Inaktív adatok Azure Storage-titkosítása
Az Azure Storage szolgáltatásoldali titkosítással (SSE) automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. Az Azure Storage-titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítésében.
A Microsoft szolgáltatásoldali titkosítás használatát javasolja az adatok védelméhez a legtöbb forgatókönyv esetében. A Blob Storage-hoz és a Queue Storage-hoz készült Azure Storage-ügyfélkódtárak azonban ügyféloldali titkosítást is biztosítanak az ügyféloldali titkosításhoz azon ügyfelek számára, akiknek adatokat kell titkosítaniuk az ügyfélen. További információkért tekintse meg a blobok és üzenetsorok ügyféloldali titkosítását.
Tudnivalók az Azure Storage szolgáltatásoldali titkosításáról
Az Azure Storage-beli adatok titkosítása és visszafejtése transzparens módon történik 256 bites AES-titkosítással, amely az egyik legerősebb elérhető blokktitkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure Storage-titkosítás hasonló a Windows BitLocker-titkosításához.
Az Azure Storage-titkosítás minden tárfiókhoz engedélyezve van, beleértve a Resource Managert és a klasszikus tárfiókokat is. Az Azure Storage-titkosítás nem tiltható le. Mivel az adatok alapértelmezés szerint védettek, nem kell módosítania a kódot vagy az alkalmazásokat az Azure Storage-titkosítás előnyeinek kihasználásához.
A tárfiók adatai a teljesítményszinttől (standard vagy prémium), a hozzáférési szinttől (gyakori vagy ritka elérésű) vagy az üzembehelyezési modelltől (Azure Resource Manager vagy klasszikus) függetlenül titkosítva lesznek. Minden új és meglévő blokkblob, hozzáfűző blob és lapblob titkosítva van, beleértve az archív rétegbeli blobokat is. Minden Azure Storage-redundancia-beállítás támogatja a titkosítást, és a georeplikálás engedélyezésekor az elsődleges és a másodlagos régió összes adata titkosítva van. Minden Azure Storage-erőforrás titkosítva van, beleértve a blobokat, lemezeket, fájlokat, üzenetsorokat és táblákat. Az objektum metaadatai is titkosítva lesznek.
Az Azure Storage-titkosításnak nincs további költsége.
Az Azure Storage-titkosítás alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd : Cryptography API: Next Generation.
Az Azure-beli felügyelt lemezek titkosításával és kulcskezelésével kapcsolatos információkért tekintse meg az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítását.
Tudnivalók a titkosítási kulcsok kezeléséről
Az új tárfiókban lévő adatok alapértelmezés szerint Microsoft által felügyelt kulcsokkal lesznek titkosítva. Továbbra is támaszkodhat a Microsoft által felügyelt kulcsokra az adatok titkosításához, vagy kezelheti a titkosítást saját kulcsaival. Ha úgy dönt, hogy saját kulcsokkal kezeli a titkosítást, két lehetősége van. Használhatja a kulcskezelés egyik típusát, vagy mindkettőt:
- Megadhat egy ügyfél által felügyelt kulcsot , amelyet a Blob Storage-ban és az Azure Filesban lévő adatok titkosításához és visszafejtéséhez használhat.Az 1,2 ügyfél által felügyelt kulcsokat az Azure Key Vaultban vagy az Azure Key Vault felügyelt hardveres biztonsági modellben (HSM) kell tárolni. Az ügyfél által felügyelt kulcsokkal kapcsolatos további információkért lásd : Ügyfél által felügyelt kulcsok használata az Azure Storage-titkosításhoz.
- A Blob Storage-műveletekhez megadhat egy ügyfél által megadott kulcsot . A Blob Storage-ra olvasási vagy írási kérelmet küldő ügyfél tartalmazhat egy titkosítási kulcsot a blobadatok titkosításának és visszafejtési módjának részletes szabályozására vonatkozó kéréshez. Az ügyfél által megadott kulcsokról további információt a Blob Storage-nak küldött kérések titkosítási kulcsának megadása című témakörben talál.
