Szyfrowanie w usłudze Azure Storage dla danych magazynowanych

Usługa Azure Storage używa szyfrowania po stronie serwera do automatycznego szyfrowania danych, gdy są zapisywane w chmurze. Szyfrowanie usługi Azure Storage chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.

Informacje o szyfrowaniu w usłudze Azure Storage

Dane w usłudze Azure Storage są szyfrowane i odszyfrowywane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodne ze standardem FIPS 140-2. Szyfrowanie usługi Azure Storage jest podobne do szyfrowania funkcją BitLocker w systemie Windows.

Szyfrowanie usługi Azure Storage jest włączone dla wszystkich kont magazynu, w tym zarówno kont usługi Resource Manager, jak i klasycznych kont magazynu. Nie można wyłączyć szyfrowania usługi Azure Storage. Ponieważ dane są domyślnie zabezpieczone, nie trzeba modyfikować kodu ani aplikacji, aby korzystać z szyfrowania usługi Azure Storage.

Dane na koncie magazynu są szyfrowane niezależnie od warstwy wydajności (Standardowa lub Premium), warstwy dostępu (gorąca lub chłodna) lub modelu wdrażania (Azure Resource Manager lub klasycznego). Wszystkie obiekty blob w warstwie archiwum są również szyfrowane. Wszystkie opcje nadmiarowości usługi Azure Storage obsługują szyfrowanie, a wszystkie dane w regionach podstawowych i pomocniczych są szyfrowane po włączeniu replikacji geograficznej. Wszystkie zasoby usługi Azure Storage są szyfrowane, w tym obiekty blob, dyski, pliki, kolejki i tabele. Wszystkie metadane obiektu są również szyfrowane. Szyfrowanie usługi Azure Storage nie wiąże się z dodatkowymi kosztami.

Każdy blokowy obiekt blob, uzupełnialne obiekty blob lub stronicowy obiekt blob zapisany w usłudze Azure Storage po 20 października 2017 r. jest szyfrowany. Obiekty blob utworzone przed tą datą nadal są szyfrowane przez proces w tle. Aby wymusić szyfrowanie obiektu blob utworzonego przed 20 października 2017 r., możesz ponownie napisać obiekt blob. Aby dowiedzieć się, jak sprawdzić stan szyfrowania obiektu blob, zobacz Sprawdzanie stanu szyfrowania obiektu blob.

Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych szyfrowania usługi Azure Storage, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja).

Aby uzyskać informacje na temat szyfrowania i zarządzania kluczami dla dysków zarządzanych platformy Azure, zobacz Szyfrowanie po stronie serwera dysków zarządzanych platformy Azure.

Informacje o zarządzaniu kluczami szyfrowania

Dane na nowym koncie magazynu są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Możesz nadal polegać na kluczach zarządzanych przez firmę Microsoft na potrzeby szyfrowania danych lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, masz dwie opcje. Możesz użyć dowolnego typu zarządzania kluczami lub obu tych typów:

  • Możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania danych w usłudze Blob Storage i w usłudze Azure Files. 1,2 Klucze zarządzane przez klienta muszą być przechowywane w usłudze Azure Key Vault lub zarządzanym modelu zabezpieczeń sprzętu usługi Azure Key Vault (HSM) (wersja zapoznawcza). Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta, zobacz Używanie kluczy zarządzanych przez klienta na potrzeby szyfrowania usługi Azure Storage.
  • Klucz podany przez klienta można określić w operacjach usługi Blob Storage. Klient wysyłający żądanie odczytu lub zapisu w usłudze Blob Storage może dołączyć klucz szyfrowania do żądania szczegółowej kontroli nad sposobem szyfrowania i odszyfrowywania danych obiektów blob. Aby uzyskać więcej informacji na temat kluczy dostarczonych przez klienta, zobacz Zapewnianie klucza szyfrowania w żądaniu do usługi Blob Storage.

W poniższej tabeli przedstawiono porównanie opcji zarządzania kluczami dla szyfrowania usługi Azure Storage.

Parametr zarządzania kluczami Klucze zarządzane przez firmę Microsoft Klucze zarządzane przez klienta Klucze dostarczone przez klienta
Operacje szyfrowania/odszyfrowywania Azure Azure Azure
Obsługiwane usługi Azure Storage Wszystko Blob Storage, Azure Files1,2 Blob Storage
Magazyn kluczy Magazyn kluczy firmy Microsoft Usługa Azure Key Vault lub moduł HSM usługi Key Vault Własny magazyn kluczy klienta
Odpowiedzialność za rotację kluczy Microsoft Klient Klient
Kontrolka klucza Microsoft Klient Klient

1 Aby uzyskać informacje na temat tworzenia konta obsługującego używanie kluczy zarządzanych przez klienta z usługą Queue Storage, zobacz Tworzenie konta obsługującego klucze zarządzane przez klienta dla kolejek.
2 Aby uzyskać informacje na temat tworzenia konta obsługującego używanie kluczy zarządzanych przez klienta z usługą Table Storage, zobacz Tworzenie konta obsługującego klucze zarządzane przez klienta dla tabel.

Uwaga

Klucze zarządzane przez firmę Microsoft są odpowiednio obracane zgodnie z wymaganiami dotyczącymi zgodności. Jeśli masz określone wymagania dotyczące rotacji kluczy, firma Microsoft zaleca przejście do kluczy zarządzanych przez klienta, aby móc samodzielnie zarządzać rotacją i przeprowadzać inspekcję.

Podwójnie szyfruj dane za pomocą szyfrowania infrastruktury

Klienci, którzy wymagają wysokiego poziomu zapewnienia, że ich dane są bezpieczne, mogą również włączyć 256-bitowe szyfrowanie AES na poziomie infrastruktury usługi Azure Storage. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami. Podwójne szyfrowanie danych usługi Azure Storage chroni przed scenariuszem, w którym jeden z algorytmów szyfrowania lub kluczy może zostać naruszony. W tym scenariuszu dodatkowa warstwa szyfrowania nadal chroni dane.

Szyfrowanie na poziomie usługi obsługuje korzystanie z kluczy zarządzanych przez firmę Microsoft lub kluczy zarządzanych przez klienta w usłudze Azure Key Vault. Szyfrowanie na poziomie infrastruktury opiera się na kluczach zarządzanych przez firmę Microsoft i zawsze używa oddzielnego klucza.

Aby uzyskać więcej informacji na temat tworzenia konta magazynu, które umożliwia szyfrowanie infrastruktury, zobacz Tworzenie konta magazynu z włączonym szyfrowaniem infrastruktury w celu podwójnego szyfrowania danych.

Następne kroki