Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Storage používá šifrování na straně služby (SSE) k automatickému šifrování dat, když jsou trvale uložená v cloudu. Azure Storage šifrování chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů.
Microsoft doporučuje používat šifrování na straně služby k ochraně dat ve většině scénářů. Klientské knihovny Azure Storage pro Blob Storage a Queue Storage ale také poskytují šifrování na straně klienta zákazníkům, kteří potřebují šifrovat data v klientovi. Další informace najdete v tématu Šifrování na straně klienta pro objekty blob a fronty.
Informace o šifrování na straně služby Azure Storage
Data v Azure Storage se šifrují a dešifrují transparentně pomocí 256bitového šifrování AES, jedné z nejsilnějších dostupných blokových šifer a je kompatibilní s FIPS 140-2. Azure Storage šifrování se podobá šifrování BitLockeru na Windows.
Azure Storage šifrování na straně serveru používá k šifrování nahraných objektů 256bitový režim AES Galois/Counter (AES-GCM). Azure Storage šifrování je povolené pro všechny účty úložiště, včetně účtů Resource Manager i klasických účtů úložiště. Azure Storage šifrování nelze zakázat. Vzhledem k tomu, že jsou vaše data ve výchozím nastavení zabezpečená, nemusíte upravovat kód ani aplikace, abyste mohli využívat Azure Storage šifrování.
Data v účtu úložiště se šifrují bez ohledu na úroveň výkonu (Standard nebo Premium), úroveň přístupu (horká nebo studená) nebo model nasazení (Azure Resource Manager nebo classic). Všechny nové a existující blokové blob objekty, blob objekty pro připojení a stránkové blob objekty jsou šifrovány, včetně blob objektů v archivační vrstvě. Všechny možnosti redundance Azure Storage podporují šifrování a všechna data v primární i sekundární oblasti se šifrují, když je povolená geografická replikace. Všechny Azure Storage prostředky jsou šifrované, včetně objektů blob, disků, souborů, front a tabulek. Šifrují se také všechna metadata objektů.
Za šifrování Azure Storage nejsou žádné další náklady.
Další informace o kryptografických modulech, které jsou základem šifrování Azure Storage, najdete v tématu Kryptografické rozhraní API: Další generace.
Informace o šifrování a správě klíčů pro spravované disky Azure najdete v tématu Šifrování Azure spravovaných disků na straně serveru.
Správa šifrovacích klíčů
Data v novém účtu úložiště se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoft. Při šifrování dat můžete dál spoléhat na klíče spravované Microsoft nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, máte dvě možnosti. Můžete použít buď typ správy klíčů, nebo obojí:
- Můžete zadat klíč spravovaný zákazníkem pro šifrování a dešifrování dat v Blob Storage a v Azure Files.1,2 Klíče spravované zákazníkem musí být uloženy v Azure Key Vault nebo ve spravovaném hardwarovém bezpečnostním modulu (HSM) Azure Key Vault. Další informace o klíčích spravovaných zákazníkem najdete v tématu Použití klíčů spravovaných zákazníkem pro šifrování Azure Storage.
- V operacích Blob Storage můžete zadat klíč poskytnutý zákazníkem. Klient provádějící požadavek na čtení nebo zápis proti Blob Storage může do požadavku zahrnout šifrovací klíč, který umožňuje podrobnou kontrolu nad šifrováním a dešifrováním dat objektů blob. Další informace o klíčích poskytovaných zákazníkem najdete v tématu Poskytněte šifrovací klíč při žádosti o úložiště Blob.
Ve výchozím nastavení se účet úložiště šifruje klíčem, který je vymezený na celý účet úložiště. Rozsahy šifrování umožňují spravovat šifrování pomocí klíče, který je vymezený na kontejner nebo jednotlivý objekt blob. Obory šifrování můžete použít k vytvoření zabezpečených hranic mezi daty, která se nacházejí ve stejném účtu úložiště, ale patří různým zákazníkům. Obory šifrování můžou používat klíče spravované Microsoft nebo klíče spravované zákazníkem. Další informace o oborech šifrování najdete v tématu Obory šifrování pro úložiště objektů blob.
Následující tabulka porovnává možnosti správy klíčů pro šifrování Azure Storage.
| Parametr správy klíčů | klíče spravované Microsoft | Klíče spravované zákazníkem | Klíče poskytnuté zákazníkem |
|---|---|---|---|
| Operace šifrování/dešifrování | Azure | Azure | Azure |
| podporované Azure Storage služby | Všechny | Blob Storage, Azure Files1,2 | Blob Storage |
| Úložiště klíčů | úložiště klíčů Microsoft | Azure Key Vault nebo Key Vault HSM | Úložiště vlastních klíčů zákazníka |
| Odpovědnost za rotaci klíčů | Microsoft | Zákazník | Zákazník |
| Klíčová kontrola | Microsoft | Zákazník | Zákazník |
| Hlavní rozsah | Účet (výchozí), kontejner nebo blob | Účet (výchozí), kontejner nebo blob | – |
1 Informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem se službou Queue Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro fronty.
2 Informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem se službou Table Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro tabulky.
Poznámka:
Microsoft spravované klíče se odpovídajícím způsobem obměňují podle požadavků na dodržování předpisů. Pokud máte specifické požadavky na obměnu klíčů, Microsoft doporučuje přejít na klíče spravované zákazníkem, abyste mohli spravovat a auditovat rotaci sami.
