Versleutelingsbereiken voor Blob Storage

Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar tot verschillende klanten behoren.

Zie Versleutelingsbereiken maken en beheren voor meer informatie over het werken met versleutelingsbereiken.

Hoe versleutelingsbereiken werken

Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Wanneer u een versleutelingsbereik definieert, geeft u een sleutel op die mogelijk is afgestemd op een container of een afzonderlijke blob. Wanneer het versleutelingsbereik wordt toegepast op een blob, wordt de blob versleuteld met die sleutel. Wanneer het versleutelingsbereik wordt toegepast op een container, fungeert dit als het standaardbereik voor blobs in die container, zodat alle blobs die naar die container worden geüpload, met dezelfde sleutel kunnen worden versleuteld. De container kan worden geconfigureerd om het standaardversleutelingsbereik voor alle blobs in de container af te dwingen of om toe te staan dat een afzonderlijke blob wordt geüpload naar de container met een ander versleutelingsbereik dan de standaardwaarde.

Leesbewerkingen op een blob die is gemaakt met een versleutelingsbereik, worden transparant uitgevoerd, zolang het versleutelingsbereik niet is uitgeschakeld.

Sleutelbeheer

Wanneer u een versleutelingsbereik definieert, kunt u opgeven of het bereik wordt beveiligd met een door Microsoft beheerde sleutel of met een door de klant beheerde sleutel die is opgeslagen in Azure Key Vault. Verschillende versleutelingsbereiken in hetzelfde opslagaccount kunnen gebruikmaken van door Microsoft beheerde of door de klant beheerde sleutels. U kunt ook het type sleutel dat wordt gebruikt voor het beveiligen van een versleutelingsbereik van een door de klant beheerde sleutel naar een door Microsoft beheerde sleutel, of omgekeerd, op elk gewenst moment overschakelen. Zie Door de klant beheerde sleutels voor Azure Storage-versleuteling voor meer informatie over door de klant beheerde sleutels. Zie Informatie over het beheer van versleutelingssleutels voor meer informatie over door Microsoft beheerde sleutels.

Als u een versleutelingsbereik definieert met een door de klant beheerde sleutel, kunt u ervoor kiezen om de sleutelversie automatisch of handmatig bij te werken. Als u ervoor kiest om de sleutelversie automatisch bij te werken, controleert Azure Storage de sleutelkluis of beheerde HSM dagelijks voor een nieuwe versie van de door de klant beheerde sleutel en werkt de sleutel automatisch bij naar de nieuwste versie. Zie De sleutelversie bijwerken voor een door de klant beheerde sleutel voor meer informatie over het bijwerken van de sleutelversie.

Azure Policy biedt een ingebouwd beleid om te vereisen dat versleutelingsbereiken gebruikmaken van door de klant beheerde sleutels. Zie de sectie Opslag in Azure Policy ingebouwde beleidsdefinities voor meer informatie.

Een opslagaccount kan maximaal 10.000 versleutelingsbereiken hebben die zijn beveiligd met door de klant beheerde sleutels waarvoor de sleutelversie automatisch wordt bijgewerkt. Als uw opslagaccount al 10.000 versleutelingsbereiken heeft die zijn beveiligd met door de klant beheerde sleutels die automatisch worden bijgewerkt, moet de sleutelversie handmatig worden bijgewerkt voor eventuele extra versleutelingsbereiken die zijn beveiligd met door de klant beheerde sleutels.

Infrastructuurversleuteling

Infrastructuurversleuteling in Azure Storage maakt dubbele versleuteling van gegevens mogelijk. Met infrastructuurversleuteling worden gegevens twee keer versleuteld, één keer op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels.

Infrastructuurversleuteling wordt ondersteund voor een versleutelingsbereik en op het niveau van het opslagaccount. Als infrastructuurversleuteling is ingeschakeld voor een account, maakt elk versleutelingsbereik dat voor dat account is gemaakt automatisch gebruik van infrastructuurversleuteling. Als infrastructuurversleuteling niet is ingeschakeld op accountniveau, kunt u dit inschakelen voor een versleutelingsbereik op het moment dat u het bereik maakt. De instelling voor infrastructuurversleuteling voor een versleutelingsbereik kan niet worden gewijzigd nadat het bereik is gemaakt.

