Azure Storage-kryptering av vilande data

Azure Storage använder kryptering på serversidan (SSE) för att automatiskt kryptera dina data när de sparas i molnet. Azure Storage kryptering skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden.

Om Azure Storage kryptering

Data i Azure Storage krypteras och dekrypteras transparent med hjälp av 256-bitars AES-kryptering,ett av de starkaste blockchiffreringarna som är tillgängliga och är FIPS 140-2-kompatibel. Azure Storage kryptering liknar BitLocker-kryptering i Windows.

Azure Storage är aktiverat för alla lagringskonton, inklusive både Resource Manager och klassiska lagringskonton. Azure Storage kryptering kan inte inaktiveras. Eftersom dina data skyddas som standard behöver du inte ändra din kod eller dina program för att dra nytta av Azure Storage kryptering.

Data i ett lagringskonto krypteras oavsett prestandanivå (standard eller premium), åtkomstnivå (hot eller cool) eller distributionsmodell (Azure Resource Manager eller klassisk). Alla blobar på arkivnivån krypteras också. Alla Azure Storage för redundans stöder kryptering, och alla data i både den primära och sekundära regionen krypteras när geo-replikering är aktiverat. Alla Azure Storage-resurser krypteras, inklusive blobar, diskar, filer, köer och tabeller. Alla objektmetadata krypteras också. Det kostar inget extra att Azure Storage kryptering.

Varje blockblob, tilläggsblob eller sidblob som skrevs till Azure Storage efter den 20 oktober 2017 krypteras. Blobar som skapats före detta datum fortsätter att krypteras av en bakgrundsprocess. Om du vill framtjäna krypteringen av en blob som skapades före den 20 oktober 2017 kan du skriva om bloben. Information om hur du kontrollerar krypteringsstatusen för en blob finns i Kontrollera krypteringsstatus för en blob.

Mer information om de kryptografiska moduler som ligger Azure Storage kryptering finns i Kryptografi-API: Nästa generation.

Information om kryptering och nyckelhantering för Azure-hanterade diskar finns i Kryptering på serversidan av Hanterade Azure-diskar.

Om hantering av krypteringsnycklar

Data i ett nytt lagringskonto krypteras med Microsoft-hanterade nycklar som standard. Du kan fortsätta att förlita dig på Microsoft-hanterade nycklar för kryptering av dina data, eller så kan du hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med dina egna nycklar har du två alternativ. Du kan använda antingen någon typ av nyckelhantering eller båda:

  • Du kan ange en kund hanterad nyckel som ska användas för kryptering och dekryptering av data i Blob Storage och i Azure Files. 1,2 Kund hanterade nycklar måste lagras i Azure Key Vault eller Azure Key Vault Managed Hardware Security Model (HSM) (förhandsversion). Mer information om kund hanterade nycklar finns i Använda kund-hanterade nycklar för att Azure Storage kryptering.
  • Du kan ange en nyckel som tillhandahålls av kunden i Blob Storage-åtgärder. En klient som gör en läs- eller skrivbegäran mot Blob Storage kan innehålla en krypteringsnyckel för begäran om detaljerad kontroll över hur blobdata krypteras och dekrypteras. Mer information om kundtilldelade nycklar finns i Ange en krypteringsnyckel för en begäran till Blob Storage.

I följande tabell jämförs nyckelhanteringsalternativ för Azure Storage kryptering.

Nyckelhanteringsparameter Microsoft-hanterade nycklar Kundhanterade nycklar Kundtilldeade nycklar
Åtgärder för kryptering/dekryptering Azure Azure Azure
Azure Storage tjänster som stöds Alla Blob Storage, Azure Files1,2 Blob Storage
Nyckellagring Microsoft Key Store Azure Key Vault eller Key Vault HSM Kundens eget nyckellager
Nyckelrotationsansvar Microsoft Kund Kund
Nyckelkontroll Microsoft Kund Kund

1 Information om hur du skapar ett konto som stöder användning av kund hanterade nycklar med Queue Storage finns i Skapa ett konto som stöder kundhanteringsnycklar för köer.
2 Information om hur du skapar ett konto som stöder användning av kund hanterade nycklar med Table Storage finns i Skapa ett konto som stöder kund hanterade nycklar för tabeller.

Anteckning

Microsoft-hanterade nycklar roteras korrekt enligt efterlevnadskraven. Om du har specifika krav på nyckelrotation rekommenderar Microsoft att du flyttar till kundhanterade nycklar så att du kan hantera och granska rotationen själv.

Dubblera kryptering av data med infrastrukturkryptering

Kunder som behöver hög säkerhetsnivå för att deras data är säkra kan också aktivera 256-bitars AES-kryptering på Azure Storage infrastrukturnivå. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger på tjänstnivå och en gång på infrastrukturnivå med två olika krypteringsalgoritmer och — — två olika nycklar. Dubbel kryptering Azure Storage data skyddar mot ett scenario där en av krypteringsalgoritmerna eller nycklarna kan komprometteras. I det här scenariot fortsätter det extra krypteringslagret att skydda dina data.

Kryptering på tjänstnivå stöder användning av antingen Microsoft-hanterade nycklar eller kund-hanterade nycklar med Azure Key Vault. Kryptering på infrastrukturnivå är beroende av Microsoft-hanterade nycklar och använder alltid en separat nyckel.

Mer information om hur du skapar ett lagringskonto som aktiverar infrastrukturkryptering finns i Skapa ett lagringskonto med infrastrukturkryptering aktiverat för dubbel kryptering av data.

Nästa steg