Dvakrát zašifrujte data pomocí infrastrukturního šifrování
Zákazníci, kteří vyžadují vysokou úroveň záruky, že jejich data jsou zabezpečená, můžou také povolit 256bitové šifrování AES na úrovni infrastruktury Azure Storage. Pokud je šifrování infrastruktury povolené, data v účtu úložiště se šifrují dvakrát – jednou na úrovni služby a jednou na úrovni infrastruktury – se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Dvojité šifrování Azure Storage dat chrání před scénářem, kdy může dojít k ohrožení zabezpečení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.
Šifrování na úrovni služby podporuje použití klíčů spravovaných Microsoft nebo klíčů spravovaných zákazníkem s Azure Key Vault. Šifrování na úrovni infrastruktury závisí na Microsoft spravovaných klíčích a vždy používá samostatný klíč.
Další informace o tom, jak vytvořit účet úložiště, který umožňuje šifrování infrastruktury, najdete v tématu Vytvoření účtu úložiště s povoleným šifrováním infrastruktury pro dvojité šifrování dat.
Šifrování na straně klienta pro objekty blob a fronty
Klientské knihovny Azure Blob Storage pro .NET, Java a Python podporují šifrování dat v klientských aplikacích před nahráním do Azure Storage a dešifrováním dat při stahování do klienta. Klientské knihovny Queue Storage pro .NET a Python také podporují šifrování na straně klienta.
Poznámka:
Zvažte použití funkcí šifrování na straně služby poskytovaných Azure Storage k ochraně dat místo šifrování na straně klienta.
Klientské knihovny Blob Storage a Queue Storage používají k šifrování uživatelských dat AES. V klientských knihovnách jsou k dispozici dvě verze šifrování na straně klienta:
- Verze 2 používá režim Galois/Counter Mode (GCM) s AES. Sady SDK služby Blob Storage a Queue Storage podporují šifrování na straně klienta s v2.
- Verze 1 používá režim CBC (Cipher Block Chaining) s AES. Sady SDK pro Blob Storage, Queue Storage a Table Storage podporují šifrování na straně klienta s v1.
Upozornění
Použití šifrování na straně klienta verze 1 se už nedoporučuje kvůli ohrožení zabezpečení v implementaci režimu CBC klientské knihovny. Další informace o tomto ohrožení zabezpečení najdete v tématu Azure Storage aktualizace šifrování na straně klienta v sadě SDK za účelem řešení ohrožení zabezpečení. Pokud aktuálně používáte verzi 1, doporučujeme aplikaci aktualizovat tak, aby používala šifrování na straně klienta v2 a migrovala vaše data.
Sada Azure Table Storage SDK podporuje pouze šifrování na straně klienta v1. Použití šifrování na straně klienta se službou Table Storage se nedoporučuje.
Následující tabulka ukazuje, které klientské knihovny podporují verze šifrování na straně klienta a poskytují pokyny pro migraci na šifrování na straně klienta v2.
| Klientská knihovna | Podporovaná verze šifrování na straně klienta | Doporučená migrace | Další doprovodné materiály |
|---|---|---|---|
| Blob Storage klientské knihovny pro .NET (verze 12.13.0 a novější), Java (verze 12.18.0 a novější) a Python (verze 12.13.0 a vyšší) | 2.0 1.0 (pouze kvůli zpětné kompatibilitě) |
Aktualizujte kód tak, aby používal šifrování na straně klienta v2. Stáhněte si všechna šifrovaná data, abyste je dešifrovali, a pak je znovu zašifrujte pomocí šifrování na straně klienta v2. |
Šifrování na straně klienta pro objekty blob |
| Blob Storage klientské knihovny pro .NET (verze 12.12.0 a novější), Java (verze 12.17.0 a novější) a Python (verze 12.12.0 a novější) | 1.0 (nedoporučuje se) | Aktualizujte aplikaci tak, aby používala verzi sady BLOB STORAGE SDK, která podporuje šifrování na straně klienta v2. Podrobnosti najdete v matici podpory sady SDK pro šifrování na straně klienta. Aktualizujte kód tak, aby používal šifrování na straně klienta v2. Stáhněte si všechna šifrovaná data, abyste je dešifrovali, a pak je znovu zašifrujte pomocí šifrování na straně klienta v2. |
Šifrování na straně klienta pro objekty blob |
| Klientská knihovna Queue Storage pro .NET (verze 12.11.0 a novější) a Python (verze 12.4 a vyšší) | 2.0 1.0 (pouze kvůli zpětné kompatibilitě) |
Aktualizujte kód tak, aby používal šifrování na straně klienta v2. | Šifrování na straně klienta pro fronty |
| Klientská knihovna Queue Storage pro .NET (verze 12.10.0 a novější) a Python (verze 12.3.0 a novější) | 1.0 (nedoporučuje se) | Aktualizujte aplikaci tak, aby používala verzi sady Sdk služby Queue Storage, která podporuje šifrování na straně klienta v2. Viz matice podpory sady SDK pro šifrování na straně klienta Aktualizujte kód tak, aby používal šifrování na straně klienta v2. |
Šifrování na straně klienta pro fronty |
| Klientská knihovna Table Storage pro .NET, Java a Python | 1.0 (nedoporučuje se) | Není k dispozici. | – |
Další kroky
- Co je Azure Key Vault?
- Zákazníkem spravované klíče pro šifrování Azure Storage
- Rozsahy šifrování pro úložiště Blob
- Poskytněte šifrovací klíč při požadavku na Blob Storage