Bekleyen veri için Azure Depolama şifrelemesi

Azure Depolama, bulutta kalıcı hale geldiğinde verilerinizi otomatik olarak şifrelemek için hizmet tarafı şifreleme (SSE) kullanır. Azure Depolama şifrelemesi verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur.

Microsoft, çoğu senaryoda verilerinizi korumak için hizmet tarafı şifrelemesi kullanılmasını önerir. Ancak Blob Depolama ve Kuyruk Depolama için Azure Depolama istemci kitaplıkları, istemcideki verileri şifrelemesi gereken müşteriler için istemci tarafı şifreleme de sağlar. Daha fazla bilgi için bkz. Bloblar ve kuyruklar için istemci tarafı şifrelemesi.

Azure Depolama hizmet tarafı şifrelemesi hakkında

Azure Depolama'daki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam bir şekilde şifrelenir ve şifreleri çözülür ve FIPS 140-2 uyumludur. Azure Depolama şifrelemesi, Windows'da BitLocker şifrelemesine benzer.

Azure Depolama şifrelemesi, hem Resource Manager hem de klasik depolama hesapları dahil olmak üzere tüm depolama hesapları için etkinleştirilir. Azure Depolama şifrelemesi devre dışı bırakılamaz. Verileriniz varsayılan olarak güvenli olduğundan, Azure Depolama şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.

Depolama hesabındaki veriler performans katmanından (standart veya premium), erişim katmanından (sık erişimli veya seyrek erişimli) veya dağıtım modelinden (Azure Resource Manager veya klasik) bağımsız olarak şifrelenir. Arşiv katmanındaki bloblar dahil olmak üzere tüm yeni ve mevcut blok blobları, ekleme blobları ve sayfa blobları şifrelenir. Tüm Azure Depolama yedeklilik seçenekleri şifrelemeyi destekler ve coğrafi çoğaltma etkinleştirildiğinde hem birincil hem de ikincil bölgelerdeki tüm veriler şifrelenir. Bloblar, diskler, dosyalar, kuyruklar ve tablolar dahil olmak üzere tüm Azure Depolama kaynakları şifrelenir. Tüm nesne meta verileri de şifrelenir.

Azure Depolama şifrelemesi için ek maliyet yoktur.

Azure Depolama şifrelemesini temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz. Şifreleme API'si: Yeni Nesil.

Azure yönetilen diskleri için şifreleme ve anahtar yönetimi hakkında bilgi için bkz. Azure yönetilen disklerinin sunucu tarafı şifrelemesi.

Şifreleme anahtarı yönetimi hakkında

Yeni bir depolama hesabındaki veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlarla şifrelenir. Verilerinizin şifresi için Microsoft tarafından yönetilen anahtarlara güvenmeye devam edebilir veya şifrelemeyi kendi anahtarlarınızla yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz iki seçeneğiniz vardır. Anahtar yönetimi türünü veya her ikisini birden kullanabilirsiniz:

  • Blob Depolama'da ve Azure Dosyalar verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz. 1,2 Müşteri tarafından yönetilen anahtarlar Azure Key Vault veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanmalıdır. Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz. Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma.
  • Blob Depolama işlemlerinde müşteri tarafından sağlanan bir anahtar belirtebilirsiniz. Blob Depolama'ya karşı okuma veya yazma isteğinde bulunan bir istemci, blob verilerinin nasıl şifrelendiği ve şifresinin çözülebileceği üzerinde ayrıntılı denetim için istekte bir şifreleme anahtarı içerebilir. Müşteri tarafından sağlanan anahtarlar hakkında daha fazla bilgi için bkz. Blob Depolama isteğinde şifreleme anahtarı sağlama.

