Infrastruktúra-titkosítás engedélyezése az adatok dupla titkosításához
Cikk
Az Azure Storage szolgáltatásszinten automatikusan titkosítja a tárfiókban lévő összes adatot a 256 bites AES használatával GCM módú titkosítással, amely az egyik legerősebb blokk-titkosítás, és a FIPS 140-2 szabványnak is megfelel. Azok az ügyfelek, akik magasabb szintű biztonságot igényelnek az adataik biztonságossá tételéhez, az Azure Storage-infrastruktúra szintjén cBC-titkosítással rendelkező 256 bites AES-t is engedélyezhetik a dupla titkosításhoz. Az Azure Storage-adatok dupla titkosítása védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs megsérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.
Az infrastruktúra-titkosítás engedélyezhető a teljes tárfiókhoz vagy egy fiókon belüli titkosítási hatókörhöz. Ha az infrastruktúra-titkosítás engedélyezve van egy tárfiókhoz vagy egy titkosítási hatókörhöz, az adatok két különböző titkosítási algoritmussal és két különböző kulcssal kétszer lesznek titkosítva – egyszer a szolgáltatás szintjén és egyszer az infrastruktúra szintjén.
A szolgáltatásszintű titkosítás a Microsoft által felügyelt kulcsok vagy ügyfél által felügyelt kulcsok használatát támogatja az Azure Key Vault vagy a Key Vault felügyelt hardveres biztonsági modell (HSM) használatával. Az infrastruktúraszintű titkosítás a Microsoft által felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ. Az Azure Storage-titkosítással történő kulcskezeléssel kapcsolatos további információkért lásd: A titkosítási kulcsok kezelése.
Az adatok kétszeres titkosításához először létre kell hoznia egy tárfiókot vagy egy infrastruktúra-titkosításhoz konfigurált titkosítási hatókört. Ez a cikk az infrastruktúra-titkosítás engedélyezését ismerteti.
Fontos
Az infrastruktúra titkosítása olyan helyzetekben ajánlott, ahol az adatok duplázása szükséges a megfelelőségi követelményekhez. A legtöbb más forgatókönyv esetében az Azure Storage-titkosítás kellően hatékony titkosítási algoritmust biztosít, és nem valószínű, hogy előnyös az infrastruktúra-titkosítás használata.
A tárfiókok infrastruktúra-titkosításának engedélyezéséhez konfigurálnia kell egy tárfiókot az infrastruktúra-titkosítás használatára a fiók létrehozásakor. Az infrastruktúra-titkosítás nem engedélyezhető vagy tiltható le a fiók létrehozása után. A tárfióknak általános célú v2 típusúnak, prémium szintű blokkblobnak, prémium szintű lapblobnak vagy prémium szintű fájlmegosztásnak kell lennie.
Ha az Azure Portal használatával olyan tárfiókot szeretne létrehozni, amelyen engedélyezve van az infrastruktúra titkosítása, kövesse az alábbi lépéseket:
Az Azure Portalon lépjen a Tárfiókok lapra.
A Hozzáadás gombra kattintva új általános célú v2-, prémium szintű blokkblobot, prémium szintű lapblobot vagy prémium szintű fájlmegosztási fiókot vehet fel.
A Titkosítás lapon keresse meg az Infrastruktúra-titkosítás engedélyezése lehetőséget, és válassza az Engedélyezve lehetőséget.
Válassza a Véleményezés + létrehozás lehetőséget a tárfiók létrehozásának befejezéséhez.
Annak ellenőrzéséhez, hogy az infrastruktúra-titkosítás engedélyezve van-e egy tárfiókhoz az Azure Portalon, kövesse az alábbi lépéseket:
Navigáljon az Azure portálon a címen a tárolófiókjához.
A Biztonság + hálózatkezelés területen válassza a Titkosítás lehetőséget.
Ha a PowerShell használatával olyan tárfiókot szeretne létrehozni, amelyen engedélyezve van az infrastruktúra titkosítása, győződjön meg arról, hogy telepítette az Az.Storage PowerShell-modult, amely 2.2.0-s vagy újabb verziójú. További információ: Az Azure PowerShell telepítése.
Ezután hozzon létre egy általános célú v2-t, prémium szintű blokkblobot, prémium szintű lapblobot vagy prémium szintű fájlmegosztási tárfiókot a New-AzStorageAccount parancs meghívásával. Adja meg az -RequireInfrastructureEncryption infrastruktúra-titkosítás engedélyezésének lehetőségét.
Az alábbi példa bemutatja, hogyan hozható létre egy általános célú v2-tárfiók, amely írásvédett georedundáns tároláshoz (RA-GRS) van konfigurálva, és az infrastruktúra-titkosítás engedélyezve van az adatok dupla titkosításához. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
Annak ellenőrzéséhez, hogy az infrastruktúra titkosítása engedélyezve van-e egy tárfiókhoz, hívja meg a Get-AzStorageAccount parancsot. Ez a parancs a tárfiók tulajdonságainak és értékeinek egy készletét adja vissza. Kérje le a RequireInfrastructureEncryption mezőt a Encryption tulajdonságon belül, és ellenőrizze, hogy be van-e állítva True.
Az alábbi példa a tulajdonság értékét RequireInfrastructureEncryption kéri le. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
Ha az Azure CLI használatával olyan tárfiókot szeretne létrehozni, amely rendelkezik engedélyezett infrastruktúra-titkosítással, győződjön meg arról, hogy telepítette az Azure CLI 2.8.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése.
Ezután hozzon létre egy általános célú v2-t, prémium blokkblobot, prémium szintű lapblobot vagy prémium szintű fájlmegosztási fiókot az az storage account create parancs meghívásával, és adja meg az --require-infrastructure-encryption option infrastruktúra titkosításának engedélyezéséhez.
Az alábbi példa bemutatja, hogyan hozható létre egy általános célú v2-tárfiók, amely írásvédett georedundáns tároláshoz (RA-GRS) van konfigurálva, és az infrastruktúra-titkosítás engedélyezve van az adatok dupla titkosításához. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
Annak ellenőrzéséhez, hogy az infrastruktúra-titkosítás engedélyezve van-e egy tárfiókhoz, hívja meg az az storage account show parancsot. Ez a parancs a tárfiók tulajdonságainak és értékeinek egy készletét adja vissza. Keresse meg a requireInfrastructureEncryption tulajdonságon belüli encryption mezőt, és ellenőrizze, hogy be van-e állítva true.
Az alábbi példa a tulajdonság értékét requireInfrastructureEncryption kéri le. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
Az alábbi JSON-példa létrehoz egy általános célú v2-tárfiókot, amely az olvasási hozzáférésű georedundáns tároláshoz (RA-GRS) van konfigurálva, és az infrastruktúra titkosítása lehetővé teszi az adatok kettős titkosítását. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
Az Azure Policy egy beépített szabályzatot biztosít, amely megköveteli az infrastruktúra titkosításának engedélyezését egy tárfiókhoz. További információkért tekintse meg az Azure Policy beépített szabályzatdefinícióinak Storage szakaszát.
Ha az infrastruktúra-titkosítás engedélyezve van egy fiókhoz, akkor a fiókon létrehozott titkosítási hatókörök automatikusan infrastruktúra-titkosítást használnak. Ha az infrastruktúra-titkosítás nincs engedélyezve a fiók szintjén, akkor a hatókör létrehozásakor engedélyezheti azt egy titkosítási hatókörhöz. A titkosítási hatókör infrastruktúra-titkosítási beállítása nem módosítható a hatókör létrehozása után. További információ: Titkosítási hatókör létrehozása.