Šifrování služby Azure Storage pro neaktivní uložená data
Azure Storage používá šifrování na straně služby (SSE) k automatickému šifrování dat, když jsou uložená v cloudu. Šifrování služby Azure Storage chrání vaše data a pomáhá vám plnit závazky organizace v oblasti zabezpečení a dodržování předpisů.
Microsoft doporučuje používat šifrování na straně služby k ochraně dat pro většinu scénářů. Klientské knihovny Azure Storage pro Blob Storage a Queue Storage ale také poskytují šifrování na straně klienta pro zákazníky, kteří potřebují šifrovat data v klientovi. Další informace najdete v tématu Šifrování objektů blob a front na straně klienta.
Informace o šifrování na straně služby Azure Storage
Data ve službě Azure Storage se transparentně šifrují a dešifrují pomocí 256bitového šifrování AES, což je jedna z nejsilnějších dostupných blokových šifer, a jsou kompatibilní se standardem FIPS 140-2. Šifrování služby Azure Storage je podobné šifrování nástrojem BitLocker ve Windows.
Šifrování služby Azure Storage je povolené pro všechny účty úložiště, včetně účtů Resource Manager i klasických účtů úložiště. Šifrování služby Azure Storage není možné zakázat. Vzhledem k tomu, že jsou vaše data ve výchozím nastavení zabezpečená, nemusíte upravovat kód ani aplikace, abyste mohli využívat šifrování služby Azure Storage.
Data v účtu úložiště se šifrují bez ohledu na úroveň výkonu (Standard nebo Premium), úroveň přístupu (horká nebo studená) nebo model nasazení (Azure Resource Manager nebo Classic). Všechny nové a existující objekty blob bloku, doplňovací objekty blob a objekty blob stránky jsou šifrované, včetně objektů blob v archivní úrovni. Všechny možnosti redundance Azure Storage podporují šifrování a všechna data v primární i sekundární oblasti se šifrují, když je povolená geografická replikace. Všechny prostředky Azure Storage jsou šifrované, včetně objektů blob, disků, souborů, front a tabulek. Všechna metadata objektu jsou také šifrovaná.
Za šifrování služby Azure Storage se nedochází k žádným dalším poplatkům.
Další informace o kryptografických modulech, které jsou základem šifrování služby Azure Storage, najdete v tématu Rozhraní API kryptografie: Nová generace.
Informace o šifrování a správě klíčů pro spravované disky Azure najdete v tématu Šifrování spravovaných disků Azure na straně serveru.
Informace o správě šifrovacích klíčů
Data v novém účtu úložiště se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Při šifrování dat se můžete dál spoléhat na klíče spravované Microsoftem nebo můžete šifrování spravovat pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, máte dvě možnosti. Můžete použít jeden z typů správy klíčů, nebo obojí:
- Můžete zadat klíč spravovaný zákazníkem, který se použije k šifrování a dešifrování dat ve službě Blob Storage a v Azure Files. 1,2 Klíče spravované zákazníkem musí být uložené v Azure Key Vault nebo Azure Key Vault Spravovaném modelu hardwarového zabezpečení (HSM). Další informace o klíčích spravovaných zákazníkem najdete v tématu Použití klíčů spravovaných zákazníkem pro šifrování služby Azure Storage.
- Pro operace Blob Storage můžete zadat klíč poskytnutý zákazníkem . Klient, který ve službě Blob Storage vytváří požadavek na čtení nebo zápis, může do požadavku zahrnout šifrovací klíč, který umožňuje podrobnou kontrolu nad tím, jak se data objektů blob šifrují a dešifrují. Další informace o klíčích poskytnutých zákazníkem najdete v tématu Poskytnutí šifrovacího klíče na žádost do služby Blob Storage.
Ve výchozím nastavení se účet úložiště šifruje pomocí klíče, který je vymezený na celý účet úložiště. Obory šifrování umožňují spravovat šifrování pomocí klíče, který je vymezený na kontejner nebo jednotlivé objekty blob. Obory šifrování můžete použít k vytvoření bezpečných hranic mezi daty, která se nacházejí ve stejném účtu úložiště, ale patří různým zákazníkům. Obory šifrování můžou používat klíče spravované Microsoftem nebo klíče spravované zákazníkem. Další informace o oborech šifrování najdete v tématu Obory šifrování pro úložiště objektů blob.
Následující tabulka porovnává možnosti správy klíčů pro šifrování služby Azure Storage.
| Parametr správy klíčů | Klíče spravované Microsoftem | Klíče spravované zákazníkem | Klíče poskytnuté zákazníkem |
|---|---|---|---|
| Operace šifrování/dešifrování | Azure | Azure | Azure |
| Podporované služby Azure Storage | Vše | Blob Storage, Azure Files 1,2 | Blob Storage |
| Úložiště klíčů | Úložiště klíčů Microsoft | Azure Key Vault nebo Key Vault HSM | Vlastní úložiště klíčů zákazníka |
| Odpovědnost za obměnu klíčů | Microsoft | Zákazník | Zákazník |
| Ovládání klávesou | Microsoft | Zákazník | Zákazník |
| Obor klíče | Účet (výchozí), kontejner nebo objekt blob | Účet (výchozí), kontejner nebo objekt blob | – |
1 Informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem se službou Queue Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro fronty.
2 Informace o vytvoření účtu, který podporuje použití klíčů spravovaných zákazníkem se službou Table Storage, najdete v tématu Vytvoření účtu, který podporuje klíče spravované zákazníkem pro tabulky.
