klant beheerde sleutels voor wachtrijen.
2 Zie Een account maken dat door de klant beheerde sleutels voor tabellen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor door de klant beheerde sleutels voor tabellen.

Notitie

Door Microsoft beheerde sleutels worden op de juiste wijze geroteerd volgens de nalevingsvereisten. Als u specifieke vereisten voor sleutelrotatie hebt, raadt Microsoft u aan om over te stappen op door de klant beheerde sleutels, zodat u de rotatie zelf kunt beheren en controleren.

Gegevens dubbel versleutelen met infrastructuurversleuteling

Klanten die een hoge mate van zekerheid nodig hebben dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld, één keer op serviceniveau en één keer op infrastructuurniveau, met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels kan worden aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.

Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault. Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en gebruikt altijd een afzonderlijke sleutel.

Zie Een opslagaccount maken met infrastructuurversleuteling ingeschakeld voor dubbele versleuteling van gegevens voor meer informatie over het maken van een opslagaccount dat infrastructuurversleuteling mogelijk maakt.

Versleuteling aan clientzijde voor blobs en wachtrijen

De Azure Blob Storage-clientbibliotheken voor .NET, Java en Python ondersteuning voor het versleutelen van gegevens in clienttoepassingen voordat ze naar Azure Storage worden geüpload en gegevens ontsleutelen tijdens het downloaden naar de client. De Queue Storage-clientbibliotheken voor .NET en Python bieden ook ondersteuning voor versleuteling aan de clientzijde.

Notitie

Overweeg om de versleutelingsfuncties aan de servicezijde van Azure Storage te gebruiken om uw gegevens te beveiligen, in plaats van versleuteling aan de clientzijde.

De Blob Storage- en Queue Storage-clientbibliotheken maken gebruik van AES om gebruikersgegevens te versleutelen. Er zijn twee versies van versleuteling aan clientzijde beschikbaar in de clientbibliotheken:

Waarschuwing

Het gebruik van versleuteling aan de clientzijde v1 wordt niet meer aanbevolen vanwege een beveiligingsprobleem in de implementatie van de CBC-modus van de clientbibliotheek. Zie Azure Storage-versleuteling aan de clientzijde bijwerken in SDK om beveiligingsproblemen op te lossen voor meer informatie over dit beveiligingsprobleem. Als u momenteel v1 gebruikt, raden we u aan uw toepassing bij te werken om versleuteling aan clientzijde v2 te gebruiken en uw gegevens te migreren.

De Azure Table Storage SDK ondersteunt alleen versleuteling aan de clientzijde v1. Het gebruik van versleuteling aan de clientzijde met Table Storage wordt niet aanbevolen.

In de volgende tabel ziet u welke clientbibliotheken ondersteuning bieden voor welke versies van versleuteling aan de clientzijde en richtlijnen biedt voor het migreren naar versleuteling aan de clientzijde v2.

Clientbibliotheek Ondersteunde versie van versleuteling aan clientzijde Aanbevolen migratie Aanvullende richtlijnen
Blob Storage-clientbibliotheken voor .NET (versie 12.13.0 en hoger), Java (versie 12.18.0 en hoger) en Python (versie 12.13.0 en hoger) 2,0

1.0 (alleen voor achterwaartse compatibiliteit)
Werk uw code bij om versleuteling aan clientzijde v2 te gebruiken.

Download versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2.
Versleuteling aan clientzijde voor blobs
Blob Storage-clientbibliotheek voor .NET (versie 12.12.0 en lager), Java (versie 12.17.0 en lager) en Python (versie 12.12.0 en lager) 1.0 (niet aanbevolen) Werk uw toepassing bij om een versie van de Blob Storage SDK te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie de SDK-ondersteuningsmatrix voor versleuteling aan de clientzijde voor meer informatie.

Werk uw code bij om versleuteling aan clientzijde v2 te gebruiken.

Download versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2.
Versleuteling aan clientzijde voor blobs
Queue Storage-clientbibliotheek voor .NET (versie 12.11.0 en hoger) en Python (versie 12.4 en hoger) 2,0

1.0 (alleen voor achterwaartse compatibiliteit)
Werk uw code bij om versleuteling aan clientzijde v2 te gebruiken. Versleuteling aan clientzijde voor wachtrijen
Queue Storage-clientbibliotheek voor .NET (versie 12.10.0 en lager) en Python (versie 12.3.0 en lager) 1.0 (niet aanbevolen) Werk uw toepassing bij om een versie van de Queue Storage SDK-versie te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie de SDK-ondersteuningsmatrix voor versleuteling aan de clientzijde

Werk uw code bij om versleuteling aan clientzijde v2 te gebruiken.
Versleuteling aan clientzijde voor wachtrijen
Table Storage-clientbibliotheek voor .NET, Java en Python 1.0 (niet aanbevolen) Niet beschikbaar. N.v.t.

Volgende stappen