Azure Storage-versleuteling voor inactieve gegevens

Azure Storage maakt gebruik van versleuteling aan de servicezijde (SSE) om uw gegevens automatisch te versleutelen wanneer deze in de cloud worden bewaard. Met Azure Storage-versleuteling worden uw gegevens beschermd en kunt u voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.

Microsoft raadt u aan om versleuteling aan de servicezijde te gebruiken om uw gegevens voor de meeste scenario's te beveiligen. De Azure Storage-clientbibliotheken voor Blob Storage en Queue Storage bieden echter ook versleuteling aan de clientzijde voor klanten die gegevens op de client moeten versleutelen. Zie Versleuteling aan clientzijde voor blobs en wachtrijen voor meer informatie.

Over versleuteling aan de servicezijde van Azure Storage

Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste beschikbare blokcoderingen, en zijn compatibel met FIPS 140-2. Azure Storage-versleuteling is vergelijkbaar met BitLocker-versleuteling in Windows.

Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, inclusief zowel Resource Manager als klassieke opslagaccounts. Azure Storage-versleuteling kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling.

Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag (Standard of Premium), de toegangslaag (dynamisch of statisch) of het implementatiemodel (Azure Resource Manager of klassiek). Alle blobs in de archieflaag worden ook versleuteld. Alle opties voor Azure Storage-redundantie ondersteunen versleuteling en alle gegevens in zowel de primaire als secundaire regio's worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage-resources zijn versleuteld, inclusief blobs, schijven, bestanden, wachtrijen en tabellen. Alle metagegevens van objecten worden ook versleuteld. Er zijn geen extra kosten voor Azure Storage-versleuteling.

Elke blok-blob, toevoeg-blob of pagina-blob die na 20 oktober 2017 naar Azure Storage is geschreven, wordt versleuteld. Blobs die vóór deze datum zijn gemaakt, worden nog steeds versleuteld via een achtergrondproces. Als u de versleuteling wilt afdwingen van een blob die vóór 20 oktober 2017 is gemaakt, kunt u de blob herschrijven. Zie De versleutelingsstatus van een blob controleren voor meer informatie over het controleren van de versleutelingsstatus van een blob.

Zie Cryptography API: Next Generation (Cryptografie-API: volgende generatie) voor meer informatie over de cryptografische modules die ten grondslagliggen aan Azure Storage-versleuteling.

Zie Versleuteling van beheerde Azure-schijven aan de serverzijde voor informatie over versleuteling en sleutelbeheer voor beheerde Azure-schijven.

Over versleutelingssleutelbeheer

Gegevens in een nieuw opslagaccount worden standaard versleuteld met Microsoft beheerde sleutels. U kunt blijven vertrouwen op Microsoft beheerde sleutels voor de versleuteling van uw gegevens, of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, hebt u twee opties. U kunt beide typen sleutelbeheer of beide gebruiken:

  • U kunt een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files. 1,2 Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Model (HSM). Zie Door de klant beheerde sleutels gebruiken voor Azure Storage-versleuteling voor meer informatie over door de klant beheerde sleutels.
  • U kunt een door de klant verstrekte sleutel opgeven voor Blob Storage-bewerkingen. Een client die een lees- of schrijfaanvraag voor Blob Storage maakt, kan een versleutelingssleutel in de aanvraag opnemen voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld. Zie Een versleutelingssleutel opgeven bij een aanvraag voor Blob Storage voor meer informatie over door de klant geleverde sleutels.

Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar van verschillende klanten zijn. Versleutelingsbereiken kunnen gebruikmaken van door Microsoft beheerde sleutels of door de klant beheerde sleutels. Zie Versleutelingsbereiken voor Blob Storage voor meer informatie over versleutelingsbereiken.

In de volgende tabel worden de opties voor sleutelbeheer voor Azure Storage-versleuteling vergeleken.

Sleutelbeheerparameter Door Microsoft beheerde sleutels Door klant beheerde sleutels Door de klant verstrekte sleutels
Versleutelings-/ontsleutelingsbewerkingen Azure Azure Azure
Ondersteunde Azure Storage-services Alles Blob Storage, Azure Files 1,2 Blob Storage
Sleutelopslag Microsoft sleutelarchief Azure Key Vault of Key Vault HSM Het eigen sleutelarchief van de klant
Verantwoordelijkheid voor sleutelrotatie Microsoft Klant Klant
Sleutelbeheer Microsoft Klant Klant
Sleutelbereik Account (standaard), container of blob Account (standaard), container of blob N.v.t.

1 Zie Een account maken dat ondersteuning biedt voor door de klant beheerde sleutels voor wachtrijopslag voor informatie over het maken van een account dat ondersteuning biedt voor door de klant beheerde sleutels voor wachtrijen.
2 Zie Een account maken dat door de klant beheerde sleutels voor tabellen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Table Storage.