A tárfiókok alapértelmezés szerint egy olyan kulccsal lesznek titkosítva, amely a teljes tárfiókra kiterjed. A titkosítási hatókörök lehetővé teszik a titkosítás kezelését egy tárolóra vagy egy adott blobra hatókörrel rendelkező kulccsal. Titkosítási hatókörökkel biztonságos határokat hozhat létre az ugyanazon tárfiókban található, de különböző ügyfelekhez tartozó adatok között. A titkosítási hatókörök használhatják a Microsoft által felügyelt kulcsokat vagy az ügyfél által felügyelt kulcsokat. A titkosítási hatókörökről további információt a Blob Storage titkosítási hatókörei című témakörben talál.
Az alábbi táblázat az Azure Storage-titkosítás kulcskezelési lehetőségeit hasonlítja össze.
| Kulcskezelési paraméter | Microsoft által felügyelt kulcsok | Felhasználó által kezelt kulcsok | Ügyfél által megadott kulcsok |
|---|---|---|---|
| Titkosítási/visszafejtési műveletek | Azure | Azure | Azure |
| Támogatott Azure Storage-szolgáltatások | Mind | Blob Storage, Azure Files1,2 | Blob Storage |
| Kulcstároló | Microsoft-kulcstároló | Azure Key Vault vagy Key Vault HSM | Az ügyfél saját kulcstárolója |
| Kulcsforgatási felelősség | Microsoft | Vevő | Vevő |
| Kulcsvezérlő | Microsoft | Vevő | Vevő |
| Kulcs hatóköre | Fiók (alapértelmezett), tároló vagy blob | Fiók (alapértelmezett), tároló vagy blob | n/a |
1 Az ügyfél által felügyelt kulcsok Queue Storage-beli használatát támogató fiók létrehozásáról további információt az üzenetsorok ügyfél által felügyelt kulcsait támogató fiók létrehozása című témakörben talál.
2 Az ügyfél által felügyelt kulcsok Table Storage-beli használatát támogató fiók létrehozásáról további információt a táblák ügyfél által felügyelt kulcsait támogató fiók létrehozása című témakörben talál.
Feljegyzés
A Microsoft által felügyelt kulcsok a megfelelőségi követelményeknek megfelelően vannak elforgatva. Ha konkrét kulcsforgatási követelményekkel rendelkezik, a Microsoft azt javasolja, hogy lépjen az ügyfél által felügyelt kulcsokra, hogy ön felügyelhesse és naplózhassa a forgatást.
Adatok kétszeres titkosítása infrastruktúra-titkosítással
Azok az ügyfelek, akik magas szintű biztonságot igényelnek adataik biztonságossá tételéhez, 256 bites AES-titkosítást is engedélyezhetik az Azure Storage-infrastruktúra szintjén. Ha az infrastruktúra-titkosítás engedélyezve van, a tárfiókban lévő adatok két különböző titkosítási algoritmussal és két különböző kulcssal kétszer – egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén – titkosítva lesznek. Az Azure Storage-adatok dupla titkosítása védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs megsérülhet. Ebben a forgatókönyvben a további titkosítási réteg továbbra is védi az adatokat.
A szolgáltatásszintű titkosítás támogatja a Microsoft által felügyelt vagy ügyfél által felügyelt kulcsok használatát az Azure Key Vaulttal. Az infrastruktúraszintű titkosítás a Microsoft által felügyelt kulcsokra támaszkodik, és mindig külön kulcsot használ.
További információ az infrastruktúra-titkosítást lehetővé tevő tárfiókok létrehozásáról: Tárfiók létrehozása az adatok dupla titkosításához engedélyezett infrastruktúra-titkosítással.
Ügyféloldali titkosítás blobokhoz és üzenetsorokhoz
Az Azure Blob Storage .NET-, Java- és Python-ügyfélkódtárai támogatják az ügyfélalkalmazásokon belüli adatok titkosítását az Azure Storage-ba való feltöltés előtt, valamint az adatok visszafejtését az ügyfélre való letöltés során. A .NET-hez és Pythonhoz készült Queue Storage-ügyfélkódtárak az ügyféloldali titkosítást is támogatják.