Varsayılan olarak, depolama hesabı, depolama hesabının tamamı kapsamındaki bir anahtarla şifrelenir. Şifreleme kapsamları, kapsayıcı veya tek bir blob kapsamındaki bir anahtarla şifrelemeyi yönetmenizi sağlar. Aynı depolama hesabında bulunan ancak farklı müşterilere ait olan veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz. Şifreleme kapsamları Microsoft tarafından yönetilen anahtarları veya müşteri tarafından yönetilen anahtarları kullanabilir. Şifreleme kapsamları hakkında daha fazla bilgi için bkz . Blob depolama için şifreleme kapsamları.

Aşağıdaki tablo, Azure Depolama şifrelemesi için anahtar yönetimi seçeneklerini karşılaştırır.

Anahtar yönetimi parametresi Microsoft tarafından yönetilen anahtarlar Müşteri tarafından yönetilen anahtarlar Müşteri tarafından sağlanan anahtarlar
Şifreleme/şifre çözme işlemleri Azure Azure Azure
Desteklenen Azure Depolama hizmetleri Tümü Blob Depolama, Azure Dosyalar 1,2 Blob Depolama
Anahtar depolama Microsoft anahtar deposu Azure Key Vault veya Key Vault HSM Müşterinin kendi anahtar deposu
Anahtar döndürme sorumluluğu Microsoft Müşteri Müşteri
Anahtar denetimi Microsoft Müşteri Müşteri
Anahtar kapsamı Hesap (varsayılan), kapsayıcı veya blob Hesap (varsayılan), kapsayıcı veya blob Yok

1 Kuyruk depolama ile müşteri tarafından yönetilen anahtarların kullanılmasını destekleyen bir hesap oluşturma hakkında bilgi için bkz. Kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
2 Tablo depolama ile müşteri tarafından yönetilen anahtarların kullanılmasını destekleyen bir hesap oluşturma hakkında bilgi için bkz. Tablolar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.

Not

Microsoft tarafından yönetilen anahtarlar uyumluluk gereksinimlerine göre uygun şekilde döndürülür. Belirli anahtar döndürme gereksinimleriniz varsa Microsoft, döndürmeyi kendiniz yönetebilmeniz ve denetleyebilmeniz için müşteri tarafından yönetilen anahtarlara geçmenizi önerir.

Altyapı şifrelemesi ile verileri ikiye kat şifreleme

Verilerinin güvenli olduğundan emin olmak için yüksek düzeyde güvenceye ihtiyaç duyan müşteriler, Azure Depolama altyapısı düzeyinde 256 bit AES şifrelemesini de etkinleştirebilir. Altyapı şifreleme etkinleştirildiğinde, bir depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtarla iki kez (hizmet düzeyinde ve bir kez altyapı düzeyinde) şifrelenir. Azure Depolama verilerinin çift şifrelemesi, şifreleme algoritmalarından veya anahtarlardan birinin ele geçirilebileceği bir senaryoya karşı koruma sağlar. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.

Hizmet düzeyinde şifreleme, Azure Key Vault ile Microsoft tarafından yönetilen anahtarların veya müşteri tarafından yönetilen anahtarların kullanımını destekler. Altyapı düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarlara dayanır ve her zaman ayrı bir anahtar kullanır.

Altyapı şifrelemesini etkinleştiren bir depolama hesabı oluşturma hakkında daha fazla bilgi için bkz. Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturma.

Bloblar ve kuyruklar için istemci tarafı şifrelemesi

.NET, Java ve Python için Azure Blob Depolama istemci kitaplıkları, Azure Depolama'ya yüklemeden önce istemci uygulamalarındaki verileri şifrelemeyi ve istemciye indirirken verilerin şifresini çözmeyi destekler. .NET ve Python için Kuyruk Depolama istemci kitaplıkları istemci tarafı şifrelemeyi de destekler.

Not

Verilerinizi korumak için istemci tarafı şifreleme yerine Azure Depolama tarafından sağlanan hizmet tarafı şifreleme özelliklerini kullanmayı göz önünde bulundurun.