Zie Infrastructuurversleuteling inschakelen voor dubbele versleuteling van gegevens voor meer informatie over infrastructuurversleuteling.

Versleutelingsbereiken voor containers en blobs

Wanneer u een container maakt, kunt u een standaardversleutelingsbereik opgeven voor de blobs die vervolgens naar die container worden geüpload. Wanneer u een standaardversleutelingsbereik voor een container opgeeft, kunt u bepalen hoe het standaardversleutelingsbereik wordt afgedwongen:

  • U kunt vereisen dat alle blobs die naar de container zijn geüpload, gebruikmaken van het standaardversleutelingsbereik. In dit geval wordt elke blob in de container versleuteld met dezelfde sleutel.
  • U kunt toestaan dat een client het standaardversleutelingsbereik voor de container overschrijft, zodat een blob kan worden geüpload met een ander versleutelingsbereik dan het standaardbereik. In dit geval kunnen de blobs in de container worden versleuteld met verschillende sleutels.

De volgende tabel bevat een overzicht van het gedrag van een blobuploadbewerking, afhankelijk van hoe het standaardversleutelingsbereik is geconfigureerd voor de container:

Het versleutelingsbereik dat is gedefinieerd voor de container is... Een blob uploaden met het standaardversleutelingsbereik... Een blob uploaden met een ander versleutelingsbereik dan het standaardbereik...
Een standaardversleutelingsbereik met toegestane onderdrukkingen Slaagt Slaagt
Een standaardversleutelingsbereik met onderdrukkingen verboden Slaagt Mislukt

Er moet een standaardversleutelingsbereik worden opgegeven voor een container op het moment dat de container wordt gemaakt.

Als er geen standaardversleutelingsbereik is opgegeven voor de container, kunt u een blob uploaden met behulp van elk versleutelingsbereik dat u hebt gedefinieerd voor het opslagaccount. Het versleutelingsbereik moet worden opgegeven op het moment dat de blob wordt geüpload.

Wanneer u een nieuwe blob uploadt met een versleutelingsbereik, kunt u de standaardtoegangslaag voor die blob niet wijzigen. U kunt ook de toegangslaag voor een bestaande blob die gebruikmaakt van een versleutelingsbereik niet wijzigen. Zie dynamische , statische en archieftoegangslagen voor blobgegevens voor meer informatie over toegangslagen.

Een versleutelingsbereik uitschakelen

Wanneer u een versleutelingsbereik uitschakelt, mislukken eventuele volgende lees- of schrijfbewerkingen met het versleutelingsbereik met HTTP-foutcode 403 (verboden). Als u het versleutelingsbereik opnieuw inschakelt, worden lees- en schrijfbewerkingen normaal opnieuw uitgevoerd.

Wanneer een versleutelingsbereik is uitgeschakeld, worden er geen kosten meer in rekening gebracht. Schakel versleutelingsbereiken uit die niet nodig zijn om onnodige kosten te voorkomen.

Als uw versleutelingsbereik is beveiligd met een door de klant beheerde sleutel en u de sleutel in de sleutelkluis intrekt, worden de gegevens niet toegankelijk. Zorg ervoor dat u het versleutelingsbereik uitschakelt voordat u de sleutel in de sleutelkluis aanroept om te voorkomen dat er kosten in rekening worden gebracht voor het versleutelingsbereik.

Houd er rekening mee dat door de klant beheerde sleutels worden beveiligd door beveiliging tegen voorlopig verwijderen en opschonen in de sleutelkluis en dat een verwijderde sleutel onderhevig is aan het gedrag dat door deze eigenschappen is gedefinieerd. Zie een van de volgende onderwerpen in de documentatie van Azure Key Vault voor meer informatie:

Belangrijk

Het is niet mogelijk om een versleutelingsbereik te verwijderen.

Functieondersteuning

Ondersteuning voor deze functie kan worden beïnvloed door het inschakelen van Data Lake Storage Gen2, NFS 3.0-protocol (Network File System) 3.0 of het SSH File Transfer Protocol (SFTP).

Als u een van deze mogelijkheden hebt ingeschakeld, raadpleegt u ondersteuning voor Blob Storage-functies in Azure Storage-accounts om ondersteuning voor deze functie te beoordelen.

Volgende stappen