Bekleyen veri için Azure Depolama şifrelemesiAzure Storage encryption for data at rest

Azure depolama, bulutta kalıcı olduğunda verilerinizi otomatik olarak şifreler.Azure Storage automatically encrypts your data when it is persisted to the cloud. Azure depolama şifrelemesi, verilerinizi korur ve kuruluşunuzun güvenlik ve uyumluluk taahhütlerinizi karşılamanıza yardımcı olur.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Azure depolama şifrelemesi hakkındaAbout Azure Storage encryption

Azure depolama 'daki veriler, 256 bit AES şifrelemesikullanılarak şifrelenmiş ve şifresi çözülür, en güçlü blok şifrelemeleri KULLANILABILIR ve FIPS 140-2 uyumludur.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Azure depolama şifrelemesi, Windows 'da BitLocker şifrelemeye benzer.Azure Storage encryption is similar to BitLocker encryption on Windows.

Azure depolama şifrelemesi, hem Kaynak Yöneticisi hem de klasik depolama hesapları da dahil olmak üzere tüm depolama hesapları için etkinleştirilmiştir.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. Azure depolama şifrelemesi devre dışı bırakılamıyor.Azure Storage encryption cannot be disabled. Verileriniz varsayılan olarak güvenli hale getirildiğinden, Azure depolama şifrelemesi 'nin avantajlarından yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Bir depolama hesabındaki veriler, performans katmanından (Standart veya Premium), erişim katmanından (sık veya seyrek erişimli) veya dağıtım modelinden (Azure Resource Manager veya klasik) bağımsız olarak şifrelenir.Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Arşiv katmanındaki tüm Bloblar da şifrelenir.All blobs in the archive tier are also encrypted. Tüm Azure depolama artıklığı seçenekleri şifrelemeyi destekler ve coğrafi çoğaltma etkinleştirildiğinde hem birincil hem de ikincil bölgelerdeki tüm veriler şifrelenir.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Blob 'lar, diskler, dosyalar, kuyruklar ve tablolar dahil olmak üzere tüm Azure depolama kaynakları şifrelenir.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Tüm nesne meta verileri de şifrelenir.All object metadata is also encrypted. Azure depolama şifrelemesi için ek bir maliyet yoktur.There is no additional cost for Azure Storage encryption.

20 Ekim 2017 ' den sonra Azure depolama 'ya yazılan her Blok Blobu, ekleme Blobu veya Sayfa Blobu şifrelenir.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Bu tarihten önce oluşturulan Bloblar, bir arka plan işlemi tarafından şifrelenmeye devam eder.Blobs created prior to this date continue to be encrypted by a background process. 20 Ekim 2017 ' den önce oluşturulan bir Blobun şifrelemeye zorlamak için, blobu yeniden yazabilirsiniz.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Bir Blobun şifreleme durumunu denetleme hakkında bilgi edinmek için bkz. bir Blobun şifreleme durumunu denetleme.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Azure depolama şifrelemesini temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz. şifreleme API 'si: yeni nesil.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Azure yönetilen diskler için şifreleme ve anahtar yönetimi hakkında daha fazla bilgi için bkz. Windows VM 'ler için Azure yönetilen disklerin sunucu tarafı şifrelemesi veya Linux VM 'Leri için Azure yönetilen disklerinin sunucu tarafı şifrelemesi .For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

Şifreleme anahtarı yönetimi hakkındaAbout encryption key management

Yeni bir depolama hesabındaki veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlarla şifrelenir.Data in a new storage account is encrypted with Microsoft-managed keys by default. Verilerinizin şifrelenmesi için Microsoft tarafından yönetilen anahtarları kullanmaya devam edebilir veya kendi anahtarlarınız ile şifrelemeyi yönetebilirsiniz.You can continue to rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Şifrelemeyi kendi anahtarlarınız ile yönetmeyi seçerseniz iki seçeneğiniz vardır.If you choose to manage encryption with your own keys, you have two options. Her iki tür anahtar yönetimi veya her ikisini de kullanabilirsiniz:You can use either type of key management, or both:

