Infrastructuurversleuteling inschakelen voor dubbele versleuteling van gegevens
Artikel
Azure Storage versleutelt automatisch alle gegevens in een opslagaccount op serviceniveau met behulp van 256-bits AES met GCM-modusversleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoet aan FIPS 140-2. Klanten die een hogere mate van zekerheid nodig hebben dat hun gegevens veilig zijn, kunnen ook 256-bits AES met CBC-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur voor dubbele versleuteling. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels mogelijk wordt aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.
Infrastructuurversleuteling kan worden ingeschakeld voor het hele opslagaccount of voor een versleutelingsbereik binnen een account. Wanneer infrastructuurversleuteling is ingeschakeld voor een opslagaccount of een versleutelingsbereik, worden gegevens tweemaal versleuteld ( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels.
Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault of Key Vault Managed Hardware Security Model (HSM). Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel. Zie Over versleutelingssleutelbeheer voor meer informatie over sleutelbeheer met Azure Storage-versleuteling.
Als u uw gegevens dubbel wilt versleutelen, moet u eerst een opslagaccount of een versleutelingsbereik maken dat is geconfigureerd voor infrastructuurversleuteling. In dit artikel wordt beschreven hoe u infrastructuurversleuteling inschakelt.
Belangrijk
Infrastructuurversleuteling wordt aanbevolen voor scenario's waarbij het dubbel versleutelen van gegevens nodig is voor nalevingsvereisten. Voor de meeste andere scenario's biedt Azure Storage-versleuteling een voldoende krachtig versleutelingsalgoritmen en is het onwaarschijnlijk dat u infrastructuurversleuteling gebruikt.
Een account maken waarvoor infrastructuurversleuteling is ingeschakeld
Als u infrastructuurversleuteling voor een opslagaccount wilt inschakelen, moet u een opslagaccount configureren om infrastructuurversleuteling te gebruiken op het moment dat u het account maakt. Infrastructuurversleuteling kan niet worden ingeschakeld of uitgeschakeld nadat het account is gemaakt. Het opslagaccount moet van het type algemeen gebruik v2 of premium blok-blob zijn.
Als u Azure Portal wilt gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld, voert u de volgende stappen uit:
Navigeer in Azure Portal naar de pagina Opslagaccounts .
Kies de knop Toevoegen om een nieuw algemeen v2- of Premium blok-blobopslagaccount toe te voegen.
Ga op het tabblad Versleuteling naar Infrastructuurversleuteling inschakelen en selecteer Ingeschakeld.
Selecteer Beoordelen en maken om het maken van het opslagaccount te voltooien.
Voer de volgende stappen uit om te controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount met Azure Portal:
Ga in Azure Portal naar uw opslagaccount.
Kies Versleuteling onder Beveiliging en netwerken.
Als u PowerShell wilt gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld, moet u ervoor zorgen dat u de Az.Storage PowerShell-module, versie 2.2.0 of hoger, hebt geïnstalleerd. Zie Azure PowerShell installeren voor meer informatie.
Maak vervolgens een v2- of Premium-account voor blok-blobopslag door de opdracht New-AzStorageAccount aan te roepen. Neem de -RequireInfrastructureEncryption optie op om infrastructuurversleuteling in te schakelen.
In het volgende voorbeeld ziet u hoe u een v2-opslagaccount voor algemeen gebruik maakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat infrastructuurversleuteling is ingeschakeld voor dubbele versleuteling van gegevens. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:
Als u wilt controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount, roept u de opdracht Get-AzStorageAccount aan. Met deze opdracht wordt een set eigenschappen van het opslagaccount en de bijbehorende waarden geretourneerd. Haal het RequireInfrastructureEncryption veld in de Encryption eigenschap op en controleer of het is ingesteld op True.
In het volgende voorbeeld wordt de waarde van de RequireInfrastructureEncryption eigenschap opgehaald. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:
Als u Azure CLI wilt gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld, controleert u of u Azure CLI versie 2.8.0 of hoger hebt geïnstalleerd. Zie De Azure CLI installeren voor meer informatie.
Maak vervolgens een algemeen v2- of premium blok-blob-opslagaccount door de opdracht az storage account create aan te roepen en de --require-infrastructure-encryption option opdracht voor het inschakelen van infrastructuurversleuteling op te nemen.
In het volgende voorbeeld ziet u hoe u een v2-opslagaccount voor algemeen gebruik maakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat infrastructuurversleuteling is ingeschakeld voor dubbele versleuteling van gegevens. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:
Als u wilt controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount, roept u de opdracht az storage account show aan. Met deze opdracht wordt een set eigenschappen van het opslagaccount en de bijbehorende waarden geretourneerd. Zoek het requireInfrastructureEncryption veld in de encryption eigenschap en controleer of het is ingesteld op true.
In het volgende voorbeeld wordt de waarde van de requireInfrastructureEncryption eigenschap opgehaald. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
In het volgende JSON-voorbeeld wordt een v2-opslagaccount voor algemeen gebruik gemaakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en waarvoor infrastructuurversleuteling is ingeschakeld voor dubbele versleuteling van gegevens. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:
Azure Policy biedt een ingebouwd beleid om te vereisen dat infrastructuurversleuteling wordt ingeschakeld voor een opslagaccount. Zie de sectie Storage in ingebouwde azure Policy-beleidsdefinities voor meer informatie.
Een versleutelingsbereik maken waarvoor infrastructuurversleuteling is ingeschakeld
Als infrastructuurversleuteling is ingeschakeld voor een account, gebruikt elk versleutelingsbereik dat voor dat account is gemaakt automatisch infrastructuurversleuteling. Als infrastructuurversleuteling niet is ingeschakeld op accountniveau, kunt u deze inschakelen voor een versleutelingsbereik op het moment dat u het bereik maakt. De instelling voor infrastructuurversleuteling voor een versleutelingsbereik kan niet worden gewijzigd nadat het bereik is gemaakt. Zie Een versleutelingsbereik maken voor meer informatie.
