Infrastructuurversleuteling inschakelen voor dubbele versleuteling van gegevens

Azure Storage automatisch alle gegevens in een opslagaccount op serviceniveau versleutelt met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en compatibel is met FIPS 140-2. Klanten die een hogere mate van zekerheid nodig hebben dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het Azure Storage infrastructuurniveau voor dubbele versleuteling. Dubbele versleuteling van Azure Storage gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels mogelijk wordt aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.

Infrastructuurversleuteling kan worden ingeschakeld voor het hele opslagaccount of voor een versleutelingsbereik binnen een account. Wanneer infrastructuurversleuteling is ingeschakeld voor een opslagaccount of een versleutelingsbereik, worden gegevens tweemaal versleuteld ( eenmaal op serviceniveau en eenmaal op het niveau van de infrastructuur), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels.

Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault of Key Vault Managed Hardware Security Model (HSM) (preview). Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel. Zie Over versleutelingssleutelbeheer voor meer informatie over sleutelbeheer met Azure Storage versleuteling.

Als u uw gegevens dubbel wilt versleutelen, moet u eerst een opslagaccount of een versleutelingsbereik maken dat is geconfigureerd voor infrastructuurversleuteling. In dit artikel wordt beschreven hoe u infrastructuurversleuteling inschakelt.

Een account maken waarvoor infrastructuurversleuteling is ingeschakeld

Als u infrastructuurversleuteling voor een opslagaccount wilt inschakelen, moet u een opslagaccount configureren om infrastructuurversleuteling te gebruiken op het moment dat u het account maakt. Infrastructuurversleuteling kan niet worden ingeschakeld of uitgeschakeld nadat het account is gemaakt. Het opslagaccount moet van het type algemeen gebruik v2 of premium blok-blob zijn.

Voer de volgende stappen uit om de Azure Portal te gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld:

  1. Navigeer in de Azure Portal naar de pagina Storage accounts.

  2. Kies de knop Toevoegen om een nieuw algemeen v2- of Premium-account voor blok-blobopslag toe te voegen.

  3. Zoek op het tabblad Geavanceerd infrastructuurversleuteling en selecteer Ingeschakeld.

  4. Selecteer Beoordelen en maken om het opslagaccount te voltooien.

    Screenshot showing how to enable infrastructure encryption when creating account

Voer de volgende stappen uit om te controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount met de Azure Portal:

  1. Ga in Azure Portal naar uw opslagaccount.

  2. Kies Versleutelingonder Instellingen.

    Screenshot showing how to verify that infrastructure encryption is enabled for account

Azure Policy biedt een ingebouwd beleid om te vereisen dat infrastructuurversleuteling wordt ingeschakeld voor een opslagaccount. Zie de sectie Storage in Azure Policy ingebouwde beleidsdefinities voor meer informatie.

Een versleutelingsbereik maken waarvoor infrastructuurversleuteling is ingeschakeld

Als infrastructuurversleuteling is ingeschakeld voor een account, maakt elk versleutelingsbereik dat voor dat account is gemaakt automatisch gebruik van infrastructuurversleuteling. Als infrastructuurversleuteling niet is ingeschakeld op accountniveau, kunt u deze inschakelen voor een versleutelingsbereik op het moment dat u het bereik maakt. De instelling voor infrastructuurversleuteling voor een versleutelingsbereik kan niet worden gewijzigd nadat het bereik is gemaakt. Zie Een versleutelingsbereik maken voor meer informatie.

Volgende stappen