Szyfrowanie w usłudze Azure Storage dla danych magazynowanych

Usługa Azure Storage używa szyfrowania po stronie serwera (SSE) do automatycznego szyfrowania danych, gdy są utrwalane w chmurze. Szyfrowanie w usłudze Azure Storage chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.

Informacje o szyfrowaniu w usłudze Azure Storage

Dane w usłudze Azure Storage są szyfrowane i odszyfrowywać w sposób przezroczysty przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i są zgodne ze standardem FIPS 140-2. Szyfrowanie usługi Azure Storage jest podobne do szyfrowania funkcją BitLocker w systemie Windows.

Szyfrowanie usługi Azure Storage jest włączone dla wszystkich kont magazynu, w tym Resource Manager i klasycznych kont magazynu. Nie można wyłączyć szyfrowania usługi Azure Storage. Ponieważ dane są domyślnie zabezpieczone, nie trzeba modyfikować kodu ani aplikacji, aby korzystać z szyfrowania usługi Azure Storage.

Dane na koncie magazynu są szyfrowane niezależnie od warstwy wydajności (Standardowa lub Premium), warstwy dostępu (Gorąca lub Chłodna) lub modelu wdrażania (Azure Resource Manager lub klasyczny). Wszystkie obiekty blob w warstwie Archiwum również są szyfrowane. Wszystkie opcje nadmiarowości usługi Azure Storage obsługują szyfrowanie, a wszystkie dane w regionach podstawowym i pomocniczym są szyfrowane po włączeniu replikacji geograficznej. Wszystkie zasoby usługi Azure Storage są szyfrowane, w tym obiekty blob, dyski, pliki, kolejki i tabele. Wszystkie metadane obiektu są również szyfrowane. Szyfrowanie w usłudze Azure Storage nie wymaga dodatkowych kosztów.

Każdy blokowy, uzupełniany lub stronicowy obiekt blob, który został zapisany w usłudze Azure Storage po 20 października 2017 r., jest szyfrowany. Obiekty blob utworzone przed tą datą są nadal szyfrowane za pomocą procesu w tle. Aby wymusić szyfrowanie obiektu blob utworzonego przed 20 października 2017 r., możesz ponownie napisać obiekt blob. Aby dowiedzieć się, jak sprawdzić stan szyfrowania obiektu blob, zobacz Sprawdzanie stanu szyfrowania obiektu blob.

Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych szyfrowania usługi Azure Storage, zobacz Interfejs API kryptografii: następna generacja.

Aby uzyskać informacje o szyfrowaniu dysków zarządzanych platformy Azure i zarządzaniu kluczami, zobacz Server-side encryption of Azure managed disks(Szyfrowanie dysków zarządzanych platformy Azure po stronie serwera).

Informacje o zarządzaniu kluczami szyfrowania

Dane na nowym koncie magazynu są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. W przypadku szyfrowania danych możesz nadal polegać na kluczach zarządzanych przez firmę Microsoft lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, masz dwie opcje. Można użyć typu zarządzania kluczami lub obu typów:

  • Możesz określić klucz zarządzany przez klienta, który będzie używany do szyfrowania i odszyfrowywania danych w magazynie obiektów blob i w Azure Files. 1,2 Klucze zarządzane przez klienta muszą być przechowywane w programie Azure Key Vault lub Azure Key Vault Zarządzany sprzętowy model zabezpieczeń (HSM) (wersja zapoznawcza). Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta, zobacz Use customer-managed keys for Azure Storage encryption(Używanie kluczy zarządzanych przez klienta na potrzeby szyfrowania usługi Azure Storage).
  • Możesz określić klucz dostarczony przez klienta w operacjach usługi Blob Storage. Klient, który wysyła żądanie odczytu lub zapisu do usługi Blob Storage, może w żądaniu uwzględnić klucz szyfrowania w celu szczegółowej kontroli nad tym, jak dane obiektów blob są szyfrowane i odszyfrowywać. Aby uzyskać więcej informacji na temat kluczy dostarczonych przez klienta, zobacz Provide an encryption key on a request to Blob storage (Zapewnianie klucza szyfrowania w żądaniu do usługi Blob Storage).

W poniższej tabeli porównano opcje zarządzania kluczami dla szyfrowania usługi Azure Storage.

Parametr zarządzania kluczami Klucze zarządzane przez firmę Microsoft Klucze zarządzane przez klienta Klucze dostarczone przez klienta
Operacje szyfrowania/odszyfrowywania Azure Azure Azure
Obsługiwane usługi Azure Storage Wszystko Blob Storage, Azure Files1,2 Blob Storage
Magazyn kluczy Microsoft Key Store Azure Key Vault lub Key Vault HSM Magazyn kluczy klienta
Odpowiedzialność za rotację kluczy Microsoft Customer Customer
Kontrola klucza Microsoft Customer Customer

1 Aby uzyskać informacje na temat tworzenia konta obsługującego używanie kluczy zarządzanych przez klienta z usługą Queue Storage, zobacz Tworzenie konta obsługującego klucze zarządzane przez klienta dla kolejek.
2 Aby uzyskać informacje na temat tworzenia konta obsługującego używanie kluczy zarządzanych przez klienta z usługą Table Storage, zobacz Tworzenie konta obsługującego klucze zarządzane przez klienta dla tabel.

Uwaga

Klucze zarządzane przez firmę Microsoft są odpowiednio obracane zgodnie z wymaganiami zgodności. Jeśli masz określone wymagania dotyczące rotacji kluczy, firma Microsoft zaleca przejście do kluczy zarządzanych przez klienta, aby samodzielnie zarządzać rotacją i samodzielnie ją inspekcji.

Doubly encrypt data with infrastructure encryption (Podwójnie szyfruj dane przy użyciu szyfrowania infrastruktury)

Klienci, którzy wymagają wysokiego poziomu pewności, że ich dane są bezpieczne, mogą również włączyć 256-bitowe szyfrowanie AES na poziomie infrastruktury usługi Azure Storage. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy na poziomie usługi i raz na poziomie infrastruktury z dwoma różnymi algorytmami szyfrowania i — — dwoma różnymi kluczami. Podwójne szyfrowanie danych usługi Azure Storage chroni przed scenariuszem, w którym jeden z algorytmów lub kluczy szyfrowania może zostać naruszony. W tym scenariuszu dodatkowa warstwa szyfrowania nadal chroni dane.

Szyfrowanie na poziomie usługi obsługuje używanie kluczy zarządzanych przez firmę Microsoft lub kluczy zarządzanych przez klienta z Azure Key Vault. Szyfrowanie na poziomie infrastruktury opiera się na kluczach zarządzanych przez firmę Microsoft i zawsze używa oddzielnego klucza.

Aby uzyskać więcej informacji na temat tworzenia konta magazynu, które umożliwia szyfrowanie infrastruktury, zobacz Tworzenie konta magazynu z włączonym szyfrowaniem infrastruktury w celu podwójnego szyfrowania danych.

Następne kroki