Aktivera infrastrukturkryptering för dubbel kryptering av data

Azure Storage krypterar automatiskt alla data i ett lagringskonto på tjänstnivå med 256-bitars AES med GCM-lägeskryptering, en av de starkaste blockkrypteringarna som är tillgängliga och är FIPS 140-2-kompatibel. Kunder som kräver högre säkerhetsnivåer för att deras data är säkra kan också aktivera 256-bitars AES med CBC-kryptering på Azure Storage-infrastrukturnivå för dubbel kryptering. Dubbel kryptering av Azure Storage-data skyddar mot ett scenario där en av krypteringsalgoritmerna eller nycklarna kan komprometteras. I det här scenariot fortsätter det ytterligare krypteringslagret att skydda dina data.

Infrastrukturkryptering kan aktiveras för hela lagringskontot eller för ett krypteringsomfång inom ett konto. När infrastrukturkryptering är aktiverat för ett lagringskonto eller ett krypteringsomfång krypteras data två gånger – en gång på tjänstnivå och en gång på infrastrukturnivå – med två olika krypteringsalgoritmer och två olika nycklar.

Kryptering på tjänstnivå stöder användning av antingen Microsoft-hanterade nycklar eller kundhanterade nycklar med Azure Key Vault eller Key Vault Managed Hardware Security Model (HSM). Kryptering på infrastrukturnivå förlitar sig på Microsoft-hanterade nycklar och använder alltid en separat nyckel. Mer information om nyckelhantering med Azure Storage-kryptering finns i Om hantering av krypteringsnycklar.

Om du vill kryptera dina data dubbelt måste du först skapa ett lagringskonto eller ett krypteringsomfång som har konfigurerats för infrastrukturkryptering. I den här artikeln beskrivs hur du aktiverar infrastrukturkryptering.

Viktigt!

Infrastrukturkryptering rekommenderas för scenarier där dubbelt krypterade data krävs för efterlevnadskrav. I de flesta andra scenarier tillhandahåller Azure Storage-kryptering en tillräckligt kraftfull krypteringsalgoritm, och det är osannolikt att det finns någon fördel med att använda infrastrukturkryptering.

Skapa ett konto med infrastrukturkryptering aktiverat

Om du vill aktivera infrastrukturkryptering för ett lagringskonto måste du konfigurera ett lagringskonto för att använda infrastrukturkryptering när du skapar kontot. Infrastrukturkryptering kan inte aktiveras eller inaktiveras när kontot har skapats. Lagringskontot måste vara av typen generell användning v2 eller premiumblockblob.

Azure-portalen

Följ dessa steg om du vill använda Azure-portalen för att skapa ett lagringskonto med infrastrukturkryptering aktiverat:

1. Gå till sidan Lagringskonton i Azure-portalen.

2. Välj knappen Lägg till för att lägga till ett nytt generellt v2- eller Premium-blockbloblagringskonto.

3. Leta upp Aktivera infrastrukturkryptering på fliken Kryptering och välj Aktiverad.

4. Välj Granska + skapa för att slutföra skapandet av lagringskontot.

   

Följ dessa steg för att kontrollera att infrastrukturkryptering är aktiverat för ett lagringskonto med Azure-portalen:

1. Navigera till ditt lagringskonto i Azure-portalen.

2. Under Säkerhet + nätverk väljer du Kryptering.

   

PowerShell

Om du vill använda PowerShell för att skapa ett lagringskonto med infrastrukturkryptering aktiverat kontrollerar du att du har installerat Az.Storage PowerShell-modulen version 2.2.0 eller senare. Mer information finns i Installera Azure PowerShell.

Skapa sedan ett generellt v2- eller Premium-blockbloblagringskonto genom att anropa kommandot New-AzStorageAccount . Inkludera alternativet -RequireInfrastructureEncryption för att aktivera infrastrukturkryptering.

I följande exempel visas hur du skapar ett generellt v2-lagringskonto som är konfigurerat för geo-redundant lagring med läsåtkomst (RA-GRS) och har infrastrukturkryptering aktiverat för dubbel kryptering av data. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Om du vill kontrollera att infrastrukturkryptering är aktiverat för ett lagringskonto anropar du kommandot Get-AzStorageAccount . Det här kommandot returnerar en uppsättning lagringskontoegenskaper och deras värden. Hämta fältet RequireInfrastructureEncryption i Encryption egenskapen och kontrollera att det är inställt på True.

I följande exempel hämtas värdet för RequireInfrastructureEncryption egenskapen. Kom ihåg att ersätta platshållarvärdena i vinkelparenteser med dina egna värden:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure CLI

Om du vill använda Azure CLI för att skapa ett lagringskonto som har infrastrukturkryptering aktiverat kontrollerar du att du har installerat Azure CLI version 2.8.0 eller senare. Mer information finns i Installera Azure CLI.

Skapa sedan ett generellt v2- eller Premium-blockbloblagringskonto genom att anropa kommandot az storage account create och inkludera --require-infrastructure-encryption option för att aktivera infrastrukturkryptering.

I följande exempel visas hur du skapar ett generellt v2-lagringskonto som är konfigurerat för geo-redundant lagring med läsåtkomst (RA-GRS) och har infrastrukturkryptering aktiverat för dubbel kryptering av data. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Om du vill kontrollera att infrastrukturkryptering är aktiverat för ett lagringskonto anropar du kommandot az storage account show . Det här kommandot returnerar en uppsättning lagringskontoegenskaper och deras värden. Leta efter fältet requireInfrastructureEncryption i encryption egenskapen och kontrollera att det är inställt på true.

I följande exempel hämtas värdet för requireInfrastructureEncryption egenskapen. Kom ihåg att ersätta platshållarvärdena i vinkelparenteser med dina egna värden:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Mall

I följande JSON-exempel skapas ett allmänt v2-lagringskonto som är konfigurerat för geo-redundant lagring med läsåtkomst (RA-GRS) och som har infrastrukturkryptering aktiverat för dubbel kryptering av data. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy tillhandahåller en inbyggd princip som kräver att infrastrukturkryptering aktiveras för ett lagringskonto. Mer information finns i avsnittet Lagring i inbyggda principdefinitioner i Azure Policy.

Skapa ett krypteringsomfång med infrastrukturkryptering aktiverat

Om infrastrukturkryptering är aktiverat för ett konto använder alla krypteringsomfång som skapas på det kontot automatiskt infrastrukturkryptering. Om infrastrukturkryptering inte är aktiverat på kontonivå har du möjlighet att aktivera den för ett krypteringsomfång när du skapar omfånget. Det går inte att ändra inställningen för infrastrukturkryptering för ett krypteringsomfång när omfånget har skapats. Mer information finns i Skapa ett krypteringsomfång.

Nästa steg

• Azure Storage-kryptering av vilande data
• Kundhanterade nycklar för Azure Storage-kryptering
• Krypteringsomfång för Blob Storage