Azure Storage-versleuteling voor inactieve gegevens
Azure Storage maakt gebruik van versleuteling aan de servicezijde (SSE) om uw gegevens automatisch te versleutelen wanneer deze in de cloud worden bewaard. Met Azure Storage-versleuteling worden uw gegevens beschermd en kunt u voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Microsoft raadt aan om versleuteling aan de servicezijde te gebruiken om uw gegevens voor de meeste scenario's te beveiligen. De Azure Storage-clientbibliotheken voor Blob Storage en Queue Storage bieden echter ook versleuteling aan de clientzijde voor klanten die gegevens op de client moeten versleutelen. Zie Versleuteling aan clientzijde voor blobs en wachtrijen voor meer informatie.
Over Versleuteling aan de servicezijde van Azure Storage
Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn, en voldoen aan FIPS 140-2. Azure Storage-versleuteling is vergelijkbaar met BitLocker-versleuteling in Windows.
Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, inclusief zowel Resource Manager als klassieke opslagaccounts. Azure Storage-versleuteling kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling.
Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag (Standard of Premium), de toegangslaag (dynamisch of statisch) of het implementatiemodel (Azure Resource Manager of klassiek). Alle nieuwe en bestaande blok-blobs, toevoeg-blobs en pagina-blobs worden versleuteld, inclusief blobs in de archieflaag. Alle opties voor Azure Storage-redundantie ondersteunen versleuteling en alle gegevens in zowel de primaire als secundaire regio's worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage-resources zijn versleuteld, inclusief blobs, schijven, bestanden, wachtrijen en tabellen. Alle objectmetagegevens worden ook versleuteld.
Er zijn geen extra kosten verbonden aan Azure Storage-versleuteling.
Zie Cryptografie-API: volgende generatie voor meer informatie over de cryptografische modules die onder Azure Storage-versleuteling zijn.
Over beheer van versleutelingssleutels
Gegevens in een nieuw opslagaccount worden standaard versleuteld met door Microsoft beheerde sleutels. U kunt blijven vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw gegevens, of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling te beheren met uw eigen sleutels, hebt u twee opties. U kunt beide typen sleutelbeheer of beide gebruiken:
- U kunt een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files. 1,2 Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Model (HSM). Zie Door de klant beheerde sleutels gebruiken voor Azure Storage-versleuteling voor meer informatie over door de klant beheerde sleutels.
- U kunt een door de klant verstrekte sleutel opgeven voor Blob Storage-bewerkingen. Een client die een lees- of schrijfaanvraag voor Blob Storage maakt, kan een versleutelingssleutel in de aanvraag opnemen voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld. Zie Een versleutelingssleutel opgeven bij een aanvraag voor Blob Storage voor meer informatie over door de klant verstrekte sleutels.
Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar van verschillende klanten zijn. Versleutelingsbereiken kunnen gebruikmaken van door Microsoft beheerde sleutels of door de klant beheerde sleutels. Zie Versleutelingsbereiken voor blobopslag voor meer informatie over versleutelingsbereiken.
In de volgende tabel worden de opties voor sleutelbeheer voor Azure Storage-versleuteling vergeleken.
| Sleutelbeheerparameter | Door Microsoft beheerde sleutels | Door klant beheerde sleutels | Door de klant verstrekte sleutels |
|---|---|---|---|
| Versleutelings-/ontsleutelingsbewerkingen | Azure | Azure | Azure |
| Ondersteunde Azure Storage-services | Alles | Blob Storage, Azure Files 1,2 | Blob Storage |
| Sleutelopslag | Microsoft Key Store | Azure Key Vault of Key Vault HSM | Het eigen sleutelarchief van de klant |
| Verantwoordelijkheid voor sleutelrotatie | Microsoft | Klant | Klant |
| Sleutelbeheer | Microsoft | Klant | Klant |
| Sleutelbereik | Account (standaard), container of blob | Account (standaard), container of blob | N.v.t. |
1 Zie Een account maken dat door de klant beheerde sleutels voor wachtrijen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Queue Storage.
2 Zie Een account maken dat door de klant beheerde sleutels voor tabellen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Table Storage.
Notitie
Door Microsoft beheerde sleutels worden op de juiste manier geroteerd volgens nalevingsvereisten. Als u specifieke vereisten voor sleutelrotatie hebt, raadt Microsoft u aan over te stappen op door de klant beheerde sleutels, zodat u de rotatie zelf kunt beheren en controleren.
