Šifrování služby Azure Storage pro neaktivní uložená data
Azure Storage používá šifrování na straně služby (SSE) k automatickému šifrování dat při zachování v cloudu. Šifrování služby Azure Storage chrání vaše data a pomáhá vám splnit závazky organizace týkající se zabezpečení a dodržování předpisů.
Microsoft doporučuje používat šifrování na straně služby k ochraně dat pro většinu scénářů. Klientské knihovny Azure Storage pro Blob Storage a Queue Storage ale také poskytují šifrování na straně klienta zákazníkům, kteří potřebují šifrovat data v klientovi. Další informace najdete v tématu Šifrování na straně klienta pro objekty blob a fronty.
Informace o šifrování na straně služby Azure Storage
Data ve službě Azure Storage se šifrují a dešifrují transparentně pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a jsou kompatibilní se standardem FIPS 140-2. Šifrování Služby Azure Storage je podobné šifrování BitLockeru ve Windows.
Šifrování služby Azure Storage je povolené pro všechny účty úložiště, včetně účtů Resource Manageru i klasických účtů úložiště. Šifrování azure Storage nejde zakázat. Vzhledem k tomu, že jsou vaše data ve výchozím nastavení zabezpečená, nemusíte upravovat kód ani aplikace, abyste mohli využít šifrování služby Azure Storage.
Data v účtu úložiště se šifrují bez ohledu na úroveň výkonu (Standard nebo Premium), úroveň přístupu (horká nebo studená) nebo model nasazení (Azure Resource Manager nebo classic). Všechny nové a existující objekty blob bloku, doplňovací objekty blob a objekty blob stránky se šifrují, včetně objektů blob v archivní úrovni. Všechny možnosti redundance služby Azure Storage podporují šifrování a všechna data v primární i sekundární oblasti se šifrují, když je povolená geografická replikace. Všechny prostředky Azure Storage jsou šifrované, včetně objektů blob, disků, souborů, front a tabulek. Šifrují se také všechna metadata objektů.
Za šifrování služby Azure Storage nejsou žádné další náklady.
Další informace o kryptografickýchmodulech
Informace o správě šifrovacích a klíčů pro spravované disky Azure najdete v tématu Šifrování spravovaných disků Azure na straně serveru.
Správa šifrovacích klíčů
Data v novém účtu úložiště se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. K šifrování dat můžete dál spoléhat na klíče spravované Microsoftem nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, máte dvě možnosti. Můžete použít buď typ správy klíčů, nebo obojí:
- Můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování dat ve službě Blob Storage a ve službě Azure Files.1,2 Klíče spravované zákazníkem musí být uložené ve službě Azure Key Vault nebo ve spravovaném modelu hardwarového zabezpečení služby Azure Key Vault (HSM). Další informace o klíčích spravovaných zákazníkem najdete v tématu Použití klíčů spravovaných zákazníkem pro šifrování služby Azure Storage.
- U operací služby Blob Storage můžete zadat klíč poskytnutý zákazníkem. Klient, který vytváří požadavek na čtení nebo zápis pro službu Blob Storage, může v požadavku obsahovat šifrovací klíč, který umožňuje podrobnou kontrolu nad šifrováním a dešifrováním dat objektů blob. Další informace o klíčích poskytovaných zákazníkem najdete v tématu Poskytnutí šifrovacího klíče v požadavku do služby Blob Storage.
Ve výchozím nastavení se účet úložiště šifruje klíčem, který je vymezený na celý účet úložiště. Obory šifrování umožňují spravovat šifrování pomocí klíče, který je vymezený na kontejner nebo jednotlivé objekty blob. Obory šifrování můžete použít k vytvoření zabezpečených hranic mezi daty, která se nacházejí ve stejném účtu úložiště, ale patří různým zákazníkům. Obory šifrování můžou používat klíče spravované Microsoftem nebo klíče spravované zákazníkem. Další informace o oborech šifrování najdete v tématu Obory šifrování pro úložiště objektů blob.
Následující tabulka porovnává možnosti správy klíčů pro šifrování služby Azure Storage.
| Parametr správy klíčů | Klíče spravované Microsoftem | Klíče spravované zákazníkem | Klíče poskytnuté zákazníkem |
|---|---|---|---|
| Operace šifrování/dešifrování | Azure | Azure | Azure |
| Podporované služby Azure Storage | Všechny | Blob Storage, Azure Files1,2 | Blob Storage |
| Úložiště klíčů | Úložiště klíčů Microsoftu | Azure Key Vault nebo HSM služby Key Vault | Úložiště vlastních klíčů zákazníka |
| Odpovědnost za obměnu klíčů | Microsoft | Zákazník | Zákazník |
| Ovládací prvek klávesy | Microsoft | Zákazník | Zákazník |
| Rozsah klíče | Účet (výchozí), kontejner nebo objekt blob | Účet (výchozí), kontejner nebo objekt blob | – |
1 Informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem se službou Queue Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro fronty.
2 Informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem se službou Table Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro tabulky.
Poznámka:
Klíče spravované Microsoftem se odpovídajícím způsobem obměňují podle požadavků na dodržování předpisů. Pokud máte specifické požadavky na obměnu klíčů, Microsoft doporučuje přejít na klíče spravované zákazníkem, abyste mohli spravovat a auditovat obměny sami.
