Inaktív adatok Azure Storage-titkosítása

Az Azure Storage szolgáltatásoldali titkosítással (SSE) automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzik. Az Azure Storage-titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítésében.

Microsoft szolgáltatásoldali titkosítás használatát javasolja az adatok védelméhez a legtöbb esetben. A Blob Storage-hoz és a Queue Storage-hoz készült Azure Storage-ügyfélkódtárak azonban ügyféloldali titkosítást is biztosítanak azoknak az ügyfeleknek, akiknek adatokat kell titkosítaniuk az ügyfélen. További információ: Blobok és üzenetsorok ügyféloldali titkosítása.

Az Azure Storage szolgáltatásoldali titkosításának ismertetése

Az Azure Storage-ban lévő adatok titkosítása és visszafejtése transzparens módon történik a 256 bites AES-titkosítással, amely az egyik legerősebb elérhető blokk-titkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure Storage-titkosítás hasonló a Windows BitLocker-titkosításához.

Az Azure Storage-titkosítás minden tárfiókhoz engedélyezve van, beleértve a Resource Manager és a klasszikus tárfiókokat is. Az Azure Storage titkosítása nem tiltható le. Mivel az adatok alapértelmezés szerint védettek, nem kell módosítania a kódot vagy az alkalmazásokat az Azure Storage-titkosítás előnyeinek kihasználásához.

A tárfiókban lévő adatok titkosítása a teljesítményszinttől (standard vagy prémium), a hozzáférési szinttől (gyakori vagy ritka elérésű) vagy az üzembehelyezési modelltől (Azure Resource Manager vagy klasszikustól) függetlenül történik. Az archív szinten lévő összes blob is titkosítva van. Minden Azure Storage-redundanciabeállítás támogatja a titkosítást, és a georeplikáció engedélyezésekor az elsődleges és a másodlagos régió összes adata titkosítva van. Minden Azure Storage-erőforrás titkosítva van, beleértve a blobokat, lemezeket, fájlokat, üzenetsorokat és táblákat. Az összes objektum metaadatai is titkosítva lesznek. Az Azure Storage-titkosításnak nincs további költsége.

Az Azure Storage-ba 2017. október 20. után írt blokkblobok, hozzáfűző blobok vagy lapblobok titkosítva lesznek. Az ezt a dátumot megelőzően létrehozott blobokat egy háttérfolyamat továbbra is titkosítja. A 2017. október 20. előtt létrehozott blob titkosításának kényszerítéséhez újraírhatja a blobot. A blobok titkosítási állapotának ellenőrzéséről további információt a Blob titkosítási állapotának ellenőrzése című témakörben talál.

Az Azure Storage-titkosítás alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd : Titkosítási API: Következő generáció.

Az Azure-beli felügyelt lemezek titkosításával és kulcskezelésével kapcsolatos információkért lásd: Azure-beli felügyelt lemezek kiszolgálóoldali titkosítása.

Tudnivalók a titkosítási kulcsok kezeléséről

Az új tárfiókban lévő adatok alapértelmezés szerint Microsoft által felügyelt kulcsokkal lesznek titkosítva. Továbbra is támaszkodhat Microsoft által felügyelt kulcsokra az adatok titkosításához, vagy kezelheti a titkosítást a saját kulcsaival. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, két lehetősége van. Használhatja a kulcskezelés egyik típusát, vagy mindkettőt:

  • Megadhat egy ügyfél által felügyelt kulcsot, amelyet a Blob Storage-ban és a Azure Files.1,2-ben az adatok titkosításához és visszafejtéséhez használhat, az ügyfél által felügyelt kulcsokat az Azure Key Vault vagy az Azure Key Vault felügyelt hardveres biztonsági modellben (HSM) kell tárolni. További információ az ügyfél által felügyelt kulcsokról: Ügyfél által felügyelt kulcsok használata az Azure Storage-titkosításhoz.
  • A Blob Storage-műveletekhez megadhat egy ügyfél által megadott kulcsot . A Blob Storage-ra olvasási vagy írási kérelmet küldő ügyfél tartalmazhat egy titkosítási kulcsot a blobadatok titkosításának és visszafejtési módjának részletes szabályozására vonatkozó kéréshez. Az ügyfél által megadott kulcsokkal kapcsolatos további információkért lásd: Titkosítási kulcs megadása a Blob Storage-nak küldött kéréshez.

