Infrastructuurversleuteling inschakelen voor dubbele versleuteling van gegevens

Azure Storage versleutelt automatisch alle gegevens in een opslagaccount op serviceniveau met behulp van 256-bits AES met GCM-modusversleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoet aan FIPS 140-2. Klanten die een hogere mate van zekerheid nodig hebben dat hun gegevens veilig zijn, kunnen ook 256-bits AES met CBC-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur voor dubbele versleuteling. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels mogelijk wordt aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.

Infrastructuurversleuteling kan worden ingeschakeld voor het hele opslagaccount of voor een versleutelingsbereik binnen een account. Wanneer infrastructuurversleuteling is ingeschakeld voor een opslagaccount of een versleutelingsbereik, worden gegevens tweemaal versleuteld ( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels.

Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault of Key Vault Managed Hardware Security Model (HSM). Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel. Zie Over versleutelingssleutelbeheer voor meer informatie over sleutelbeheer met Azure Storage-versleuteling.

Als u uw gegevens dubbel wilt versleutelen, moet u eerst een opslagaccount of een versleutelingsbereik maken dat is geconfigureerd voor infrastructuurversleuteling. In dit artikel wordt beschreven hoe u infrastructuurversleuteling inschakelt.

Belangrijk

Infrastructuurversleuteling wordt aanbevolen voor scenario's waarbij het dubbel versleutelen van gegevens nodig is voor nalevingsvereisten. Voor de meeste andere scenario's biedt Azure Storage-versleuteling een voldoende krachtig versleutelingsalgoritmen en is het onwaarschijnlijk dat u infrastructuurversleuteling gebruikt.

Een account maken waarvoor infrastructuurversleuteling is ingeschakeld

Als u infrastructuurversleuteling voor een opslagaccount wilt inschakelen, moet u een opslagaccount configureren om infrastructuurversleuteling te gebruiken op het moment dat u het account maakt. Infrastructuurversleuteling kan niet worden ingeschakeld of uitgeschakeld nadat het account is gemaakt. Het opslagaccount moet van het type algemeen gebruik v2, premium blok-blob, premium pagina-blob of Premium-bestandsshares zijn.

Azure-portal

Als u Azure Portal wilt gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld, voert u de volgende stappen uit:

1. Navigeer in Azure Portal naar de pagina Opslagaccounts .

2. Kies de knop Toevoegen om een nieuw algemeen v2-account, premium blok-blob, Premium-pagina-blob of Premium-bestandsshareaccount toe te voegen.

3. Ga op het tabblad Versleuteling naar Infrastructuurversleuteling inschakelen en selecteer Ingeschakeld.

4. Selecteer Beoordelen en maken om het maken van het opslagaccount te voltooien.

   

Voer de volgende stappen uit om te controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount met Azure Portal:

1. Ga in het Navigeer naar uw opslagaccount in de Azure-portal.

2. Kies Versleuteling onder Beveiliging en netwerken.

   

PowerShell

Als u PowerShell wilt gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld, moet u ervoor zorgen dat u de Az.Storage PowerShell-module, versie 2.2.0 of hoger, hebt geïnstalleerd. Zie Azure PowerShell installeren voor meer informatie.

Maak vervolgens een opslagaccount voor algemene doeleinden v2, premium blok-blob, Premium-pagina-blob of Premium-bestandsshare door de opdracht New-AzStorageAccount aan te roepen. Neem de -RequireInfrastructureEncryption optie op om infrastructuurversleuteling in te schakelen.

In het volgende voorbeeld ziet u hoe u een v2-opslagaccount voor algemeen gebruik maakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat infrastructuurversleuteling is ingeschakeld voor dubbele versleuteling van gegevens. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Als u wilt controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount, roept u de opdracht Get-AzStorageAccount aan. Met deze opdracht wordt een set eigenschappen van het opslagaccount en de bijbehorende waarden geretourneerd. Haal het RequireInfrastructureEncryption veld in de Encryption eigenschap op en controleer of het is ingesteld op True.

In het volgende voorbeeld wordt de waarde van de RequireInfrastructureEncryption eigenschap opgehaald. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure-CLI

Als u Azure CLI wilt gebruiken om een opslagaccount te maken waarvoor infrastructuurversleuteling is ingeschakeld, controleert u of u Azure CLI versie 2.8.0 of hoger hebt geïnstalleerd. Zie De Azure CLI installeren voor meer informatie.

Maak vervolgens een algemeen v2-, premium blok-blob-, Premium-pagina-blob- of Premium-bestandsshareaccount door de opdracht az storage account create aan te roepen en de --require-infrastructure-encryption option opdracht voor het inschakelen van infrastructuurversleuteling op te nemen.

In het volgende voorbeeld ziet u hoe u een v2-opslagaccount voor algemeen gebruik maakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en dat infrastructuurversleuteling is ingeschakeld voor dubbele versleuteling van gegevens. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Als u wilt controleren of infrastructuurversleuteling is ingeschakeld voor een opslagaccount, roept u de opdracht az storage account show aan. Met deze opdracht wordt een set eigenschappen van het opslagaccount en de bijbehorende waarden geretourneerd. Zoek het requireInfrastructureEncryption veld in de encryption eigenschap en controleer of het is ingesteld op true.

In het volgende voorbeeld wordt de waarde van de requireInfrastructureEncryption eigenschap opgehaald. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Sjabloon

In het volgende JSON-voorbeeld wordt een v2-opslagaccount voor algemeen gebruik gemaakt dat is geconfigureerd voor geografisch redundante opslag met leestoegang (RA-GRS) en waarvoor infrastructuurversleuteling is ingeschakeld voor dubbele versleuteling van gegevens. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy biedt een ingebouwd beleid om te vereisen dat infrastructuurversleuteling wordt ingeschakeld voor een opslagaccount. Zie de sectie Storage in ingebouwde azure Policy-beleidsdefinities voor meer informatie.

Een versleutelingsbereik maken waarvoor infrastructuurversleuteling is ingeschakeld

Als infrastructuurversleuteling is ingeschakeld voor een account, gebruikt elk versleutelingsbereik dat voor dat account is gemaakt automatisch infrastructuurversleuteling. Als infrastructuurversleuteling niet is ingeschakeld op accountniveau, kunt u deze inschakelen voor een versleutelingsbereik op het moment dat u het bereik maakt. De instelling voor infrastructuurversleuteling voor een versleutelingsbereik kan niet worden gewijzigd nadat het bereik is gemaakt. Zie Een versleutelingsbereik maken voor meer informatie.

Volgende stappen

• Azure Storage-versleuteling voor inactieve gegevens
• Door klant beheerde sleutels voor Azure Storage-versleuteling
• Versleutelingsbereiken voor Blob Storage