Versleutelingsbereiken voor Blob Storage
Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar tot verschillende klanten behoren.
Zie Versleutelingsbereiken maken en beheren voor meer informatie over het werken met versleutelingsbereiken.
Hoe versleutelingsbereiken werken
Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Wanneer u een versleutelingsbereik definieert, geeft u een sleutel op die mogelijk is afgestemd op een container of een afzonderlijke blob. Wanneer het versleutelingsbereik wordt toegepast op een blob, wordt de blob versleuteld met die sleutel. Wanneer het versleutelingsbereik wordt toegepast op een container, fungeert het als het standaardbereik voor blobs in die container, zodat alle blobs die naar die container worden geüpload, met dezelfde sleutel kunnen worden versleuteld. De container kan worden geconfigureerd om het standaardversleutelingsbereik af te dwingen voor alle blobs in de container of om toe te staan dat een afzonderlijke blob wordt geüpload naar de container met een ander versleutelingsbereik dan de standaardwaarde.
Leesbewerkingen op een blob die met een versleutelingsbereik is gemaakt, worden transparant uitgevoerd, zolang het versleutelingsbereik niet is uitgeschakeld.
Sleutelbeheer
Wanneer u een versleutelingsbereik definieert, kunt u opgeven of het bereik wordt beveiligd met een door Microsoft beheerde sleutel of met een door de klant beheerde sleutel die is opgeslagen in Azure Key Vault. Verschillende versleutelingsbereiken in hetzelfde opslagaccount kunnen gebruikmaken van door Microsoft beheerde of door de klant beheerde sleutels. U kunt ook het type sleutel dat wordt gebruikt voor het beveiligen van een versleutelingsbereik van een door de klant beheerde sleutel naar een door Microsoft beheerde sleutel, of omgekeerd, op elk gewenst moment overschakelen. Zie Door de klant beheerde sleutels voor Azure Storage-versleuteling voor meer informatie over door de klant beheerde sleutels. Zie Over versleutelingssleutelbeheer voor meer informatie over door Microsoft beheerde sleutels.
Als u een versleutelingsbereik definieert met een door de klant beheerde sleutel, kunt u ervoor kiezen om de sleutelversie automatisch of handmatig bij te werken. Als u ervoor kiest om de sleutelversie automatisch bij te werken, controleert Azure Storage de sleutelkluis of beheerde HSM dagelijks op een nieuwe versie van de door de klant beheerde sleutel en wordt de sleutel automatisch bijgewerkt naar de nieuwste versie. Zie De sleutelversie bijwerken voor een door de klant beheerde sleutel voor meer informatie over het bijwerken van de sleutelversie.
Azure Policy biedt een ingebouwd beleid om te vereisen dat versleutelingsbereiken gebruikmaken van door de klant beheerde sleutels. Zie de sectie Storage in ingebouwde azure Policy-beleidsdefinities voor meer informatie.
Een opslagaccount kan maximaal 10.000 versleutelingsbereiken hebben die zijn beveiligd met door de klant beheerde sleutels waarvoor de sleutelversie automatisch wordt bijgewerkt. Als uw opslagaccount al 10.000 versleutelingsbereiken heeft die zijn beveiligd met door de klant beheerde sleutels die automatisch worden bijgewerkt, moet de sleutelversie handmatig worden bijgewerkt voor eventuele extra versleutelingsbereiken die worden beveiligd met door de klant beheerde sleutels.
Infrastructuurversleuteling
Infrastructuurversleuteling in Azure Storage maakt dubbele versleuteling van gegevens mogelijk. Met infrastructuurversleuteling worden gegevens tweemaal versleuteld ( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels.
Infrastructuurversleuteling wordt ondersteund voor een versleutelingsbereik, evenals op het niveau van het opslagaccount. Als infrastructuurversleuteling is ingeschakeld voor een account, gebruikt elk versleutelingsbereik dat voor dat account is gemaakt automatisch infrastructuurversleuteling. Als infrastructuurversleuteling niet is ingeschakeld op accountniveau, kunt u deze inschakelen voor een versleutelingsbereik op het moment dat u het bereik maakt. De instelling voor infrastructuurversleuteling voor een versleutelingsbereik kan niet worden gewijzigd nadat het bereik is gemaakt.
Zie Infrastructuurversleuteling inschakelen voor dubbele versleuteling van gegevens voor meer informatie over infrastructuurversleuteling.
