待用資料的 Azure 儲存體加密

Azure 儲存體會在將資料保存到雲端時,使用伺服器端加密 (SSE) 自動加密您的資料。 Azure 儲存體加密可保護您的資料,並協助您符合組織的安全性和合規性承諾。

關於 Azure 儲存體加密

Azure 儲存體中的資料會以透明的方式使用256位 AES 加密(可用的最強區塊編碼器之一)進行加密和解密,並符合 FIPS 140-2 規範。 Azure 儲存體加密類似于 Windows 上的 BitLocker 加密。

已針對所有儲存體帳戶啟用 Azure 儲存體加密,包括 Resource Manager 和傳統儲存體帳戶。 無法停用 Azure 儲存體加密。 由於預設會保護您的資料,因此您不需要修改您的程式碼或應用程式,即可利用 Azure 儲存體加密。

無論效能層級 (standard 或 premium) 、存取層 (經常性存取) 或非經常性存取層,或部署模型 (Azure Resource Manager 或傳統) ,儲存體帳戶中的資料都會進行加密。 封存層中的所有 blob 也會加密。 所有 Azure 儲存體的冗余選項都支援加密,且在啟用異地複寫時,主要區域和次要區域中的所有資料都會加密。 所有 Azure 儲存體資源都會加密,包括 blob、磁片、檔案、佇列和資料表。 所有物件中繼資料也會加密。 Azure 儲存體加密沒有額外的成本。

2017年10月20日之後,寫入至 Azure 儲存體的每個區塊 blob、附加 blob 或分頁 blob 都會加密。 在此日期之前建立的 blob 將繼續由背景進程加密。 若要強制加密于2017年10月20日之前建立的 blob,您可以重寫 blob。 若要瞭解如何檢查 blob 的加密狀態,請參閱 檢查 blob 的加密狀態

如需基礎 Azure 儲存體加密的密碼編譯模組的詳細資訊,請參閱 密碼編譯 API:新一代

如需 Azure 受控磁片的加密和金鑰管理的相關資訊,請參閱 azure 受控磁片的伺服器端加密

關於加密金鑰管理

根據預設,新儲存體帳戶中的資料會使用 Microsoft 管理的金鑰進行加密。 您可以繼續依賴 Microsoft 管理的金鑰來加密您的資料,也可以使用您自己的金鑰管理加密。 如果您選擇使用自己的金鑰管理加密,您有兩個選項。 您可以使用任一種類型的金鑰管理或兩者:

  • 您可以指定 客戶管理的金鑰 ,以用於加密和解密 Blob 儲存體和 Azure 檔案儲存體中的資料。1,2 客戶管理的金鑰必須儲存在 Azure Key Vault 或 Azure Key Vault 受控硬體安全性模型 (HSM) (preview) 。 如需有關客戶管理金鑰的詳細資訊,請參閱 使用客戶管理的金鑰進行 Azure 儲存體加密
  • 您可以在 Blob 儲存體作業上指定 客戶提供的金鑰 。 對 Blob 儲存體進行讀取或寫入要求的用戶端可以在要求上包含加密金鑰,以對 blob 資料的加密和解密方式進行細微的控制。 如需客戶提供之金鑰的詳細資訊,請參閱針對 Blob 儲存體的要求提供加密金鑰

下表比較 Azure 儲存體加密的金鑰管理選項。

金鑰管理參數 Microsoft 管理的金鑰 客戶管理的金鑰 客戶提供的金鑰
加密/解密作業 Azure Azure Azure
支援 Azure 儲存體服務 全部 Blob 儲存體,Azure 檔案儲存體1,2 Blob 儲存體
金鑰儲存體 Microsoft 金鑰存放區 Azure Key Vault 或 Key Vault HSM 客戶自己的金鑰存放區
金鑰輪替責任 Microsoft 客戶 客戶
按鍵控制 Microsoft 客戶 客戶

1 如需有關建立支援將客戶管理的金鑰與佇列儲存體搭配使用之帳戶的詳細資訊,請參閱 建立支援客戶管理的佇列金鑰的帳戶
2 如需有關建立支援將客戶管理的金鑰與資料表儲存體搭配使用之帳戶的詳細資訊,請參閱 建立支援資料表之客戶管理金鑰的帳戶

注意

Microsoft 管理的金鑰會根據合規性需求適當地輪替。 如果您有特定的金鑰輪替需求,Microsoft 建議您移至客戶管理的金鑰,讓您可以自行管理和審核輪替。

使用基礎結構加密的雙重加密資料

需要高層級保證資料安全的客戶,也可以在 Azure 儲存體基礎結構層級啟用256位 AES 加密。 啟用基礎結構加密時,儲存體帳戶中的資料會在服務層級進行兩次加密一次, — 並在基礎結構層級進行一次加密, — 並具有兩個不同的加密演算法和兩個不同的金鑰 Azure 儲存體資料的雙重加密可防止其中一個加密演算法或金鑰可能遭到入侵的案例。 在此案例中,額外的加密層級會繼續保護您的資料。

服務層級加密支援使用 Microsoft 管理的金鑰或客戶管理的金鑰搭配 Azure Key Vault。 基礎結構層級的加密相依于 Microsoft 管理的金鑰,而且一律使用個別的金鑰。

如需如何建立可啟用基礎結構加密之儲存體帳戶的詳細資訊,請參閱 建立已啟用基礎結構加密的儲存體帳戶,以進行資料的雙重加密

後續步驟