  • Blob depolamadaki ve Azure dosyalarındaki verileri şifrelemek ve şifrelerini çözmek için, müşteri tarafından yönetilen bir anahtar belirtebilirsiniz. 1, 2 müşteri tarafından yönetilen anahtarların Azure Key Vault veya Azure Key Vault yönetilen donanım güvenlik MODELI (HSM) (Önizleme) içinde depolanması gerekir.You can specify a customer-managed key to use for encrypting and decrypting data in Blob storage and in Azure Files.1,2 Customer-managed keys must be stored in Azure Key Vault or Azure Key Vault Managed Hardware Security Model (HSM) (preview). Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz. Azure depolama şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma.For more information about customer-managed keys, see Use customer-managed keys for Azure Storage encryption.
  • BLOB depolama işlemlerinde, müşteri tarafından sağlanmış bir anahtar belirtebilirsiniz.You can specify a customer-provided key on Blob storage operations. Blob depolamaya karşı okuma veya yazma isteği yapan bir istemci, blob verilerinin şifrelenme ve şifresinin çözülmesi üzerinde ayrıntılı denetim isteğine yönelik bir şifreleme anahtarı içerebilir.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted. Müşteri tarafından sunulan anahtarlar hakkında daha fazla bilgi için bkz. BLOB depolama için istekte bir şifreleme anahtarı sağlama.For more information about customer-provided keys, see Provide an encryption key on a request to Blob storage.

Aşağıdaki tabloda, Azure depolama şifrelemesi için anahtar yönetim seçenekleri karşılaştırılmaktadır.The following table compares key management options for Azure Storage encryption.

Anahtar yönetimi parametresiKey management parameter Microsoft tarafından yönetilen anahtarlarMicrosoft-managed keys Müşteri tarafından yönetilen anahtarlarCustomer-managed keys Müşteri tarafından sunulan anahtarlarCustomer-provided keys
Şifreleme/şifre çözme işlemleriEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Desteklenen Azure depolama hizmetleriAzure Storage services supported TümüAll BLOB depolama, Azure dosyaları1, 2Blob storage, Azure Files1,2 Blob depolamaBlob storage
Anahtar depolamaKey storage Microsoft anahtar deposuMicrosoft key store Azure Key Vault veya Key Vault HSMAzure Key Vault or Key Vault HSM Müşterinin kendi anahtar deposuCustomer's own key store
Anahtar döndürme sorumluluğuKey rotation responsibility MicrosoftMicrosoft MüşteriCustomer MüşteriCustomer
Anahtar denetimiKey control MicrosoftMicrosoft MüşteriCustomer MüşteriCustomer

1 müşteri tarafından yönetilen anahtarları kuyruk depolama ile kullanmayı destekleyen bir hesap oluşturma hakkında bilgi için, bkz. kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesapoluşturma.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 müşteri tarafından yönetilen anahtarları tablo depolama ile kullanmayı destekleyen bir hesap oluşturma hakkında bilgi için bkz. tablolar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Not

Microsoft tarafından yönetilen anahtarlar uyumluluk gereksinimleri uyarınca uygun şekilde döndürülür.Microsoft-managed keys are rotated appropriately per compliance requirements. Belirli anahtar döndürme gereksinimleriniz varsa, Microsoft, döndürmeyi kendiniz yönetebilmeniz ve denetedebilmeniz için müşteri tarafından yönetilen anahtarlara geçmeniz önerilir.If you have specific key rotation requirements, Microsoft recommends that you move to customer-managed keys so that you can manage and audit the rotation yourself.

Şüpheli verileri altyapı şifrelemesiyle şifrelemeDoubly encrypt data with infrastructure encryption

Verilerin güvenliğini sağlamak için yüksek düzeyde güvence gerektiren müşteriler, Azure depolama altyapısı düzeyinde 256 bit AES şifrelemesini de etkinleştirebilir.Customers who require high levels of assurance that their data is secure can also enable 256-bit AES encryption at the Azure Storage infrastructure level. Altyapı şifrelemesi etkinleştirildiğinde, bir depolama hesabındaki veriler, — hizmet düzeyinde iki kez ve altyapı düzeyinde — iki farklı şifreleme algoritmalarıyla bir kez şifrelenir.When infrastructure encryption is enabled, data in a storage account is encrypted twice — once at the service level and once at the infrastructure level — with two different encryption algorithms and two different keys. Azure depolama verilerinin çift şifrelemesi, şifreleme algoritmalarından veya anahtarlardan birinin tehlikeye girdiği bir senaryoya karşı koruma sağlar.Double encryption of Azure Storage data protects against a scenario where one of the encryption algorithms or keys may be compromised. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.In this scenario, the additional layer of encryption continues to protect your data.

