Povolení šifrování infrastruktury pro dvojité šifrování dat

2025-04-09

Azure Storage automaticky šifruje všechna data v účtu úložiště na úrovni služby pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Zákazníci, kteří vyžadují vyšší úroveň záruky, že jejich data jsou zabezpečená, můžou také povolit 256bitové šifrování AES na úrovni infrastruktury služby Azure Storage pro dvojité šifrování. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy může dojít k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.

Šifrování infrastruktury je možné povolit pro celý účet úložiště nebo pro obor šifrování v rámci účtu. Pokud je pro účet úložiště nebo obor šifrování povolené šifrování infrastruktury, data se šifrují dvakrát – jednou na úrovni služby a jednou na úrovni infrastruktury – se dvěma různými šifrovacími algoritmy a dvěma různými klíči.

Šifrování na úrovni služby podporuje použití klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem se službou Azure Key Vault nebo spravovaným modelem hardwarového zabezpečení služby Key Vault (HSM). Šifrování na úrovni infrastruktury závisí na klíčích spravovaných Microsoftem a vždy používá samostatný klíč. Další informace o správě klíčů pomocí šifrování služby Azure Storage najdete v tématu Správa šifrovacích klíčů.

Pokud chcete data dvojitě šifrovat, musíte nejprve vytvořit účet úložiště nebo obor šifrování, který je nakonfigurován pro šifrování infrastruktury. Tento článek popisuje, jak povolit šifrování infrastruktury.

Důležité

Šifrování infrastruktury se doporučuje pro scénáře, kdy je pro požadavky na dodržování předpisů nezbytné provést dvojité šifrování dat. Ve většině ostatních scénářů poskytuje šifrování Azure Storage dostatečně výkonný šifrovací algoritmus a pravděpodobně není možné využít šifrování infrastruktury.

Vytvoření účtu s povoleným šifrováním infrastruktury

Pokud chcete povolit šifrování infrastruktury pro účet úložiště, musíte nakonfigurovat účet úložiště tak, aby používal šifrování infrastruktury při vytváření účtu. Po vytvoření účtu není možné povolit ani zakázat šifrování infrastruktury. Účet úložiště musí být typu obecné účely verze 2, prémiový blokový blob, prémiový stránkový blob nebo prémiové sdílené složky.

Pokud chcete pomocí webu Azure Portal vytvořit účet úložiště s povoleným šifrováním infrastruktury, postupujte takto:

Na Azure Portal přejděte na Účty úložiště.
Zvolte tlačítko Přidat a přidejte nový obecný účet v2, objekt blob bloku Premium, objekt blob stránky Premium nebo sdílenou složku účtu Premium.
Na kartě Šifrování vyhledejte možnost Povolit šifrování infrastruktury a vyberte Povoleno.
Výběrem možnosti Zkontrolovat a vytvořit dokončete vytváření účtu úložiště.

Pokud chcete ověřit, že je pro účet úložiště povolené šifrování infrastruktury pomocí webu Azure Portal, postupujte takto:

Na webu Azure Portal přejděte na svůj účet úložiště.
V části Zabezpečení a sítě zvolte Šifrování.

Pokud chcete k vytvoření účtu úložiště s povoleným šifrováním infrastruktury použít PowerShell, ujistěte se, že máte nainstalovaný modul Az.Storage PowerShell verze 2.2.0 nebo novější. Další informace najdete v tématu Instalace Azure PowerShellu.

Dále vytvořte účet úložiště pro obecné účely verze 2, úložiště objektu bloku úrovně Premium, úložiště objektu stránky úrovně Premium nebo úložiště sdílené složky úrovně Premium zavoláním příkazu New-AzStorageAccount. Zahrňte možnost -RequireInfrastructureEncryption povolit šifrování infrastruktury.

Následující příklad ukazuje, jak vytvořit účet úložiště pro obecné účely verze 2, který je nakonfigurovaný pro geograficky redundantní úložiště s přístupem pro čtení (RA-GRS) a má povolené šifrování infrastruktury pro dvojité šifrování dat. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Pokud chcete ověřit, že je pro účet úložiště povolené šifrování infrastruktury, zavolejte příkaz Get-AzStorageAccount . Tento příkaz vrátí sadu vlastností účtu úložiště a jejich hodnoty. Načtěte pole RequireInfrastructureEncryption z vlastnosti Encryption a ověřte, zda je nastaveno na True.

Následující příklad načte hodnotu RequireInfrastructureEncryption vlastnosti. Nezapomeňte nahradit zástupné hodnoty v lomených závorkách vlastními hodnotami:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Pokud chcete pomocí Azure CLI vytvořit účet úložiště s povoleným šifrováním infrastruktury, ujistěte se, že jste nainstalovali Azure CLI verze 2.8.0 nebo novější. Další informace najdete v tématu Instalace Azure CLI.

Dále vytvořte účet pro obecné použití v2, blokový blob Premium, stránkový blob Premium nebo účet sdílené složky Premium zavoláním příkazu az storage account create a zahrňte --require-infrastructure-encryption option k povolení šifrování infrastruktury.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Pokud chcete ověřit, že je pro účet úložiště povolené šifrování infrastruktury, zavolejte příkaz az storage account show . Tento příkaz vrátí sadu vlastností účtu úložiště a jejich hodnoty. Vyhledejte pole requireInfrastructureEncryption v rámci vlastnosti encryption a ověřte, zda je nastaveno na true.

Následující příklad načte hodnotu requireInfrastructureEncryption vlastnosti. Nezapomeňte nahradit zástupné hodnoty v lomených závorkách vlastními hodnotami:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Následující příklad JSON vytvoří účet úložiště pro obecné účely v2, který je nakonfigurovaný pro geograficky redundantní úložiště jen pro čtení (RA-GRS) a má šifrování infrastruktury povolené pro dvojité šifrování dat. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy poskytuje předdefinované zásady, které vyžadují, aby pro účet úložiště bylo povolené šifrování infrastruktury. Další informace najdete v části Úložiště v předdefinovaných definicích zásad azure Policy.

Vytvořte šifrovací obor s povoleným šifrováním infrastruktury

Pokud je pro účet povolené šifrování infrastruktury, pak jakýkoli obor šifrování vytvořený na daném účtu automaticky používá šifrování infrastruktury. Pokud šifrování infrastruktury není na úrovni účtu povolené, máte možnost ho povolit pro obor šifrování v době, kdy vytvoříte obor. Nastavení šifrování infrastruktury pro obor šifrování nelze po vytvoření oboru změnit. Další informace najdete v tématu Vytvoření oboru šifrování.

Sdílet prostřednictvím

Povolení šifrování infrastruktury pro dvojité šifrování dat

Vytvoření účtu s povoleným šifrováním infrastruktury

Vytvořte šifrovací obor s povoleným šifrováním infrastruktury

Další kroky

Váš názor

Další materiály