Azure Storage-kryptering av vilande dataAzure Storage encryption for data at rest

Azure Storage använder SSE (Server Side Encryption) för att automatiskt kryptera dina data när de sparas i molnet.Azure Storage uses server-side encryption (SSE) to automatically encrypt your data when it is persisted to the cloud. Azure Storage kryptering skyddar dina data och hjälper dig att uppfylla organisationens säkerhets-och efterlevnads åtaganden.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Om Azure Storage krypteringAbout Azure Storage encryption

Data i Azure Storage krypteras och dekrypteras transparent med 256-bitars AES- kryptering, en av de starkaste block chiffer som är tillgängliga och är FIPS 140-2-kompatibel.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Azure Storage kryptering liknar BitLocker-kryptering på Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Azure Storage kryptering har Aktiver ATS för alla lagrings konton, inklusive både Resource Manager och klassiska lagrings konton.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. Azure Storage kryptering kan inte inaktive ras.Azure Storage encryption cannot be disabled. Eftersom dina data är säkra som standard behöver du inte ändra koden eller programmen för att dra nytta av Azure Storage kryptering.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Data i ett lagrings konto är krypterade oavsett prestanda nivå (standard eller Premium), åtkomst nivå (frekvent eller låg frekvent) eller distributions modell (Azure Resource Manager eller klassisk).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Alla blobbar på Arkiv nivån krypteras också.All blobs in the archive tier are also encrypted. Alla Azure Storage alternativ för redundans stöder kryptering och alla data i både den primära och den sekundära regionen krypteras när geo-replikering är aktiverat.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Alla Azure Storage-resurser krypteras, inklusive blobbar, diskar, filer, köer och tabeller.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Alla metadata för objekt krypteras också.All object metadata is also encrypted. Det kostar inget extra att Azure Storage kryptering.There is no additional cost for Azure Storage encryption.

Varje Block-Blob, Lägg till BLOB eller sid-blob som skrevs till Azure Storage efter den 20 oktober 2017 är krypterad.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Blobbar som skapats före detta datum fortsätter att krypteras med en bakgrunds process.Blobs created prior to this date continue to be encrypted by a background process. Om du vill framtvinga kryptering av en blob som skapades före den 20 oktober 2017 kan du skriva om blobben.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Information om hur du kontrollerar krypterings statusen för en BLOB finns i kontrol lera krypterings statusen för en BLOB.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Mer information om de kryptografiska modulerna underliggande Azure Storage kryptering finns i Cryptography-API: nästa generation.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Information om kryptering och nyckel hantering för Azure Managed disks finns i kryptering på Server sidan för Azure Managed disks.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks.

Om hantering av krypterings nyckelAbout encryption key management

Data i ett nytt lagrings konto krypteras med Microsoft-hanterade nycklar som standard.Data in a new storage account is encrypted with Microsoft-managed keys by default. Du kan fortsätta att förlita dig på Microsoft-hanterade nycklar för kryptering av dina data, eller så kan du hantera kryptering med dina egna nycklar.You can continue to rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Om du väljer att hantera kryptering med dina egna nycklar har du två alternativ.If you choose to manage encryption with your own keys, you have two options. Du kan använda båda typerna av nyckel hantering eller båda:You can use either type of key management, or both:

  • Du kan ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera data i Blob Storage och i Azure Files. 1, 2 Kundhanterade nycklar måste lagras i Azure Key Vault eller Azure Key Vault-hanterad maskin varu säkerhets modell (HSM) (för hands version).You can specify a customer-managed key to use for encrypting and decrypting data in Blob storage and in Azure Files.1,2 Customer-managed keys must be stored in Azure Key Vault or Azure Key Vault Managed Hardware Security Model (HSM) (preview). Mer information om Kundhanterade nycklar finns i använda Kundhanterade nycklar för Azure Storage kryptering.For more information about customer-managed keys, see Use customer-managed keys for Azure Storage encryption.
  • Du kan ange en anpassad nyckel för Blob Storage-åtgärder.You can specify a customer-provided key on Blob storage operations. En klient som gör en Läs-eller skrivbegäran mot Blob Storage kan inkludera en krypterings nyckel på begäran om detaljerad kontroll över hur BLOB-data krypteras och dekrypteras.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted. Mer information om kundspecifika nycklar finns i Ange en krypterings nyckel på en begäran till Blob Storage.For more information about customer-provided keys, see Provide an encryption key on a request to Blob storage.