Hizmet düzeyi şifreleme, Azure Key Vault ile Microsoft tarafından yönetilen anahtarların veya müşteri tarafından yönetilen anahtarların kullanımını destekler.Service-level encryption supports the use of either Microsoft-managed keys or customer-managed keys with Azure Key Vault. Altyapı düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarları kullanır ve her zaman ayrı bir anahtar kullanır.Infrastructure-level encryption relies on Microsoft-managed keys and always uses a separate key.

Altyapı şifrelemesini sağlayan bir depolama hesabı oluşturma hakkında daha fazla bilgi için, bkz. verilerin çift şifrelenmesi için altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturma.For more information about how to create a storage account that enables infrastructure encryption, see Create a storage account with infrastructure encryption enabled for double encryption of data.

BLOB depolama için şifreleme kapsamları (Önizleme)Encryption scopes for Blob storage (preview)

Varsayılan olarak, bir depolama hesabı depolama hesabı kapsamındaki bir anahtarla şifrelenir.By default, a storage account is encrypted with a key that is scoped to the storage account. Verilerinizi şifreleyen anahtara erişimi korumak ve denetlemek için, Microsoft tarafından yönetilen anahtarları veya Azure Key Vault depolanan müşteri tarafından yönetilen anahtarları kullanmayı seçebilirsiniz.You can choose to use either Microsoft-managed keys or customer-managed keys stored in Azure Key Vault to protect and control access to the key that encrypts your data.

Şifreleme kapsamları, kapsayıcının veya ayrı bir blob düzeyinde şifrelemeyi isteğe bağlı olarak yönetmenizi sağlar.Encryption scopes enable you to optionally manage encryption at the level of the container or an individual blob. Aynı depolama hesabında bulunan ancak farklı müşterilere ait olan veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz.You can use encryption scopes to create secure boundaries between data that resides in the same storage account but belongs to different customers.

Azure depolama kaynak sağlayıcısı 'nı kullanarak bir depolama hesabı için bir veya daha fazla şifreleme kapsamı oluşturabilirsiniz.You can create one or more encryption scopes for a storage account using the Azure Storage resource provider. Bir şifreleme kapsamı oluşturduğunuzda, kapsamın Microsoft tarafından yönetilen bir anahtarla mi yoksa Azure Key Vault depolanan müşteri tarafından yönetilen bir anahtarla mi korunduğunu belirtin.When you create an encryption scope, you specify whether the scope is protected with a Microsoft-managed key or with a customer-managed key that is stored in Azure Key Vault. Aynı depolama hesabındaki farklı şifreleme kapsamları, Microsoft tarafından yönetilen veya müşteri tarafından yönetilen anahtarları kullanabilir.Different encryption scopes on the same storage account can use either Microsoft-managed or customer-managed keys.

Bir şifreleme kapsamı oluşturduktan sonra, bir kapsayıcı veya blob oluşturmak için bu şifreleme kapsamının bir istekte belirtebilirsiniz.After you have created an encryption scope, you can specify that encryption scope on a request to create a container or a blob. Şifreleme kapsamı oluşturma hakkında daha fazla bilgi için bkz. şifreleme kapsamları oluşturma ve yönetme (Önizleme).For more information about how to create an encryption scope, see Create and manage encryption scopes (preview).

Not

Önizleme sırasında Okuma Erişimli Coğrafi olarak yedekli depolama (RA-GRS) ve Okuma Erişimli Coğrafi bölge-yedekli depolama (RA-GZRS) hesapları ile şifreleme kapsamları desteklenmez.Encryption scopes are not supported with read-access geo-redundant storage (RA-GRS) and read-access geo-zone-redundant storage (RA-GZRS) accounts during preview.

Not

Bu özellik, hiyerarşik ad alanı (Azure Data Lake Storage 2.) olan hesaplarda henüz desteklenmiyor.This feature is not yet supported in accounts that have a hierarchical namespace (Azure Data Lake Storage Gen2). Daha fazla bilgi için bkz. Azure Data Lake Storage 2. bulunan BLOB Storage özellikleri.To learn more, see Blob storage features available in Azure Data Lake Storage Gen2.

Önemli

Şifreleme kapsamları önizlemesi yalnızca üretim dışı kullanım için tasarlanmıştır.The encryption scopes preview is intended for non-production use only. Üretim hizmet düzeyi sözleşmeleri (SLA 'Lar) Şu anda kullanılamıyor.Production service-level agreements (SLAs) are not currently available.