Blob Depolama ve Kuyruk Depolama istemci kitaplıkları, kullanıcı verilerini şifrelemek için AES kullanır. İstemci kitaplıklarında istemci tarafı şifrelemenin iki sürümü vardır:

  • Sürüm 2, AES ile Galois/Sayaç Modu (GCM) modunu kullanır. Blob Depolama ve Kuyruk Depolama SDK'ları, v2 ile istemci tarafı şifrelemeyi destekler.
  • Sürüm 1, AES ile Şifre Blok Zincirleme (CBC) modunu kullanır. Blob Depolama, Kuyruk Depolama ve Tablo Depolama SDK'ları v1 ile istemci tarafı şifrelemeyi destekler.

Uyarı

İstemci kitaplığının CBC modu uygulamasındaki bir güvenlik açığı nedeniyle istemci tarafı şifreleme v1'in kullanılması artık önerilmez. Bu güvenlik açığı hakkında daha fazla bilgi için bkz. Azure Depolama, güvenlik açığını gidermek için SDK'da istemci tarafı şifrelemesini güncelleştirme. Şu anda v1 kullanıyorsanız, uygulamanızı istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirmenizi ve verilerinizi geçirmenizi öneririz.

Azure Tablo Depolama SDK'sı yalnızca istemci tarafı şifreleme v1'i destekler. Tablo Depolama ile istemci tarafı şifrelemesi kullanılması önerilmez.

Aşağıdaki tabloda, hangi istemci kitaplıklarının hangi istemci tarafı şifreleme sürümlerini desteklediği gösterilmektedir ve istemci tarafı şifreleme v2'ye geçiş için yönergeler sağlanır.

İstemci kitaplığı desteklenen istemci tarafı şifreleme sürümü Önerilen geçiş Ek yönergeler
.NET (sürüm 12.13.0 ve üzeri), Java (sürüm 12.18.0 ve üzeri) ve Python (sürüm 12.13.0 ve üzeri) için Blob Depolama istemci kitaplıkları 2.0

1.0 (yalnızca geriye dönük uyumluluk için)
kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin.

Şifrelerini çözmek için şifrelenmiş verileri indirin, ardından istemci tarafı şifreleme v2 ile yeniden şifreleyin.
Bloblar için istemci tarafı şifrelemesi
.NET (sürüm 12.12.0 ve altı), Java (sürüm 12.17.0 ve altı) ve Python için Blob Depolama istemci kitaplığı (sürüm 12.12.0 ve altı) 1.0 (önerilmez) Uygulamanızı, blob depolama SDK'sının istemci tarafı şifreleme v2'yi destekleyen bir sürümünü kullanacak şekilde güncelleştirin. Ayrıntılar için bkz. İstemci tarafı şifrelemesi için SDK destek matrisi .

kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin.

Şifrelerini çözmek için şifrelenmiş verileri indirin, ardından istemci tarafı şifreleme v2 ile yeniden şifreleyin.
Bloblar için istemci tarafı şifrelemesi
.NET (sürüm 12.11.0 ve üzeri) ve Python (sürüm 12.4 ve üzeri) için Kuyruk Depolama istemci kitaplığı 2.0

1.0 (yalnızca geriye dönük uyumluluk için)
kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. Kuyruklar için istemci tarafı şifrelemesi
.NET (sürüm 12.10.0 ve altı) ve Python (sürüm 12.3.0 ve altı) için Kuyruk Depolama istemci kitaplığı 1.0 (önerilmez) Uygulamanızı istemci tarafı şifreleme v2'yi destekleyen bir Kuyruk Depolama SDK'sı sürümünü kullanacak şekilde güncelleştirin. İstemci tarafı şifrelemesi için bkz. SDK destek matrisi

kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin.
Kuyruklar için istemci tarafı şifrelemesi
.NET, Java ve Python için Tablo Depolama istemci kitaplığı 1.0 (önerilmez) Kullanılamıyor. Yok

Sonraki adımlar