I följande tabell jämförs nyckel hanterings alternativ för Azure Storage kryptering.The following table compares key management options for Azure Storage encryption.

Nyckel hanterings parameterKey management parameter Microsoft-hanterade nycklarMicrosoft-managed keys Kundhanterade nycklarCustomer-managed keys Kund-tillhandahållna nycklarCustomer-provided keys
Kryptering/dekrypteringEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Azure Storage tjänster som stödsAzure Storage services supported AllaAll Blob Storage, Azure Files1, 2Blob storage, Azure Files1,2 Blob StorageBlob storage
Nyckel lagringKey storage Microsoft nyckel lagerMicrosoft key store Azure Key Vault eller Key Vault HSMAzure Key Vault or Key Vault HSM Kundens egna nyckel lagerCustomer's own key store
Största ansvar för nyckel rotationKey rotation responsibility MicrosoftMicrosoft KundCustomer KundCustomer
Nyckel kontrollKey control MicrosoftMicrosoft KundCustomer KundCustomer

1 information om hur du skapar ett konto som stöder användning av Kundhanterade nycklar med Queue Storage finns i skapa ett konto som stöder Kundhanterade nycklar för köer.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 mer information om hur du skapar ett konto som stöder användning av Kundhanterade nycklar med Table Storage finns i skapa ett konto som stöder Kundhanterade nycklar för tabeller.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Anteckning

Microsoft-hanterade nycklar roteras på rätt sätt enligt kraven för efterlevnad.Microsoft-managed keys are rotated appropriately per compliance requirements. Om du har specifika krav för nyckel rotation rekommenderar Microsoft att du flyttar till Kundhanterade nycklar så att du kan hantera och granska rotationen själv.If you have specific key rotation requirements, Microsoft recommends that you move to customer-managed keys so that you can manage and audit the rotation yourself.

Dubblera kryptering av data med infrastruktur krypteringDoubly encrypt data with infrastructure encryption

Kunder som kräver höga garantier för att deras data är säkra kan också aktivera 256-bitars AES-kryptering på Azure Storage infrastruktur nivå.Customers who require high levels of assurance that their data is secure can also enable 256-bit AES encryption at the Azure Storage infrastructure level. När infrastruktur kryptering har Aktiver ATS krypteras data i ett lagrings konto två gånger — på tjänst nivå och en gång på infrastruktur nivå — med två olika krypteringsalgoritmer och två olika nycklar.When infrastructure encryption is enabled, data in a storage account is encrypted twice — once at the service level and once at the infrastructure level — with two different encryption algorithms and two different keys. Dubbel kryptering av Azure Storage data skyddar mot ett scenario där en av krypteringsalgoritmerna eller nycklarna kan komprometteras.Double encryption of Azure Storage data protects against a scenario where one of the encryption algorithms or keys may be compromised. I det här scenariot fortsätter det ytterligare lagret med kryptering att skydda dina data.In this scenario, the additional layer of encryption continues to protect your data.

Kryptering på tjänst nivå stöder användning av antingen Microsoft-hanterade nycklar eller kund hanterade nycklar med Azure Key Vault.Service-level encryption supports the use of either Microsoft-managed keys or customer-managed keys with Azure Key Vault. Kryptering på infrastruktur nivå är beroende av Microsoft-hanterade nycklar och använder alltid en separat nyckel.Infrastructure-level encryption relies on Microsoft-managed keys and always uses a separate key.

Mer information om hur du skapar ett lagrings konto som möjliggör infrastruktur kryptering finns i skapa ett lagrings konto med infrastruktur kryptering aktiverat för dubbel kryptering av data.For more information about how to create a storage account that enables infrastructure encryption, see Create a storage account with infrastructure encryption enabled for double encryption of data.

Nästa stegNext steps