Bekleyen veri için Azure Depolama şifrelemesi
Azure depolama, bulutta kalıcı olduğunda verilerinizi otomatik olarak şifrelemek için sunucu tarafı şifreleme (SSE) kullanır. Azure depolama şifrelemesi, verilerinizi korur ve kuruluşunuzun güvenlik ve uyumluluk taahhütlerinizi karşılamanıza yardımcı olur.
Azure depolama şifrelemesi hakkında
Azure depolama 'daki veriler, 256 bit AES şifrelemesikullanılarak şifrelenmiş ve şifresi çözülür, en güçlü blok şifrelemeleri KULLANILABILIR ve FIPS 140-2 uyumludur. Azure depolama şifrelemesi, Windows 'da BitLocker şifrelemeye benzer.
Azure depolama şifrelemesi, hem Kaynak Yöneticisi hem de klasik depolama hesapları da dahil olmak üzere tüm depolama hesapları için etkinleştirilmiştir. Azure depolama şifrelemesi devre dışı bırakılamıyor. Verileriniz varsayılan olarak güvenli hale getirildiğinden, Azure depolama şifrelemesi 'nin avantajlarından yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.
Bir depolama hesabındaki veriler, performans katmanından (Standart veya Premium), erişim katmanından (sık veya seyrek erişimli) veya dağıtım modelinden (Azure Resource Manager veya klasik) bağımsız olarak şifrelenir. Arşiv katmanındaki tüm Bloblar da şifrelenir. Tüm Azure depolama artıklığı seçenekleri şifrelemeyi destekler ve coğrafi çoğaltma etkinleştirildiğinde hem birincil hem de ikincil bölgelerdeki tüm veriler şifrelenir. Blob 'lar, diskler, dosyalar, kuyruklar ve tablolar dahil olmak üzere tüm Azure depolama kaynakları şifrelenir. Tüm nesne meta verileri de şifrelenir. Azure depolama şifrelemesi için ek bir maliyet yoktur.
20 Ekim 2017 ' den sonra Azure depolama 'ya yazılan her Blok Blobu, ekleme Blobu veya Sayfa Blobu şifrelenir. Bu tarihten önce oluşturulan Bloblar, bir arka plan işlemi tarafından şifrelenmeye devam eder. 20 Ekim 2017 ' den önce oluşturulan bir Blobun şifrelemeye zorlamak için, blobu yeniden yazabilirsiniz. Bir blob'un şifreleme durumunu denetleme hakkında bilgi edinmek için bkz. Blob'un şifreleme durumunu denetleme.
Azure Depolama şifrelemesini temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz. Şifreleme API'si: Yeni Nesil.
Azure yönetilen diskleri için şifreleme ve anahtar yönetimi hakkında bilgi için bkz. Azure yönetilen disklerinin sunucu tarafı şifrelemesi.
Şifreleme anahtarı yönetimi hakkında
Yeni bir depolama hesabı içinde yer alan veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlarla şifrelenir. Verilerinizin şifrelemesi için Microsoft tarafından yönetilen anahtarlara güvenebilirsiniz veya şifrelemeyi kendi anahtarlarınızı kullanarak yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızı kullanarak yönetmeyi seçerseniz iki seçeneğiniz vardır. Anahtar yönetimi türünü veya her ikisini birden kullanabilirsiniz:
- Blob depolamada ve depolama alanında verileri şifrelemek ve şifresini çözmek için müşteri tarafından yönetilen bir anahtar Azure Dosyalar. 1,2 Müşteri tarafından yönetilen anahtarlar Yönetilen Azure Key Vault veya Azure Key Vault (HSM) (önizleme) içinde depolanmış olması gerekir. Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz. Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma.
- Blob depolama işlemleri için müşteri tarafından sağlanan bir anahtar belirtsiniz. Blob depolamaya karşı okuma veya yazma isteği yapan bir istemci, blob verilerini şifreleme ve şifresini çözme hakkında ayrıntılı denetim isteğine bir şifreleme anahtarı içerebilir. Müşteri tarafından sağlanan anahtarlar hakkında daha fazla bilgi için bkz. Blob depolamaya bir istekte şifreleme anahtarı sağlama.
Aşağıdaki tabloda Azure Depolama şifrelemesi için anahtar yönetim seçenekleri karşılaştırıldı.
| Anahtar yönetimi parametresi | Microsoft tarafından yönetilen anahtarlar | Müşteri tarafından yönetilen anahtarlar | Müşteri tarafından sağlanan anahtarlar |
|---|---|---|---|
| Şifreleme/şifre çözme işlemleri | Azure | Azure | Azure |
| Desteklenen Azure Depolama hizmetleri | Tümü | Blob depolama, Azure Dosyalar1,2 | Blob depolama |
| Anahtar depolama | Microsoft anahtar deposu | Azure Key Vault veya Key Vault HSM | Müşterinin kendi anahtar deposu |
| Anahtar döndürme sorumluluğu | Microsoft | Müşteri | Müşteri |
| Anahtar denetimi | Microsoft | Müşteri | Müşteri |
1 müşteri tarafından yönetilen anahtarları kuyruk depolama ile kullanmayı destekleyen bir hesap oluşturma hakkında bilgi için, bkz. kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesapoluşturma.
2 müşteri tarafından yönetilen anahtarları tablo depolama ile kullanmayı destekleyen bir hesap oluşturma hakkında bilgi için bkz. tablolar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
Not
Microsoft tarafından yönetilen anahtarlar uyumluluk gereksinimleri uyarınca uygun şekilde döndürülür. Belirli anahtar döndürme gereksinimleriniz varsa, Microsoft, döndürmeyi kendiniz yönetebilmeniz ve denetedebilmeniz için müşteri tarafından yönetilen anahtarlara geçmeniz önerilir.
Şüpheli verileri altyapı şifrelemesiyle şifreleme
Verilerin güvenliğini sağlamak için yüksek düzeyde güvence gerektiren müşteriler, Azure depolama altyapısı düzeyinde 256 bit AES şifrelemesini de etkinleştirebilir. Altyapı şifrelemesi etkinleştirildiğinde, bir depolama hesabındaki veriler, — hizmet düzeyinde iki kez ve altyapı düzeyinde — iki farklı şifreleme algoritmalarıyla bir kez şifrelenir. Azure depolama verilerinin çift şifrelemesi, şifreleme algoritmalarından veya anahtarlardan birinin tehlikeye girdiği bir senaryoya karşı koruma sağlar. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.
Hizmet düzeyi şifreleme, Azure Key Vault ile Microsoft tarafından yönetilen anahtarların veya müşteri tarafından yönetilen anahtarların kullanımını destekler. Altyapı düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarları kullanır ve her zaman ayrı bir anahtar kullanır.
Altyapı şifrelemesini sağlayan bir depolama hesabı oluşturma hakkında daha fazla bilgi için, bkz. verilerin çift şifrelenmesi için altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturma.