Azure Storage-versleuteling voor inactieve gegevens
Azure Storage maakt gebruik van SSE (Service Side Encryption) om uw gegevens automatisch te versleutelen wanneer deze worden bewaard in de cloud. Azure Storage-versleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Microsoft raadt aan om versleuteling aan de servicezijde te gebruiken om uw gegevens voor de meeste scenario's te beveiligen. De Azure Storage-clientbibliotheken voor Blob Storage en Queue Storage bieden echter ook versleuteling aan de clientzijde voor klanten die gegevens op de client moeten versleutelen. Zie Versleuteling aan de clientzijde voor blobs en wachtrijen voor meer informatie.
Over versleuteling aan de servicezijde van Azure Storage
Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoen aan FIPS 140-2. Azure Storage-versleuteling is vergelijkbaar met BitLocker-versleuteling in Windows.
Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, waaronder Zowel Resource Manager als klassieke opslagaccounts. Azure Storage-versleuteling kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling.
Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag (Standard of Premium), de toegangslaag (dynamisch of statisch) of het implementatiemodel (Azure Resource Manager of klassiek). Alle nieuwe en bestaande blok-blobs, toevoeg-blobs en pagina-blobs worden versleuteld, inclusief blobs in de archieflaag. Alle opties voor Azure Storage-redundantie ondersteunen versleuteling en alle gegevens in de primaire en secundaire regio's worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage-resources worden versleuteld, waaronder blobs, schijven, bestanden, wachtrijen en tabellen. Alle objectmetagegevens worden ook versleuteld.
Er zijn geen extra kosten verbonden aan Azure Storage-versleuteling.
Zie Cryptografie-API: Volgende generatie voor meer informatie over de cryptografische modules die onderliggende Azure Storage-versleuteling zijn.
Zie Voor meer informatie over versleuteling en sleutelbeheer voor beheerde Azure-schijven, versleuteling aan de serverzijde van beheerde Azure-schijven.
Over versleutelingssleutelbeheer
Gegevens in een nieuw opslagaccount worden standaard versleuteld met door Microsoft beheerde sleutels. U kunt blijven vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw gegevens of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, hebt u twee opties. U kunt het type sleutelbeheer of beide gebruiken:
- U kunt een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files.1,2 Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Model (HSM). Zie Door de klant beheerde sleutels gebruiken voor Azure Storage-versleuteling voor meer informatie over door de klant beheerde sleutels.
- U kunt een door de klant geleverde sleutel opgeven voor Blob Storage-bewerkingen. Een client die een lees- of schrijfaanvraag indient voor Blob Storage, kan een versleutelingssleutel bevatten voor de aanvraag voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld. Zie Een versleutelingssleutel opgeven voor een aanvraag bij Blob Storage voor meer informatie over door de klant verstrekte sleutels.
Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar tot verschillende klanten behoren. Versleutelingsbereiken kunnen door Microsoft beheerde sleutels of door de klant beheerde sleutels gebruiken. Zie Versleutelingsbereiken voor Blob Storage voor meer informatie over versleutelingsbereiken.
In de volgende tabel worden de opties voor sleutelbeheer voor Azure Storage-versleuteling vergeleken.
| Parameter voor sleutelbeheer | Door Microsoft beheerde sleutels | Door klant beheerde sleutels | Door de klant verstrekte sleutels |
|---|---|---|---|
| Versleutelings-/ontsleutelingsbewerkingen | Azure | Azure | Azure |
| Ondersteunde Azure Storage-services | Alle | Blob Storage, Azure Files1,2 | Blob Storage |
| Sleutelopslag | Microsoft Key Store | Azure Key Vault of Key Vault HSM | Het eigen sleutelarchief van de klant |
| Verantwoordelijkheid voor sleutelrotatie | Microsoft | Customer | Customer |
| Sleutelbeheer | Microsoft | Customer | Customer |
| Sleutelbereik | Account (standaard), container of blob | Account (standaard), container of blob | N.v.t. |
1 Zie Een account maken dat door de klant beheerde sleutels voor wachtrijen ondersteunt voor informatie over het maken van een account dat ondersteuning biedt voor door de klant beheerde sleutels voor wachtrijen.
2 Voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Table Storage, raadpleegt u Een account maken dat door de klant beheerde sleutels voor tabellen ondersteunt.
Notitie
Door Microsoft beheerde sleutels worden op de juiste wijze geroteerd volgens nalevingsvereisten. Als u specifieke vereisten voor sleutelrotatie hebt, raadt Microsoft u aan om over te stappen op door de klant beheerde sleutels, zodat u de rotatie zelf kunt beheren en controleren.