A tárfiókok alapértelmezés szerint a teljes tárfiókra kiterjedő kulccsal lesznek titkosítva. A titkosítási hatókörök lehetővé teszik a titkosítás kezelését egy tárolóra vagy egy egyéni blobra hatókörrel rendelkező kulccsal. A titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanabban a tárfiókban található, de különböző ügyfelekhez tartozó adatok között. A titkosítási hatókörök Microsoft felügyelt vagy ügyfél által felügyelt kulcsokat is használhatnak. A titkosítási hatókörökről további információt a Blob Storage titkosítási hatókörei című témakörben talál.

Az alábbi táblázat az Azure Storage-titkosítás kulcskezelési lehetőségeit hasonlítja össze.

Kulcskezelési paraméter Microsoft által felügyelt kulcsok Felhasználó által kezelt kulcsok Ügyfél által megadott kulcsok
Titkosítási/visszafejtési műveletek Azure Azure Azure
Támogatott Azure Storage-szolgáltatások Mind Blob Storage, Azure Files1,2 Blob Storage
Kulcstároló Microsoft kulcstároló Azure Key Vault vagy Key Vault HSM Az ügyfél saját kulcstárolója
Kulcsrotálási felelősség Microsoft Ügyfél Ügyfél
Kulcsvezérlő Microsoft Ügyfél Ügyfél
Kulcs hatóköre Fiók (alapértelmezett), tároló vagy blob Fiók (alapértelmezett), tároló vagy blob N/A

1 Az ügyfél által felügyelt kulcsok Queue Storage-beli használatát támogató fiók létrehozásával kapcsolatos információkért lásd: Fiók létrehozása, amely támogatja az ügyfél által felügyelt kulcsokat az üzenetsorokhoz. 2 Az ügyfél által felügyelt kulcsokat a Table Storage-tal támogató fiók létrehozásával kapcsolatos információkért lásd: Fiók létrehozása, amely támogatja az ügyfél által felügyelt kulcsokat a táblákhoz.

Megjegyzés

Microsoft felügyelt kulcsok a megfelelőségi követelményeknek megfelelően vannak elforgatva. Ha konkrét kulcsrotálási követelményekkel rendelkezik, Microsoft azt javasolja, hogy lépjen az ügyfél által felügyelt kulcsokra, hogy ön felügyelhesse és naplózhassa a rotációt.

Adatok kétszeres titkosítása infrastruktúra-titkosítással

Azok az ügyfelek, akik magas szintű biztosítékot igényelnek az adataik biztonságossá tételéről, 256 bites AES-titkosítást is lehetővé tehetnek az Azure Storage infrastruktúra szintjén. Ha engedélyezve van az infrastruktúra titkosítása, a tárfiókban lévő adatok kétszer – egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén – titkosítva lesznek két különböző titkosítási algoritmussal és két különböző kulccsal. Az Azure Storage-adatok kettős titkosítása védelmet nyújt egy olyan forgatókönyv ellen, amelyben az egyik titkosítási algoritmus vagy kulcs sérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.

A szolgáltatásszintű titkosítás támogatja Microsoft felügyelt kulcsok vagy ügyfél által felügyelt kulcsok használatát az Azure Key Vault használatával. Az infrastruktúraszintű titkosítás Microsoft felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ.

Az infrastruktúra-titkosítást lehetővé tevő tárfiókok létrehozásával kapcsolatos további információkért lásd: Tárfiók létrehozása az adatok dupla titkosításához engedélyezett infrastruktúra-titkosítással.