Poznámka
Klíče spravované Microsoftem se obměňují odpovídajícím způsobem podle požadavků na dodržování předpisů. Pokud máte specifické požadavky na obměnu klíčů, Microsoft doporučuje přejít na klíče spravované zákazníkem, abyste mohli rotaci spravovat a auditovat sami.
Dvojité šifrování dat pomocí šifrování infrastruktury
Zákazníci, kteří vyžadují vysokou úroveň záruky, že jejich data jsou zabezpečená, mohou také povolit 256bitové šifrování AES na úrovni infrastruktury služby Azure Storage. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát – jednou na úrovni služby a jednou na úrovni infrastruktury – pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy může dojít k ohrožení zabezpečení některého z šifrovacích algoritmů nebo klíčů. V tomto scénáři další vrstva šifrování i nadále chrání vaše data.
Šifrování na úrovni služeb podporuje použití klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem s Azure Key Vault. Šifrování na úrovni infrastruktury spoléhá na klíče spravované Microsoftem a vždy používá samostatný klíč.
Další informace o tom, jak vytvořit účet úložiště, který umožňuje šifrování infrastruktury, najdete v tématu Vytvoření účtu úložiště s povoleným šifrováním infrastruktury pro dvojité šifrování dat.
Šifrování objektů blob a front na straně klienta
Klientské knihovny Azure Blob Storage pro .NET, Javu a Python podporují šifrování dat v klientských aplikacích před nahráním do služby Azure Storage a dešifrování dat při stahování do klienta. Klientské knihovny Queue Storage pro .NET a Python také podporují šifrování na straně klienta.
Poznámka
Zvažte použití funkcí šifrování na straně služby, které poskytuje Azure Storage, k ochraně dat místo šifrování na straně klienta.
Klientské knihovny Blob Storage a Queue Storage používají AES k šifrování uživatelských dat. V klientských knihovnách jsou k dispozici dvě verze šifrování na straně klienta:
- Verze 2 používá režim Galois/Counter Mode (GCM) s AES. Sady Blob Storage a Queue Storage SDK podporují šifrování na straně klienta s v2.
- Verze 1 používá režim CBC (Cipher Block Chaining) s AES. Sady Blob Storage, Queue Storage a Table Storage PODPORUJÍ šifrování na straně klienta s v1.
Upozornění
Použití šifrování na straně klienta verze 1 se už nedoporučuje kvůli ohrožení zabezpečení v implementaci režimu CBC klientské knihovny. Další informace o této chybě zabezpečení najdete v tématu Věnovaném aktualizaci šifrování na straně klienta v sadě SDK ve službě Azure Storage za účelem řešení ohrožení zabezpečení. Pokud aktuálně používáte verzi 1, doporučujeme aktualizovat aplikaci tak, aby používala šifrování na straně klienta verze 2, a migrovat data.
Sada SDK služby Azure Table Storage podporuje pouze šifrování na straně klienta verze 1. Použití šifrování na straně klienta se službou Table Storage se nedoporučuje.
Následující tabulka ukazuje, které klientské knihovny podporují které verze šifrování na straně klienta, a obsahuje pokyny pro migraci na šifrování na straně klienta v2.
| Klientská knihovna | Podporovaná verze šifrování na straně klienta | Doporučená migrace | Další doprovodné materiály |
|---|---|---|---|
| Klientské knihovny služby Blob Storage pro .NET (verze 12.13.0 a novější), Javu (verze 12.18.0 a novější) a Python (verze 12.13.0 a novější) | 2.0 1.0 (pouze pro zpětnou kompatibilitu) |
Aktualizujte kód tak, aby používal šifrování na straně klienta v2. Stáhněte si všechna šifrovaná data, abyste je dešifrovali, a pak je znovu zašifrujte pomocí šifrování na straně klienta v2. |
Šifrování objektů blob na straně klienta |
| Klientská knihovna Blob Storage pro .NET (verze 12.12.0 a novější), Javu (verze 12.17.0 a novější) a Python (verze 12.12.0 a novější) | 1.0 (nedoporučuje se) | Aktualizujte aplikaci tak, aby používala verzi sady SDK služby Blob Storage, která podporuje šifrování na straně klienta v2. Podrobnosti najdete v tématu Matice podpory sady SDK pro šifrování na straně klienta . Aktualizujte kód tak, aby používal šifrování na straně klienta v2. Stáhněte si všechna šifrovaná data, abyste je dešifrovali, a pak je znovu zašifrujte pomocí šifrování na straně klienta v2. |
Šifrování objektů blob na straně klienta |
| Klientská knihovna Queue Storage pro .NET (verze 12.11.0 a novější) a Python (verze 12.4 a vyšší) | 2.0 1.0 (pouze pro zpětnou kompatibilitu) |
Aktualizujte kód tak, aby používal šifrování na straně klienta v2. | Šifrování front na straně klienta |
| Klientská knihovna Queue Storage pro .NET (verze 12.10.0 a novější) a Python (verze 12.3.0 a novější) | 1.0 (nedoporučuje se) | Aktualizujte aplikaci tak, aby používala verzi sady SDK Queue Storage, která podporuje šifrování na straně klienta v2. Projděte si matici podpory sady SDK pro šifrování na straně klienta. Aktualizujte kód tak, aby používal šifrování na straně klienta v2. |
Šifrování front na straně klienta |
| Klientská knihovna Table Storage pro .NET, Javu a Python | 1.0 (nedoporučuje se) | Není k dispozici. | – |