Notitie

Microsoft beheerde sleutels worden op de juiste manier geroteerd volgens de nalevingsvereisten. Als u specifieke vereisten voor sleutelrotatie hebt, raadt Microsoft u aan over te stappen op door de klant beheerde sleutels, zodat u de rotatie zelf kunt beheren en controleren.

Gegevens dubbel versleutelen met infrastructuurversleuteling

Klanten die een hoge mate van zekerheid nodig hebben dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld, één keer op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarin een van de versleutelingsalgoritmen of sleutels kan worden aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.

Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault. Versleuteling op infrastructuurniveau is afhankelijk van Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel.

Zie Een opslagaccount maken met infrastructuurversleuteling ingeschakeld voor dubbele versleuteling van gegevens voor meer informatie over het maken van een opslagaccount dat infrastructuurversleuteling mogelijk maakt.

Versleuteling aan clientzijde voor blobs en wachtrijen

De Azure Blob Storage clientbibliotheken voor .NET, Java en Python ondersteunen het versleutelen van gegevens in clienttoepassingen voordat ze worden geüpload naar Azure Storage en het ontsleutelen van gegevens tijdens het downloaden naar de client. De Queue Storage-clientbibliotheken voor .NET en Python ondersteunen ook versleuteling aan de clientzijde.

Notitie

Overweeg het gebruik van de versleutelingsfuncties aan de servicezijde van Azure Storage om uw gegevens te beveiligen in plaats van versleuteling aan de clientzijde.

De Blob Storage- en Queue Storage-clientbibliotheken maken gebruik van AES om gebruikersgegevens te versleutelen. Er zijn twee versies van versleuteling aan de clientzijde beschikbaar in de clientbibliotheken:

  • Versie 2 maakt gebruik van de modus Galois/Counter Mode (GCM) met AES. De SDK's voor Blob Storage en Queue Storage ondersteunen versleuteling aan de clientzijde met v2.
  • Versie 1 maakt gebruik van de CBC-modus (Cipher Block Chaining) met AES. De SDK's Blob Storage, Queue Storage en Table Storage ondersteunen versleuteling aan de clientzijde met v1.

Waarschuwing

Het gebruik van versleuteling aan de clientzijde v1 wordt niet meer aanbevolen vanwege een beveiligingsprobleem in de implementatie van de CBC-modus van de clientbibliotheek. Zie Azure Storage update client-side encryption in SDK to address security vulnerability (Versleuteling aan de clientzijde bijwerken in SDK om beveiligingsproblemen op te lossen) voor meer informatie over dit beveiligingsprobleem. Als u momenteel v1 gebruikt, raden we u aan uw toepassing bij te werken om versleuteling aan de clientzijde v2 te gebruiken en uw gegevens te migreren.

De Azure Table Storage SDK ondersteunt alleen versleuteling aan clientzijde v1. Het gebruik van versleuteling aan de clientzijde met Table Storage wordt niet aanbevolen.

De volgende tabel laat zien welke clientbibliotheken welke versies van versleuteling aan de clientzijde ondersteunen en biedt richtlijnen voor het migreren naar versleuteling aan de clientzijde v2.

Clientbibliotheek Ondersteunde versie van versleuteling aan clientzijde Aanbevolen migratie Aanvullende richtlijnen
Blob Storage-clientbibliotheken voor .NET (versie 12.13.0 en hoger), Java (versie 12.18.0 en hoger) en Python (versie 12.13.0 en hoger) 2,0

1.0 (alleen voor achterwaartse compatibiliteit)
Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken.

Download alle versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2.
Versleuteling aan clientzijde voor blobs
Blob Storage-clientbibliotheek voor .NET (versie 12.12.0 en hoger), Java (versie 12.17.0 en hoger) en Python (versie 12.12.0 en hoger) 1.0 (niet aanbevolen) Werk uw toepassing bij om een versie van de Blob Storage SDK te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie SDK-ondersteuningsmatrix voor versleuteling aan clientzijde voor meer informatie.

Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken.

Download alle versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2.
Versleuteling aan clientzijde voor blobs
Queue Storage-clientbibliotheek voor .NET (versie 12.11.0 en hoger) en Python (versie 12.4 en hoger) 2,0

1.0 (alleen voor achterwaartse compatibiliteit)
Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken. Versleuteling aan clientzijde voor wachtrijen
Queue Storage-clientbibliotheek voor .NET (versie 12.10.0 en lager) en Python (versie 12.3.0 en hoger) 1.0 (niet aanbevolen) Werk uw toepassing bij om een versie van de Queue Storage SDK-versie te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie SDK-ondersteuningsmatrix voor versleuteling aan clientzijde

Werk uw code bij om versleuteling aan de clientzijde v2 te gebruiken.
Versleuteling aan clientzijde voor wachtrijen
Table Storage-clientbibliotheek voor .NET, Java en Python 1.0 (niet aanbevolen) Niet beschikbaar. N.v.t.

Volgende stappen