Шифрование хранилища Azure для неактивных данныхAzure Storage encryption for data at rest

Служба хранилища Azure автоматически шифрует данные при его сохранении в облако.Azure Storage automatically encrypts your data when persisting it to the cloud. Шифрование обеспечивает защиту данных и которые помогут вашей организации соблюдать безопасность и соответствие требованиям требования.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Данные в службе хранилища Azure, шифруются и расшифровать прозрачно с помощью 256-разрядный шифрование AESиз надежная технология блочного сегодняшний день и соответствует FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Шифрование хранилища Azure аналогична шифрование BitLocker на Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Шифрование хранилища Azure включена для всех учетных записей хранения новых и существующих и не может быть отключено.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Так как ваши данные надежно защищены по умолчанию, не нужно изменять код и приложения, чтобы воспользоваться преимуществами шифрования службы хранилища Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Учетные записи хранения будут шифроваться независимо от их уровня производительности (standard или premium) и модели развертывания (Azure Resource Manager или Классическая версия).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Все варианты избыточности хранилища Azure поддерживает шифрование, и шифрованию подлежат все копии учетной записи хранения.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Все ресурсы службы хранилища Azure, шифруются, включая большие двоичные объекты, диски, файлы, очереди и таблицы.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Все метаданные объекта также шифруются.All object metadata is also encrypted.

Шифрование не влияет на производительность службы хранилища Azure.Encryption does not affect Azure Storage performance. Нет без дополнительных затрат для шифрования службы хранилища Azure.There is no additional cost for Azure Storage encryption.

Дополнительные сведения о криптографических модулей, которые базового шифрования службы хранилища Azure, см. в разделе Cryptography API: Next Generation (API Cryptography: следующее поколение).For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Управление ключамиKey management

Можно положиться на ключи, управляемые Майкрософт, для шифрования учетной записи хранения или шифрования можно управлять с помощью ваши собственные ключи, вместе с Azure Key Vault.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Ключи, управляемые МайкрософтMicrosoft-managed keys

По умолчанию вашей учетной записи хранения используются ключи шифрования, управляемых корпорацией Майкрософт.By default, your storage account uses Microsoft-managed encryption keys. Вы увидите параметры шифрования для учетной записи хранения шифрования раздел портала Azure, как показано на следующем рисунке.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Просмотр учетной записи, зашифрованные с помощью ключей, управляемых корпорацией Майкрософт

Управляемые клиентом ключиCustomer-managed keys

Шифрование службы хранилища Azure можно управлять с помощью управляемых клиентом ключей.You can manage Azure Storage encryption with customer-managed keys. Управляемые клиентом ключи обеспечивают большую гибкость для создания, поворот, отключить и отозвать элементы управления доступом.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Можно также проводить аудит ключей шифрования, используемых для защиты данных.You can also audit the encryption keys used to protect your data.

Используйте Azure Key Vault управлять ключами и выполнять аудит их использования.Use Azure Key Vault to manage your keys and audit your key usage. Вы можете создать собственные ключи и хранить их в хранилище ключей или API-интерфейсы хранилища ключей Azure можно использовать для создания ключей.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Учетная запись хранения и Key Vault должны быть расположены в одном регионе, но могут находиться в разных подписках.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Дополнительные сведения о хранилище ключей Azure см. в разделе что такое хранилище ключей Azure?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Чтобы отменить доступ для управляемых клиентом ключей, см. в разделе PowerShell хранилища ключей Azure и Key Vault-AZ Keyvault.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Отмена доступа фактически блокирует доступ ко всем данным в учетной записи хранения, так как ключ шифрования недоступен службе хранилища Azure.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Узнайте, как использовать управляемые клиентом ключи с помощью службы хранилища Azure, см. в одном из следующих статей:To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Важно!

Управляемые клиентом ключи используют управляемые удостоверения для ресурсов Azure, в состав Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). При переносе подписки из одного каталога Azure AD к другой, управляемого удостоверения не обновляются и управляемыми клиентом ключами может перестать работать.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Дополнительные сведения см. в разделе передача подписки между каталогами Azure AD в часто задаваемые вопросы и известные проблемы с управляемые удостоверения для ресурсов Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Примечание

Управляемые клиентом ключи не поддерживаются для управляемые диски Azure.Customer-managed keys are not supported for Azure managed disks.

Шифрование хранилища Azure и шифрование дисковAzure Storage encryption versus disk encryption

С помощью шифрования службы хранилища Azure все учетные записи хранения Azure и ресурсы, которые они содержат, шифруются, включая страничных BLOB-объектов, которые поддерживают диски виртуальных машин Azure.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Кроме того, можно зашифровать диски виртуальных машин Azure с помощью шифрования дисков Azure.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Шифрование дисков Azure использует стандартные для отрасли BitLocker на Windows и DM-Crypt в Linux для предоставления решения по шифрованию на основе операционной системы, которые интегрируются с хранилищем ключей Azure.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Дальнейшие действияNext steps