Feljegyzés
Fontolja meg az Azure Storage által biztosított szolgáltatásoldali titkosítási funkciók használatát az adatok védelme érdekében az ügyféloldali titkosítás helyett.
A Blob Storage és a Queue Storage ügyfélkódtárak AES-t használnak a felhasználói adatok titkosításához. Az ügyféloldali titkosításnak két verziója érhető el az ügyfélkódtárakban:
- A 2. verzió Galois/Counter Mode (GCM) módot használ az AES-sel. A Blob Storage és a Queue Storage SDK-k támogatják az ügyféloldali titkosítást a v2-vel.
- Az 1. verzió titkosítási blokkláncolást (CBC) használ az AES használatával. A Blob Storage, a Queue Storage és a Table Storage SDK-k támogatják az ügyféloldali titkosítást az 1. verzióval.
Figyelmeztetés
Az ügyféloldali titkosítás v1 használata már nem ajánlott az ügyfélkódtár CBC módbeli implementációjának biztonsági rése miatt. A biztonsági résről további információt az Azure Storage ügyféloldali titkosításának frissítése az SDK-ban a biztonsági rés kezelése érdekében című témakörben talál. Ha jelenleg 1-et használ, javasoljuk, hogy frissítse az alkalmazást az ügyféloldali titkosítás v2 használatára, és migrálja az adatokat.
Az Azure Table Storage SDK csak az ügyféloldali titkosítást támogatja 1. Nem ajánlott ügyféloldali titkosítást használni a Table Storage használatával.
Az alábbi táblázat azt mutatja be, hogy mely ügyfélkódtárak támogatják az ügyféloldali titkosítás mely verzióit, és útmutatást nyújt az ügyféloldali titkosítás v2-re való migráláshoz.
| Ügyfélkódtár | Az ügyféloldali titkosítás támogatott verziója | Javasolt migrálás | További útmutatás |
|---|---|---|---|
| Blob Storage-ügyfélkódtárak a .NET-hez (12.13.0-s vagy újabb verzió), Java -hoz (12.18.0-s vagy újabb verzió) és Pythonhoz (12.13.0-s vagy újabb verzió) | 2,0 1.0 (csak visszamenőleges kompatibilitás esetén) |
Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéshez, majd az ügyféloldali titkosítási v2-vel visszafejtse azokat. |
Ügyféloldali titkosítás blobokhoz |
| Blob Storage ügyfélkódtár a .NET-hez (12.12.0-s és újabb verzió), Java -hoz (12.17.0-s és újabb verzió) és Pythonhoz (12.12.0-s vagy újabb verzió) | 1.0 (nem ajánlott) | Frissítse az alkalmazást az ügyféloldali titkosítást támogató Blob Storage SDK 2-es verziójára. Részletekért tekintse meg az ügyféloldali titkosítás SDK-támogatási mátrixát. Frissítse a kódot az ügyféloldali titkosítás v2 használatára. Töltse le a titkosított adatokat a visszafejtéshez, majd az ügyféloldali titkosítási v2-vel visszafejtse azokat. |
Ügyféloldali titkosítás blobokhoz |
| Queue Storage ügyfélkódtár .NET-hez (12.11.0-s vagy újabb verzió) és Pythonhoz (12.4-es vagy újabb verzió) | 2,0 1.0 (csak visszamenőleges kompatibilitás esetén) |
Frissítse a kódot az ügyféloldali titkosítás v2 használatára. | Üzenetsorok ügyféloldali titkosítása |
| Queue Storage ügyfélkódtár .NET-hez (12.10.0-s és újabb verzió) és Pythonhoz (12.3.0-s vagy újabb verzió) | 1.0 (nem ajánlott) | Frissítse az alkalmazást az ügyféloldali titkosítást támogató Queue Storage SDK-verzió 2-es verziójára. Az ügyféloldali titkosítás SDK-támogatási mátrixának megtekintése Frissítse a kódot az ügyféloldali titkosítás v2 használatára. |
Üzenetsorok ügyféloldali titkosítása |
| Table Storage ügyfélkódtár .NET, Java és Python rendszerhez | 1.0 (nem ajánlott) | Nem érhető el. | n/a |