Ügyféloldali titkosítás blobokhoz és üzenetsorokhoz

A .NET, Java és Python Azure Blob Storage ügyfélkódtárai támogatják az adatok ügyfélalkalmazásokon belüli titkosítását az Azure Storage-ba való feltöltés előtt, valamint az adatok visszafejtését az ügyfélre való letöltés során. A .NET-hez és a Pythonhoz készült Queue Storage-ügyfélkódtárak az ügyféloldali titkosítást is támogatják.

Megjegyzés

Fontolja meg az Azure Storage által biztosított szolgáltatásoldali titkosítási funkciók használatát az adatok védelme érdekében az ügyféloldali titkosítás helyett.

A Blob Storage és a Queue Storage ügyfélkódtárak az AES-t használják a felhasználói adatok titkosításához. Az ügyféloldali titkosításnak két verziója érhető el az ügyfélkódtárakban:

  • A 2. verzió a Galois/Counter Mode (GCM) módot használja az AES-sel. A Blob Storage és a Queue Storage SDK-k támogatják az ügyféloldali titkosítást v2-vel.
  • Az 1. verzió titkosítási blokkláncolási (CBC) módot használ az AES-sel. A Blob Storage, a Queue Storage és a Table Storage SDK-k támogatják az ügyféloldali titkosítást az 1-s verzióval.

Figyelmeztetés

Az ügyféloldali titkosítás v1 használata már nem ajánlott az ügyfélkódtár CBC mód implementálásának biztonsági rése miatt. További információ erről a biztonsági résről: Az Azure Storage az ügyféloldali titkosítás frissítése az SDK-ban a biztonsági rés kezelése érdekében. Ha jelenleg 1-et használ, javasoljuk, hogy frissítse az alkalmazást az ügyféloldali titkosítás v2 használatára, és migrálja az adatokat.

Az Azure Table Storage SDK csak az ügyféloldali titkosítást támogatja 1-ben. Nem ajánlott ügyféloldali titkosítást használni a Table Storage-ral.

Az alábbi táblázat bemutatja, hogy mely ügyfélkódtárak támogatják az ügyféloldali titkosítás mely verzióit, és útmutatást nyújt az ügyféloldali titkosítás v2-re való migráláshoz.

Ügyfélkódtár Az ügyféloldali titkosítás támogatott verziója Javasolt migrálás További útmutatás
Blob Storage-ügyfélkódtárak a .NET-hez (12.13.0-s vagy újabb verzió), Java (12.18.0-s vagy újabb verzió) és Pythonhoz (12.13.0-s vagy újabb verzió) 2.01.0 (csak visszamenőleges kompatibilitás esetén) Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéséhez, majd az ügyféloldali titkosítás v2-vel. Ügyféloldali titkosítás blobokhoz
Blob Storage ügyfélkódtár a .NET-hez (12.12.0-s és újabb verzió), Java (12.17.0-s és újabb verzió) és Pythonhoz (12.12.0-s és újabb verzió) 1.0 (nem ajánlott) Frissítse az alkalmazást a Blob Storage SDK 2-es ügyféloldali titkosítást támogató verziójának használatára. A részletekért lásd az SDK támogatási mátrixát az ügyféloldali titkosításhoz . Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéséhez, majd az ügyféloldali titkosítás v2-vel. Ügyféloldali titkosítás blobokhoz
Queue Storage ügyfélkódtár a .NET-hez (12.11.0-s vagy újabb verzió) és Pythonhoz (12.4-es vagy újabb verzió) 2.01.0 (csak visszamenőleges kompatibilitás esetén) Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Ügyféloldali titkosítás üzenetsorokhoz
Queue Storage ügyfélkódtár a .NET-hez (12.10.0-s és újabb verzió) és Pythonhoz (12.3.0-s vagy újabb verzió) 1.0 (nem ajánlott) Frissítse az alkalmazást úgy, hogy az ügyféloldali titkosítást támogató Queue Storage SDK-verziót használja. Lásd: Az ügyféloldali titkosítás SDK-támogatási mátrixa: A kód frissítése ügyféloldali titkosítás v2 használatára. Ügyféloldali titkosítás üzenetsorokhoz
Table Storage ügyfélkódtár .NET, Java és Python esetén 1.0 (nem ajánlott) Nem érhető el. N/A

Következő lépések