Шифрование службы хранилища Azure для неактивных данныхAzure Storage encryption for data at rest

Служба хранилища Azure автоматически шифрует данные при их сохранении в облаке.Azure Storage automatically encrypts your data when it is persisted it to the cloud. Шифрование службы хранилища Azure защищает ваши данные и помогает удовлетворить ваши обязательства по обеспечению безопасности и соответствия требованиям Организации.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

О шифровании службы хранилища AzureAbout Azure Storage encryption

Данные в службе хранилища Azure шифруются и расшифровываются прозрачно с использованием 256-разрядного шифрования AES, одним из наиболее подданных блоков блочных шифров и совместимым с FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Шифрование службы хранилища Azure аналогично шифрованию BitLocker в Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Шифрование службы хранилища Azure включено для всех учетных записей хранения, включая как диспетчер ресурсов, так и классические учетные записи хранения.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. Шифрование службы хранилища Azure не может быть отключено.Azure Storage encryption cannot be disabled. Поскольку данные защищены по умолчанию, вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования службы хранилища Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Данные в учетной записи хранения шифруются независимо от уровня производительности ("Стандартный" или "Премиум"), уровня доступа ("горячий" или "холодного") или модели развертывания (Azure Resource Manager или классической версии).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Все большие двоичные объекты на уровне архива также шифруются.All blobs in the archive tier are also encrypted. Все параметры избыточности службы хранилища Azure поддерживают шифрование, и все данные в основном и дополнительном регионах шифруются при включенной георепликации.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Все ресурсы службы хранилища Azure шифруются, включая большие двоичные объекты, диски, файлы, очереди и таблицы.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Все метаданные объекта также шифруются.All object metadata is also encrypted. Дополнительные затраты на шифрование службы хранилища Azure отсутствуют.There is no additional cost for Azure Storage encryption.

Каждый блочный большой двоичный объект, добавочный большой двоичный объект или страничный BLOB-объект, записанный в службу хранилища Azure после 20 октября 2017, шифруется.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Большие двоичные объекты, созданные до этой даты, продолжают шифроваться фоновым процессом.Blobs created prior to this date continue to be encrypted by a background process. Чтобы принудительно выполнить шифрование большого двоичного объекта, созданного до 20 октября 2017, можно переписать большой двоичный объект.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Сведения о проверке состояния шифрования большого двоичного объекта см. в разделе Проверка состояния шифрования большого двоичногообъекта.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Дополнительные сведения о криптографических модулях, лежащих в основе шифрования службы хранилища Azure, см. в разделе API шифрования: следующее поколение.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Сведения о шифровании и управлении ключами для управляемых дисков Azure см. в статье Шифрование управляемых дисков Azure на стороне сервера для виртуальных машин Windows или Шифрование управляемых дисков Azure на стороне сервера для виртуальных машин Linux.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

Об управлении ключами шифрованияAbout encryption key management

Данные в новой учетной записи хранения шифруются с помощью ключей, управляемых корпорацией Майкрософт.Data in a new storage account is encrypted with Microsoft-managed keys. Вы можете использовать ключи, управляемые корпорацией Майкрософт, для шифрования данных, а также управлять шифрованием с помощью собственных ключей.You can rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Если вы решили управлять шифрованием с помощью собственных ключей, у вас есть два варианта:If you choose to manage encryption with your own keys, you have two options:

В следующей таблице сравниваются параметры управления ключами для шифрования службы хранилища Azure.The following table compares key management options for Azure Storage encryption.

Параметр управления ключамиKey management parameter Ключи, управляемые МайкрософтMicrosoft-managed keys Ключи, управляемые клиентомCustomer-managed keys Ключи, предоставляемые клиентомCustomer-provided keys
Операции шифрования и расшифровкиEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Поддерживаемые службы хранилища AzureAzure Storage services supported ВсеAll Хранилище BLOB-объектов, файлы Azure1, 2Blob storage, Azure Files1,2 Хранилище BLOB-объектовBlob storage
Хранилище ключейKey storage Хранилище ключей (Майкрософт)Microsoft key store Azure Key VaultAzure Key Vault Собственное хранилище ключей клиентаCustomer's own key store
Ответственность за смену ключейKey rotation responsibility MicrosoftMicrosoft CustomerCustomer CustomerCustomer
Управление ключамиKey control МайкрософтMicrosoft CustomerCustomer CustomerCustomer

1 сведения о создании учетной записи, поддерживающей использование управляемых клиентом ключей с хранилищем очередей, см. в разделе Создание учетной записи, которая поддерживает управляемые клиентом ключи для очередей.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 дополнительные сведения о создании учетной записи, поддерживающей использование управляемых клиентом ключей с хранилищем таблиц, см. в разделе Создание учетной записи, которая поддерживает управляемые клиентом ключи для таблиц.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Области шифрования для хранилища BLOB-объектов (Предварительная версия)Encryption scopes for Blob storage (preview)

По умолчанию учетная запись хранения шифруется с помощью ключа, относящегося к учетной записи хранения.By default, a storage account is encrypted with a key that is scoped to the storage account. Вы можете использовать ключи, управляемые корпорацией Майкрософт, или управляемые клиентом ключи, хранящиеся в Azure Key Vault, чтобы защитить и контролировать доступ к ключу, который шифрует ваши данные.You can choose to use either Microsoft-managed keys or customer-managed keys stored in Azure Key Vault to protect and control access to the key that encrypts your data.