Versleutelingsbereiken voor containers en blobs
Wanneer u een container maakt, kunt u een standaardversleutelingsbereik opgeven voor de blobs die vervolgens naar die container worden geüpload. Wanneer u een standaardversleutelingsbereik voor een container opgeeft, kunt u bepalen hoe het standaardversleutelingsbereik wordt afgedwongen:
- U kunt vereisen dat alle blobs die naar de container zijn geüpload, gebruikmaken van het standaardversleutelingsbereik. In dit geval wordt elke blob in de container versleuteld met dezelfde sleutel.
- U kunt toestaan dat een client het standaardversleutelingsbereik voor de container overschrijft, zodat een blob kan worden geüpload met een ander versleutelingsbereik dan het standaardbereik. In dit geval kunnen de blobs in de container worden versleuteld met verschillende sleutels.
De volgende tabel bevat een overzicht van het gedrag van een blob-uploadbewerking, afhankelijk van hoe het standaardversleutelingsbereik is geconfigureerd voor de container:
| Het versleutelingsbereik dat is gedefinieerd voor de container is... | Een blob uploaden met het standaardversleutelingsbereik... | Een blob uploaden met een ander versleutelingsbereik dan het standaardbereik... |
|---|---|---|
| Een standaardversleutelingsbereik met toegestane onderdrukkingen | Slaagt | Slaagt |
| Een standaardversleutelingsbereik met onderdrukkingen verboden | Slaagt | Mislukt |
Er moet een standaardversleutelingsbereik worden opgegeven voor een container op het moment dat de container wordt gemaakt.
Als er geen standaardversleutelingsbereik is opgegeven voor de container, kunt u een blob uploaden met behulp van elk versleutelingsbereik dat u hebt gedefinieerd voor het opslagaccount. Het versleutelingsbereik moet worden opgegeven op het moment dat de blob wordt geüpload.
Notitie
Wanneer u een nieuwe blob uploadt met een versleutelingsbereik, kunt u de standaardtoegangslaag voor die blob niet wijzigen. U kunt ook de toegangslaag voor een bestaande blob die gebruikmaakt van een versleutelingsbereik niet wijzigen. Zie dynamische, statische en archieftoegangslagen voor blobgegevens voor meer informatie over toegangslagen.
Een versleutelingsbereik uitschakelen
Wanneer u een versleutelingsbereik uitschakelt, mislukken alle volgende lees- of schrijfbewerkingen die zijn uitgevoerd met het versleutelingsbereik met HTTP-foutcode 403 (verboden). Als u het versleutelingsbereik opnieuw inschakelt, worden lees- en schrijfbewerkingen normaal gesproken opnieuw uitgevoerd.
Als uw versleutelingsbereik is beveiligd met een door de klant beheerde sleutel en u de sleutel in de sleutelkluis intrekt, worden de gegevens ontoegankelijk. Zorg ervoor dat u het versleutelingsbereik uitschakelt voordat u de sleutel in de sleutelkluis inroept om te voorkomen dat er kosten in rekening worden gebracht voor het versleutelingsbereik.
Houd er rekening mee dat door de klant beheerde sleutels worden beveiligd door voorlopig verwijderen en opschonen in de sleutelkluis, en dat een verwijderde sleutel onderhevig is aan het gedrag dat door deze eigenschappen is gedefinieerd. Zie een van de volgende onderwerpen in de Documentatie van Azure Key Vault voor meer informatie:
Belangrijk
Het is niet mogelijk om een versleutelingsbereik te verwijderen.
Facturering voor versleutelingsbereiken
Wanneer u een versleutelingsbereik inschakelt, wordt u minimaal 30 dagen gefactureerd. Na 30 dagen worden kosten voor een versleutelingsbereik naar rato per uur berekend.
Als u het versleutelingsbereik binnen 30 dagen uitschakelt, worden er nog steeds 30 dagen gefactureerd. Als u het versleutelingsbereik na 30 dagen uitschakelt, worden er kosten in rekening gebracht voor die 30 dagen plus het aantal uren dat het versleutelingsbereik na 30 dagen van kracht was.
Schakel versleutelingsbereiken uit die niet nodig zijn om onnodige kosten te voorkomen.
Zie prijzen voor Blob Storage voor meer informatie over prijzen voor versleutelingsbereiken.
Functieondersteuning
Ondersteuning voor deze functie kan worden beïnvloed door het inschakelen van Data Lake Storage Gen2, het NFS-protocol (Network File System) 3.0 of het SSH File Transfer Protocol (SFTP). Als u een van deze mogelijkheden hebt ingeschakeld, raadpleegt u de ondersteuning voor Blob Storage-functies in Azure Storage-accounts om ondersteuning voor deze functie te beoordelen.