Włączanie szyfrowania infrastruktury na potrzeby podwójnego szyfrowania danych

Usługa Azure Storage automatycznie szyfruje wszystkie dane na koncie magazynu na poziomie usługi przy użyciu 256-bitowej AES z szyfrowaniem trybu GCM, jednym z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Klienci, którzy wymagają wyższego poziomu pewności, że ich dane są bezpieczne, mogą również włączyć 256-bitową AES z szyfrowaniem CBC na poziomie infrastruktury usługi Azure Storage na potrzeby podwójnego szyfrowania. Podwójne szyfrowanie danych usługi Azure Storage chroni przed scenariuszem, w którym może zostać naruszony jeden z algorytmów szyfrowania lub kluczy. W tym scenariuszu dodatkowa warstwa szyfrowania nadal chroni dane.

Szyfrowanie infrastruktury można włączyć dla całego konta magazynu lub dla zakresu szyfrowania w ramach konta. Gdy szyfrowanie infrastruktury jest włączone dla konta magazynu lub zakresu szyfrowania, dane są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami.

Szyfrowanie na poziomie usługi obsługuje korzystanie z kluczy zarządzanych przez firmę Microsoft lub kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault lub modelu zabezpieczeń sprzętu zarządzanego przez usługę Key Vault (HSM). Szyfrowanie na poziomie infrastruktury opiera się na kluczach zarządzanych przez firmę Microsoft i zawsze używa oddzielnego klucza. Aby uzyskać więcej informacji na temat zarządzania kluczami za pomocą szyfrowania usługi Azure Storage, zobacz About encryption key management (Informacje o zarządzaniu kluczami szyfrowania).

Aby podwójnie zaszyfrować dane, należy najpierw utworzyć konto magazynu lub zakres szyfrowania skonfigurowany na potrzeby szyfrowania infrastruktury. W tym artykule opisano sposób włączania szyfrowania infrastruktury.

Ważne

Szyfrowanie infrastruktury jest zalecane w scenariuszach, w których podwójne szyfrowanie danych jest niezbędne w przypadku wymagań dotyczących zgodności. W większości innych scenariuszy szyfrowanie usługi Azure Storage zapewnia wystarczająco zaawansowany algorytm szyfrowania, a użycie szyfrowania infrastruktury jest mało prawdopodobne.

Tworzenie konta z włączonym szyfrowaniem infrastruktury

Aby włączyć szyfrowanie infrastruktury dla konta magazynu, należy skonfigurować konto magazynu tak, aby używało szyfrowania infrastruktury podczas tworzenia konta. Nie można włączyć ani wyłączyć szyfrowania infrastruktury po utworzeniu konta. Konto magazynu musi mieć typ ogólnego przeznaczenia, wersja 2 lub blokowy obiekt blob w warstwie Premium.

Witryna Azure Portal

Aby utworzyć konto magazynu z włączonym szyfrowaniem infrastruktury za pomocą witryny Azure Portal, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do strony Konta magazynu.

2. Wybierz przycisk Dodaj, aby dodać nowe konto magazynu obiektów blob ogólnego przeznaczenia w wersji 2 lub Premium.

3. Na karcie Szyfrowanie znajdź pozycję Włącz szyfrowanie infrastruktury i wybierz pozycję Włączone.

4. Wybierz pozycję Przejrzyj i utwórz , aby zakończyć tworzenie konta magazynu.

   

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu w witrynie Azure Portal, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do swojego konta magazynu.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.

   

Program PowerShell

Aby użyć programu PowerShell do utworzenia konta magazynu z włączonym szyfrowaniem infrastruktury, upewnij się, że zainstalowano moduł Az.Storage PowerShell w wersji 2.2.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie programu Azure PowerShell.

Następnie utwórz konto magazynu obiektów blob w warstwie Ogólnego przeznaczenia w wersji 2 lub Premium, wywołując polecenie New-AzStorageAccount . Uwzględnij opcję włączenia -RequireInfrastructureEncryption szyfrowania infrastruktury.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) i ma włączone szyfrowanie infrastruktury na potrzeby podwójnego szyfrowania danych. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu, wywołaj polecenie Get-AzStorageAccount . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. RequireInfrastructureEncryption Pobierz pole we Encryption właściwości i sprawdź, czy jest ono ustawione na True.

Poniższy przykład pobiera wartość RequireInfrastructureEncryption właściwości. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach kątowych własnymi wartościami:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Interfejs wiersza polecenia platformy Azure

Aby użyć interfejsu wiersza polecenia platformy Azure do utworzenia konta magazynu z włączonym szyfrowaniem infrastruktury, upewnij się, że zainstalowano interfejs wiersza polecenia platformy Azure w wersji 2.8.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Następnie utwórz konto magazynu obiektów blob w warstwie Ogólnego przeznaczenia w wersji 2 lub Premium, wywołując polecenie az storage account create i dołączając polecenie --require-infrastructure-encryption option w celu włączenia szyfrowania infrastruktury.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) i ma włączone szyfrowanie infrastruktury na potrzeby podwójnego szyfrowania danych. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu, wywołaj polecenie az storage account show . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. requireInfrastructureEncryption Wyszukaj pole we encryption właściwości i sprawdź, czy jest ono ustawione na true.

Poniższy przykład pobiera wartość requireInfrastructureEncryption właściwości. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach kątowych własnymi wartościami:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Szablon

Poniższy przykład JSON tworzy konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) i ma włączone szyfrowanie infrastruktury na potrzeby podwójnego szyfrowania danych. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Usługa Azure Policy udostępnia wbudowane zasady, które wymagają włączenia szyfrowania infrastruktury dla konta magazynu. Aby uzyskać więcej informacji, zobacz sekcję Storage w wbudowanych definicjach zasad usługi Azure Policy.

Tworzenie zakresu szyfrowania z włączonym szyfrowaniem infrastruktury

Jeśli szyfrowanie infrastruktury jest włączone dla konta, dowolny zakres szyfrowania utworzony na tym koncie automatycznie używa szyfrowania infrastruktury. Jeśli szyfrowanie infrastruktury nie jest włączone na poziomie konta, masz możliwość włączenia go dla zakresu szyfrowania w czasie tworzenia zakresu. Nie można zmienić ustawienia szyfrowania infrastruktury dla zakresu szyfrowania po utworzeniu zakresu. Aby uzyskać więcej informacji, zobacz Tworzenie zakresu szyfrowania.

Następne kroki

• Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
• Klucze zarządzane przez klienta dla usługi Azure Storage
• Zakresy szyfrowania dla usługi Blob Storage