Gegevens dubbel versleutelen met infrastructuurversleuteling
Klanten die hoge mate van zekerheid vereisen dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount tweemaal versleuteld ( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarin een van de versleutelingsalgoritmen of sleutels kan worden aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.
Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault. Versleuteling op infrastructuurniveau is afhankelijk van door Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel.
Zie Een opslagaccount maken met infrastructuurversleuteling ingeschakeld voor dubbele versleuteling van gegevens voor meer informatie over het maken van een opslagaccount dat infrastructuurversleuteling mogelijk maakt.
Versleuteling aan de clientzijde voor blobs en wachtrijen
De Azure Blob Storage-clientbibliotheken voor .NET, Java en Python ondersteunen het versleutelen van gegevens in clienttoepassingen voordat ze naar Azure Storage worden geĆ¼pload en gegevens ontsleutelen tijdens het downloaden naar de client. De Queue Storage-clientbibliotheken voor .NET en Python ondersteunen ook versleuteling aan de clientzijde.
Notitie
Overweeg om de versleutelingsfuncties aan de servicezijde van Azure Storage te gebruiken om uw gegevens te beveiligen, in plaats van versleuteling aan de clientzijde.
De Blob Storage- en Queue Storage-clientbibliotheken maken gebruik van AES om gebruikersgegevens te versleutelen. Er zijn twee versies van versleuteling aan de clientzijde beschikbaar in de clientbibliotheken:
- Versie 2 maakt gebruik van de GCM-modus (Galois/Counter Mode) met AES. De Blob Storage- en Queue Storage SDK's ondersteunen versleuteling aan de clientzijde met v2.
- Versie 1 maakt gebruik van de CBC-modus (Cipher Block Chaining) met AES. De Blob Storage-, Queue Storage- en Table Storage-SDK's ondersteunen versleuteling aan de clientzijde met v1.
Waarschuwing
Het gebruik van versleuteling aan de clientzijde v1 wordt niet meer aanbevolen vanwege een beveiligingsprobleem in de implementatie van de CBC-modus van de clientbibliotheek. Zie Azure Storage voor meer informatie over dit beveiligingsprobleem versleuteling aan de clientzijde bijwerken in SDK om beveiligingsproblemen op te lossen. Als u momenteel v1 gebruikt, wordt u aangeraden uw toepassing bij te werken voor het gebruik van versleuteling aan de clientzijde v2 en uw gegevens te migreren.
De Azure Table Storage SDK ondersteunt alleen versleuteling aan de clientzijde v1. Het gebruik van versleuteling aan de clientzijde met Table Storage wordt niet aanbevolen.
De volgende tabel toont welke clientbibliotheken ondersteuning bieden voor welke versies van versleuteling aan de clientzijde en richtlijnen biedt voor het migreren naar versleuteling aan de clientzijde v2.
| Clientbibliotheek | Ondersteunde versie van versleuteling aan de clientzijde | Aanbevolen migratie | Aanvullende richtlijnen |
|---|---|---|---|
| Blob Storage-clientbibliotheken voor .NET (versie 12.13.0 en hoger), Java (versie 12.18.0 en hoger) en Python (versie 12.13.0 en hoger) | 2.0 1.0 (alleen voor achterwaartse compatibiliteit) |
Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. Download versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2. |
Versleuteling aan de clientzijde voor blobs |
| Blob Storage-clientbibliotheek voor .NET (versie 12.12.0 en lager), Java (versie 12.17.0 en lager) en Python (versie 12.12.0 en lager) | 1.0 (niet aanbevolen) | Werk uw toepassing bij om een versie van de Blob Storage SDK te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie de SDK-ondersteuningsmatrix voor versleuteling aan de clientzijde voor meer informatie. Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. Download versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2. |
Versleuteling aan de clientzijde voor blobs |
| Queue Storage-clientbibliotheek voor .NET (versie 12.11.0 en hoger) en Python (versie 12.4 en hoger) | 2.0 1.0 (alleen voor achterwaartse compatibiliteit) |
Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. | Versleuteling aan de clientzijde voor wachtrijen |
| Queue Storage-clientbibliotheek voor .NET (versie 12.10.0 en lager) en Python (versie 12.3.0 en lager) | 1.0 (niet aanbevolen) | Werk uw toepassing bij om een versie van de Queue Storage SDK-versie te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie SDK-ondersteuningsmatrix voor versleuteling aan clientzijde Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. |
Versleuteling aan de clientzijde voor wachtrijen |
| Table Storage-clientbibliotheek voor .NET, Java en Python | 1.0 (niet aanbevolen) | Niet beschikbaar. | N.v.t. |