Povolení šifrování infrastruktury pro dvojité šifrování dat

Článek
11/08/2023

Azure Storage automaticky šifruje všechna data v účtu úložiště na úrovni služby pomocí 256bitového šifrování AES s šifrováním režimu GCM, jednou z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Zákazníci, kteří vyžadují vyšší úroveň záruky, že jejich data jsou zabezpečená, můžou také povolit 256bitové šifrování AES s šifrováním CBC na úrovni infrastruktury služby Azure Storage pro dvojité šifrování. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy může dojít k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.

Šifrování infrastruktury je možné povolit pro celý účet úložiště nebo pro obor šifrování v rámci účtu. Pokud je pro účet úložiště nebo obor šifrování povolené šifrování infrastruktury, data se šifrují dvakrát – jednou na úrovni služby a jednou na úrovni infrastruktury – se dvěma různými šifrovacími algoritmy a dvěma různými klíči.

Šifrování na úrovni služby podporuje použití klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem se službou Azure Key Vault nebo spravovaným modelem hardwarového zabezpečení služby Key Vault (HSM). Šifrování na úrovni infrastruktury závisí na klíčích spravovaných Microsoftem a vždy používá samostatný klíč. Další informace o správě klíčů pomocí šifrování služby Azure Storage najdete v tématu Správa šifrovacích klíčů.

Pokud chcete data šifrovat, musíte nejprve vytvořit účet úložiště nebo obor šifrování, který je nakonfigurovaný pro šifrování infrastruktury. Tento článek popisuje, jak povolit šifrování infrastruktury.

Důležité

Šifrování infrastruktury se doporučuje pro scénáře, kdy je pro požadavky na dodržování předpisů nezbytné provést dvojité šifrování dat. Ve většině ostatních scénářů poskytuje šifrování Azure Storage dostatečně výkonný šifrovací algoritmus a pravděpodobně není možné využít šifrování infrastruktury.

Vytvoření účtu s povoleným šifrováním infrastruktury

Pokud chcete povolit šifrování infrastruktury pro účet úložiště, musíte nakonfigurovat účet úložiště tak, aby používal šifrování infrastruktury při vytváření účtu. Po vytvoření účtu není možné povolit ani zakázat šifrování infrastruktury. Účet úložiště musí mít typ pro obecné účely verze 2 nebo objekt blob bloku úrovně Premium.

Pokud chcete pomocí webu Azure Portal vytvořit účet úložiště s povoleným šifrováním infrastruktury, postupujte takto:

Na webu Azure Portal přejděte na stránku Účty úložiště.
Zvolte tlačítko Přidat a přidejte nový účet úložiště objektů blob bloku úrovně Premium pro obecné účely verze 2 nebo Premium.
Na kartě Šifrování vyhledejte možnost Povolit šifrování infrastruktury a vyberte Povoleno.
Výběrem možnosti Zkontrolovat a vytvořit dokončete vytváření účtu úložiště.

Pokud chcete ověřit, že je pro účet úložiště povolené šifrování infrastruktury pomocí webu Azure Portal, postupujte takto:

Na webu Azure Portal přejděte na svůj účet úložiště.
V části Zabezpečení a sítě zvolte Šifrování.

Pokud chcete k vytvoření účtu úložiště s povoleným šifrováním infrastruktury použít PowerShell, ujistěte se, že máte nainstalovaný modul Az.Storage PowerShell verze 2.2.0 nebo novější. Další informace najdete v tématu Instalace Azure PowerShellu.

Dále vytvořte účet úložiště objektů blob bloku pro obecné účely verze 2 nebo premium voláním příkazu New-AzStorageAccount . Zahrňte možnost -RequireInfrastructureEncryption povolit šifrování infrastruktury.

Následující příklad ukazuje, jak vytvořit účet úložiště pro obecné účely verze 2, který je nakonfigurovaný pro geograficky redundantní úložiště s přístupem pro čtení (RA-GRS) a má povolené šifrování infrastruktury pro dvojité šifrování dat. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Pokud chcete ověřit, že je pro účet úložiště povolené šifrování infrastruktury, zavolejte příkaz Get-AzStorageAccount . Tento příkaz vrátí sadu vlastností účtu úložiště a jejich hodnoty. RequireInfrastructureEncryption Načtěte pole v rámci Encryption vlastnosti a ověřte, zda je nastavena na Truehodnotu .

Následující příklad načte hodnotu RequireInfrastructureEncryption vlastnosti. Nezapomeňte nahradit zástupné hodnoty v lomených závorkách vlastními hodnotami:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Pokud chcete pomocí Azure CLI vytvořit účet úložiště s povoleným šifrováním infrastruktury, ujistěte se, že jste nainstalovali Azure CLI verze 2.8.0 nebo novější. Další informace najdete v tématu Instalace Azure CLI.

Dále vytvořte účet úložiště objektů blob bloku pro obecné účely verze 2 nebo premium voláním příkazu az storage account create a zahrňte povolení --require-infrastructure-encryption option šifrování infrastruktury.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Pokud chcete ověřit, že je pro účet úložiště povolené šifrování infrastruktury, zavolejte příkaz az storage account show . Tento příkaz vrátí sadu vlastností účtu úložiště a jejich hodnoty. requireInfrastructureEncryption Vyhledejte pole v rámci encryption vlastnosti a ověřte, zda je nastavena na truehodnotu .

Následující příklad načte hodnotu requireInfrastructureEncryption vlastnosti. Nezapomeňte nahradit zástupné hodnoty v lomených závorkách vlastními hodnotami:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Následující příklad JSON vytvoří účet úložiště pro obecné účely v2, který je nakonfigurovaný pro geograficky redundantní úložiště jen pro čtení (RA-GRS) a má šifrování infrastruktury povolené pro dvojité šifrování dat. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy poskytuje předdefinované zásady, které vyžadují, aby pro účet úložiště bylo povolené šifrování infrastruktury. Další informace najdete v části Úložiště v předdefinovaných definicích zásad azure Policy.

Vytvoření oboru šifrování s povoleným šifrováním infrastruktury

Pokud je pro účet povolené šifrování infrastruktury, pak jakýkoli obor šifrování vytvořený na daném účtu automaticky používá šifrování infrastruktury. Pokud šifrování infrastruktury není na úrovni účtu povolené, máte možnost ho povolit pro obor šifrování v době, kdy vytvoříte obor. Nastavení šifrování infrastruktury pro obor šifrování nelze po vytvoření oboru změnit. Další informace najdete v tématu Vytvoření oboru šifrování.

Povolení šifrování infrastruktury pro dvojité šifrování dat

Vytvoření účtu s povoleným šifrováním infrastruktury

Vytvoření oboru šifrování s povoleným šifrováním infrastruktury

Další kroky

Další materiály