Gegevens dubbel versleutelen met infrastructuurversleuteling
Klanten die een hoge mate van zekerheid nodig hebben dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld: één keer op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarin een van de versleutelingsalgoritmen of sleutels mogelijk is aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.
Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault. Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel.
Zie Een opslagaccount maken met infrastructuurversleuteling ingeschakeld voor dubbele versleuteling van gegevens voor meer informatie over het maken van een opslagaccount dat infrastructuurversleuteling mogelijk maakt.
Versleuteling aan clientzijde voor blobs en wachtrijen
De Azure Blob Storage clientbibliotheken voor .NET, Java en Python ondersteunen het versleutelen van gegevens in clienttoepassingen voordat ze worden geüpload naar Azure Storage en het ontsleutelen van gegevens tijdens het downloaden naar de client. De Queue Storage-clientbibliotheken voor .NET en Python bieden ook ondersteuning voor versleuteling aan de clientzijde.
Notitie
Overweeg het gebruik van de versleutelingsfuncties aan de servicezijde van Azure Storage om uw gegevens te beveiligen, in plaats van versleuteling aan de clientzijde.
De Blob Storage- en Queue Storage-clientbibliotheken maken gebruik van AES om gebruikersgegevens te versleutelen. Er zijn twee versies van versleuteling aan de clientzijde beschikbaar in de clientbibliotheken:
- Versie 2 maakt gebruik van de Galois/Counter Mode (GCM) -modus met AES. De Blob Storage- en Queue Storage-SDK's ondersteunen versleuteling aan de clientzijde met v2.
- Versie 1 gebruikt de CBC-modus (Cipher Block Chaining) met AES. De SDK's Blob Storage, Queue Storage en Table Storage ondersteunen versleuteling aan de clientzijde met v1.
Waarschuwing
Het gebruik van versleuteling aan de clientzijde v1 wordt niet langer aanbevolen vanwege een beveiligingsprobleem in de implementatie van de CBC-modus van de clientbibliotheek. Zie Azure Storage update client-side encryption in SDK to address security vulnerability (Versleuteling aan de clientzijde bijwerken in SDK om beveiligingsproblemen op te lossen) voor meer informatie over dit beveiligingsprobleem. Als u momenteel v1 gebruikt, raden we u aan uw toepassing bij te werken om versleuteling aan de clientzijde v2 te gebruiken en uw gegevens te migreren.
De Azure Table Storage SDK ondersteunt alleen versleuteling aan clientzijde v1. Het gebruik van versleuteling aan de clientzijde met Table Storage wordt niet aanbevolen.
De volgende tabel laat zien welke clientbibliotheken welke versies van versleuteling aan de clientzijde ondersteunen en biedt richtlijnen voor het migreren naar versleuteling aan de clientzijde v2.
| Clientbibliotheek | Ondersteunde versie van versleuteling aan clientzijde | Aanbevolen migratie | Aanvullende richtlijnen |
|---|---|---|---|
| Blob Storage-clientbibliotheken voor .NET (versie 12.13.0 en hoger), Java (versie 12.18.0 en hoger) en Python (versie 12.13.0 en hoger) | 2,0 1.0 (alleen voor achterwaartse compatibiliteit) |
Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken. Download alle versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2. |
Versleuteling aan clientzijde voor blobs |
| Blob Storage-clientbibliotheek voor .NET (versie 12.12.0 en lager), Java (versie 12.17.0 en lager) en Python (versie 12.12.0 en lager) | 1.0 (niet aanbevolen) | Werk uw toepassing bij om een versie van de Blob Storage SDK te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie SDK-ondersteuningsmatrix voor versleuteling aan de clientzijde voor meer informatie. Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken. Download alle versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2. |
Versleuteling aan clientzijde voor blobs |
| Queue Storage-clientbibliotheek voor .NET (versie 12.11.0 en hoger) en Python (versie 12.4 en hoger) | 2,0 1.0 (alleen voor achterwaartse compatibiliteit) |
Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken. | Versleuteling aan clientzijde voor wachtrijen |
| Queue Storage-clientbibliotheek voor .NET (versie 12.10.0 en lager) en Python (versie 12.3.0 en lager) | 1.0 (niet aanbevolen) | Werk uw toepassing bij om een versie van de Queue Storage SDK-versie te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie SDK-ondersteuningsmatrix voor versleuteling aan clientzijde Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken. |
Versleuteling aan clientzijde voor wachtrijen |
| Table Storage-clientbibliotheek voor .NET, Java en Python | 1.0 (niet aanbevolen) | Niet beschikbaar. | N.v.t. |