Doubly šifrovat data pomocí šifrování infrastruktury
Zákazníci, kteří vyžadují vysokou úroveň jistoty, že jejich data jsou zabezpečená, můžou také povolit 256bitové šifrování AES na úrovni infrastruktury služby Azure Storage. Pokud je šifrování infrastruktury povolené, data v účtu úložiště se šifrují dvakrát – jednou na úrovni služby a jednou na úrovni infrastruktury – se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy může dojít k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.
Šifrování na úrovni služby podporuje použití klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem se službou Azure Key Vault. Šifrování na úrovni infrastruktury závisí na klíčích spravovaných Microsoftem a vždy používá samostatný klíč.
Další informace o tom, jak vytvořit účet úložiště, který umožňuje šifrování infrastruktury, najdete v tématu Vytvoření účtu úložiště s povoleným šifrováním infrastruktury pro dvojité šifrování dat.
Šifrování na straně klienta pro objekty blob a fronty
Klientské knihovny služby Azure Blob Storage pro .NET, Javu a Python podporují šifrování dat v klientských aplikacích před nahráním do služby Azure Storage a dešifrováním dat při stahování do klienta. Klientské knihovny Queue Storage pro .NET a Python podporují také šifrování na straně klienta.
Poznámka:
Zvažte použití funkcí šifrování na straně služby poskytované službou Azure Storage k ochraně dat místo šifrování na straně klienta.
Klientské knihovny Blob Storage a Queue Storage používají AES k šifrování uživatelských dat. V klientských knihovnách jsou k dispozici dvě verze šifrování na straně klienta:
- Verze 2 používá režim Galois/Counter Mode (GCM) s AES. Sady SDK služby Blob Storage a Queue Storage podporují šifrování na straně klienta s v2.
- Verze 1 používá režim CBC (Cipher Block Chaining) s AES. Sady SDK blob Storage, Queue Storage a Table Storage podporují šifrování na straně klienta s v1.
Upozorňující
Použití šifrování na straně klienta verze 1 se už nedoporučuje kvůli ohrožení zabezpečení v implementaci režimu CBC klientské knihovny. Další informace o tomto ohrožení zabezpečení najdete v tématu Aktualizace šifrování na straně klienta v sadě SDK, aby se vyřešilo ohrožení zabezpečení. Pokud aktuálně používáte verzi 1, doporučujeme aplikaci aktualizovat tak, aby používala šifrování na straně klienta v2 a migrovala vaše data.
Sada Azure Table Storage SDK podporuje pouze šifrování na straně klienta v1. Použití šifrování na straně klienta se službou Table Storage se nedoporučuje.
Následující tabulka ukazuje, které klientské knihovny podporují verze šifrování na straně klienta a poskytují pokyny pro migraci na šifrování na straně klienta v2.
| Klientská knihovna | Podporovaná verze šifrování na straně klienta | Doporučená migrace | Další doprovodné materiály |
|---|---|---|---|
| Klientské knihovny služby Blob Storage pro .NET (verze 12.13.0 a novější), Java (verze 12.18.0 a novější) a Python (verze 12.13.0 a vyšší) | 2.0 1.0 (pouze kvůli zpětné kompatibilitě) |
Aktualizujte kód tak, aby používal šifrování na straně klienta v2. Stáhněte si všechna šifrovaná data, abyste je dešifrovali, a pak je znovu zašifrujte pomocí šifrování na straně klienta v2. |
Šifrování na straně klienta pro objekty blob |
| Klientská knihovna Blob Storage pro .NET (verze 12.12.0 a novější), Java (verze 12.17.0 a novější) a Python (verze 12.12.0 a novější) | 1.0 (nedoporučuje se) | Aktualizujte aplikaci tak, aby používala verzi sady BLOB Storage SDK, která podporuje šifrování na straně klienta v2. Podrobnosti najdete v matici podpory sady SDK pro šifrování na straně klienta. Aktualizujte kód tak, aby používal šifrování na straně klienta v2. Stáhněte si všechna šifrovaná data, abyste je dešifrovali, a pak je znovu zašifrujte pomocí šifrování na straně klienta v2. |
Šifrování na straně klienta pro objekty blob |
| Klientská knihovna Queue Storage pro .NET (verze 12.11.0 a novější) a Python (verze 12.4 a vyšší) | 2.0 1.0 (pouze kvůli zpětné kompatibilitě) |
Aktualizujte kód tak, aby používal šifrování na straně klienta v2. | Šifrování na straně klienta pro fronty |
| Klientská knihovna Queue Storage pro .NET (verze 12.10.0 a novější) a Python (verze 12.3.0 a novější) | 1.0 (nedoporučuje se) | Aktualizujte aplikaci tak, aby používala verzi sady Sdk služby Queue Storage, která podporuje šifrování na straně klienta v2. Viz matice podpory sady SDK pro šifrování na straně klienta Aktualizujte kód tak, aby používal šifrování na straně klienta v2. |
Šifrování na straně klienta pro fronty |
| Klientská knihovna Table Storage pro .NET, Javu a Python | 1.0 (nedoporučuje se) | Není k dispozici. | – |