Области шифрования позволяют при необходимости управлять шифрованием на уровне контейнера или отдельного большого двоичного объекта.Encryption scopes enable you to optionally manage encryption at the level of the container or an individual blob. Области шифрования можно использовать для создания безопасных границ между данными, которые находятся в одной учетной записи хранения, но принадлежат разным клиентам.You can use encryption scopes to create secure boundaries between data that resides in the same storage account but belongs to different customers.

Вы можете создать одну или несколько областей шифрования для учетной записи хранения с помощью поставщика ресурсов службы хранилища Azure.You can create one or more encryption scopes for a storage account using the Azure Storage resource provider. При создании области шифрования указывается, защищена ли область с помощью ключа, управляемого корпорацией Майкрософт, или с помощью ключа, управляемого клиентом, который хранится в Azure Key Vault.When you create an encryption scope, you specify whether the scope is protected with a Microsoft-managed key or with a customer-managed key that is stored in Azure Key Vault. Различные области шифрования в одной и той же учетной записи хранения могут использовать управляемые корпорацией Майкрософт ключи.Different encryption scopes on the same storage account can use either Microsoft-managed or customer-managed keys.

После создания области шифрования можно указать эту область шифрования в запросе для создания контейнера или большого двоичного объекта.After you have created an encryption scope, you can specify that encryption scope on a request to create a container or a blob. Дополнительные сведения о создании области шифрования см. в статье Создание и управление областями шифрования (Предварительная версия).For more information about how to create an encryption scope, see Create and manage encryption scopes (preview).

Примечание

Области шифрования не поддерживаются для учетных записей геоизбыточного хранилища с доступом на чтение (RA-GRS) во время действия предварительной версии.Encryption scopes are not supported with read-access geo-redundant storage (RA-GRS) accounts during preview.

Важно!

Предварительная версия областей шифрования предназначена только для использования в рабочей среде.The encryption scopes preview is intended for non-production use only. Соглашения об уровне обслуживания (SLA) для рабочих сред сейчас недоступны.Production service-level agreements (SLAs) are not currently available.

Чтобы избежать непредвиденных затрат, не забудьте отключить все области шифрования, которые в настоящее время не нужны.To avoid unexpected costs, be sure to disable any encryption scopes that you do not currently need.

Создание контейнера или большого двоичного объекта с областью шифрованияCreate a container or blob with an encryption scope

Большие двоичные объекты, созданные в области шифрования, шифруются ключом, указанным для этой области.Blobs that are created under an encryption scope are encrypted with the key specified for that scope. Можно указать область шифрования для отдельного большого двоичного объекта при создании большого двоичного объекта или указать область шифрования по умолчанию при создании контейнера.You can specify an encryption scope for an individual blob when you create the blob, or you can specify a default encryption scope when you create a container. Если на уровне контейнера задана область шифрования по умолчанию, все большие двоичные объекты в этом контейнере шифруются с помощью ключа, связанного с областью по умолчанию.When a default encryption scope is specified at the level of a container, all blobs in that container are encrypted with the key associated with the default scope.

При создании большого двоичного объекта в контейнере с областью шифрования по умолчанию можно указать область шифрования, которая переопределяет область шифрования по умолчанию, если контейнер настроен для разрешения переопределений области шифрования по умолчанию.When you create a blob in a container that has a default encryption scope, you can specify an encryption scope that overrides the default encryption scope if the container is configured to allow overrides of the default encryption scope. Чтобы предотвратить переопределение области шифрования по умолчанию, настройте контейнер для запрета переопределений для отдельного большого двоичного объекта.To prevent overrides of the default encryption scope, configure the container to deny overrides for an individual blob.

Операции чтения большого двоичного объекта, принадлежащего к области шифрования, происходят прозрачно, пока область шифрования не отключена.Read operations on a blob that belongs to an encryption scope happen transparently, so long as the encryption scope is not disabled.

Отключение области шифрованияDisable an encryption scope

При отключении области шифрования все последующие операции чтения или записи, выполненные с помощью области шифрования, завершатся ошибкой HTTP с кодом 403 (запрещено).When you disable an encryption scope, any subsequent read or write operations made with the encryption scope will fail with HTTP error code 403 (Forbidden). При повторном включении области шифрования операции чтения и записи будут выполняться нормально.If you re-enable the encryption scope, read and write operations will proceed normally again.

Если область шифрования отключена, плата за нее больше не взимается.When an encryption scope is disabled, you are no longer billed for it. Отключите все области шифрования, которые не требуются, чтобы избежать ненужных расходов.Disable any encryption scopes that are not needed to avoid unnecessary charges.

Если область шифрования защищена с помощью ключей, управляемых клиентом, для Azure Key Vault, можно также удалить связанный ключ в хранилище ключей, чтобы отключить область шифрования.If your encryption scope is protected with customer-managed keys for Azure Key Vault, then you can also delete the associated key in the key vault in order to disable the encryption scope. Помните, что управляемые клиентом ключи в Azure Key Vault защищены с помощью обратимого удаления и защиты от вирусов, а удаленный ключ зависит от поведения, определенного для этих свойств.Keep in mind that customer-managed keys in Azure Key Vault are protected by soft delete and purge protection, and a deleted key is subject to the behavior defined for by those properties. Дополнительные сведения см. в одном из следующих разделов документации по Azure Key Vault:For more information, see one of the following topics in the Azure Key Vault documentation:

Примечание

Невозможно удалить область шифрования.It is not possible to delete an encryption scope.

Дальнейшие действияNext steps