Сведения о шифровании для azure Elastic SAN

Azure Elastic SAN использует шифрование на стороне сервера (SSE) для автоматического шифрования данных, хранящихся в эластичной сети SAN. Служба SSE защищает данные и помогает удовлетворить требования к безопасности и соответствию требованиям организации.

Данные в томах Azure Elastic SAN шифруются и расшифровываются прозрачно с помощью 256-разрядного шифрования AES, одного из самых надежных шифров блоков, доступных и совместимых с FIPS 140-2. Дополнительные сведения о криптографических модулях, базовых шифрования данных Azure, см. в разделе API шифрования: Следующее поколение.

SSE включен по умолчанию и не может быть отключен. SSE не может быть отключен, не влияет на производительность эластичной сети SAN и не имеет дополнительных затрат, связанных с ним.

Об управлении ключами шифрования

Доступны два типа ключей шифрования: ключи, управляемые платформой, и ключи, управляемые клиентом. Данные, записанные в том Elastic SAN, шифруются с помощью ключей, управляемых корпорацией Майкрософт, по умолчанию. Если вы предпочитаете, вы можете использовать управляемые клиентом ключи , если у вас есть определенные требования к безопасности организации и соответствию требованиям.

При настройке группы томов можно использовать ключи, управляемые платформой или управляемыми клиентом. Все тома в группе томов наследуют конфигурацию группы томов. Вы можете переключаться между ключами, управляемыми клиентом и платформой, в любое время. При переключении между этими типами ключей служба Elastic SAN повторно шифрует ключ шифрования данных с помощью нового KEK. Защита ключа шифрования данных изменяется, но данные в томах Elastic SAN всегда шифруются. Для защиты данных нет дополнительных действий, необходимых для вашей части.

Ключи, управляемые клиентом

Если вы используете ключи, управляемые клиентом , необходимо использовать Azure Key Vault для его хранения.

Вы можете создавать и импортировать собственные ключи RSA и хранить их в Azure Key Vault или создавать новые ключи RSA с помощью Azure Key Vault. Для создания ключей можно использовать API Azure Key Vault или интерфейсы управления. Эластичная san и хранилище ключей могут находиться в разных регионах и подписках, но они должны находиться в одном клиенте Идентификатора Microsoft Entra.

На следующей схеме показано, как Azure Elastic SAN использует идентификатор Microsoft Entra и хранилище ключей для выполнения запросов с помощью ключа, управляемого клиентом:

В следующем списке описаны шаги, пронумерованные на схеме.

1. Администратор Azure Key Vault предоставляет разрешения управляемому удостоверению для доступа к хранилищу ключей, содержащего ключи шифрования. Управляемое удостоверение может быть удостоверением, назначаемое пользователем, которое вы создаете и управляете, или удостоверение, назначаемое системой, связанное с группой томов.
2. Владелец группы томов Azure Elastic SAN настраивает шифрование с помощью ключа, управляемого клиентом для группы томов.
3. Azure Elastic SAN использует управляемое удостоверение, предоставленное на шаге 1, для проверки подлинности доступа к хранилищу ключей с помощью идентификатора Microsoft Entra.
4. Azure Elastic SAN упаковывает ключ шифрования данных с помощью ключа, управляемого клиентом, из хранилища ключей.
5. Для операций чтения и записи Azure Elastic SAN отправляет запросы в Azure Key Vault, чтобы развернуть ключ шифрования учетной записи для выполнения операций шифрования и расшифровки.

Следующие шаги

• Настройка управляемых клиентом ключей для Azure Elastic SAN с помощью Azure Key Vault
• Управление ключами клиентов для шифрования данных Azure Elastic SAN