Beklenmeyen maliyetleri önlemek için, şu anda ihtiyaç duymayan tüm şifreleme kapsamlarını devre dışı bıraktığınızdan emin olun.To avoid unexpected costs, be sure to disable any encryption scopes that you do not currently need.

Şifreleme kapsamı ile bir kapsayıcı veya blob oluşturmaCreate a container or blob with an encryption scope

Bir şifreleme kapsamı altında oluşturulan Bloblar, bu kapsam için belirtilen anahtarla şifrelenir.Blobs that are created under an encryption scope are encrypted with the key specified for that scope. Blob oluştururken tek bir blob için şifreleme kapsamı belirtebilir veya bir kapsayıcı oluştururken varsayılan bir şifreleme kapsamı belirtebilirsiniz.You can specify an encryption scope for an individual blob when you create the blob, or you can specify a default encryption scope when you create a container. Bir kapsayıcı düzeyinde varsayılan bir şifreleme kapsamı belirtildiğinde, bu kapsayıcıdaki tüm Bloblar varsayılan kapsamla ilişkili anahtarla şifrelenir.When a default encryption scope is specified at the level of a container, all blobs in that container are encrypted with the key associated with the default scope.

Varsayılan şifreleme kapsamına sahip bir kapsayıcıda bir blob oluşturduğunuzda, kapsayıcı varsayılan şifreleme kapsamının geçersiz kılmalara izin verecek şekilde yapılandırıldıysa varsayılan şifreleme kapsamını geçersiz kılan bir şifreleme kapsamı belirtebilirsiniz.When you create a blob in a container that has a default encryption scope, you can specify an encryption scope that overrides the default encryption scope if the container is configured to allow overrides of the default encryption scope. Varsayılan şifreleme kapsamının geçersiz kılmalarını engellemek için kapsayıcıyı tek bir blob için geçersiz kılmaları reddedecek şekilde yapılandırın.To prevent overrides of the default encryption scope, configure the container to deny overrides for an individual blob.

Şifreleme kapsamı devre dışı bırakılmadığı sürece, bir şifreleme kapsamına ait olan bir Blobun okuma işlemleri saydam bir şekilde gerçekleşir.Read operations on a blob that belongs to an encryption scope happen transparently, so long as the encryption scope is not disabled.

Şifreleme kapsamını devre dışı bırakmaDisable an encryption scope

Bir şifreleme kapsamını devre dışı bıraktığınızda, şifreleme kapsamıyla gerçekleştirilen sonraki okuma veya yazma işlemleri, HTTP hata kodu 403 (yasak) ile başarısız olur.When you disable an encryption scope, any subsequent read or write operations made with the encryption scope will fail with HTTP error code 403 (Forbidden). Şifreleme kapsamını yeniden etkinleştirirseniz okuma ve yazma işlemleri normal olarak devam eder.If you re-enable the encryption scope, read and write operations will proceed normally again.

Bir şifreleme kapsamı devre dışı bırakıldığında, artık bu için faturalandırılırsınız.When an encryption scope is disabled, you are no longer billed for it. Gereksiz ücretlerden kaçınmak için gerekli olmayan tüm şifreleme kapsamlarını devre dışı bırakın.Disable any encryption scopes that are not needed to avoid unnecessary charges.

Şifreleme kapsamınız Azure Key Vault için müşteri tarafından yönetilen anahtarlarla korunuyorsa, şifreleme kapsamını devre dışı bırakmak için anahtar kasasında ilişkili anahtarı da silebilirsiniz.If your encryption scope is protected with customer-managed keys for Azure Key Vault, then you can also delete the associated key in the key vault in order to disable the encryption scope. Azure Key Vault içindeki müşteri tarafından yönetilen anahtarların geçici silme ve Temizleme koruması ile korunduğunu ve silinen bir anahtarın bu özellikler tarafından tanımlanan davranışa tabi olduğunu aklınızda bulundurun.Keep in mind that customer-managed keys in Azure Key Vault are protected by soft delete and purge protection, and a deleted key is subject to the behavior defined for by those properties. Daha fazla bilgi için Azure Key Vault belgelerinde aşağıdaki konulardan birine bakın:For more information, see one of the following topics in the Azure Key Vault documentation:

Not

Bir şifreleme kapsamının silinmesi mümkün değildir.It is not possible to delete an encryption scope.

Sonraki adımlarNext steps