Włączanie szyfrowania infrastruktury na potrzeby podwójnego szyfrowania danych

Usługa Azure Storage automatycznie szyfruje wszystkie dane na koncie magazynu na poziomie usługi przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Klienci, którzy wymagają wyższego poziomu pewności, że ich dane są bezpieczne, mogą również włączyć 256-bitowe szyfrowanie AES na poziomie infrastruktury usługi Azure Storage na potrzeby podwójnego szyfrowania. Podwójne szyfrowanie danych usługi Azure Storage chroni przed scenariuszem, w którym jeden z algorytmów szyfrowania lub kluczy może zostać naruszony. W tym scenariuszu dodatkowa warstwa szyfrowania nadal chroni dane.

Szyfrowanie infrastruktury można włączyć dla całego konta magazynu lub dla zakresu szyfrowania w ramach konta. Gdy szyfrowanie infrastruktury jest włączone dla konta magazynu lub zakresu szyfrowania, dane są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami.

Szyfrowanie na poziomie usługi obsługuje korzystanie z kluczy zarządzanych przez firmę Microsoft lub kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault lub modelu zabezpieczeń sprzętu zarządzanego Key Vault (HSM). Szyfrowanie na poziomie infrastruktury opiera się na kluczach zarządzanych przez firmę Microsoft i zawsze używa oddzielnego klucza. Aby uzyskać więcej informacji na temat zarządzania kluczami za pomocą szyfrowania usługi Azure Storage, zobacz About encryption key management (Informacje o zarządzaniu kluczami szyfrowania).

Aby dwukrotnie zaszyfrować dane, należy najpierw utworzyć konto magazynu lub zakres szyfrowania skonfigurowany do szyfrowania infrastruktury. W tym artykule opisano sposób włączania szyfrowania infrastruktury.

Ważne

Szyfrowanie infrastruktury jest zalecane w scenariuszach, w których podwójne szyfrowanie danych jest niezbędne w przypadku wymagań dotyczących zgodności. W przypadku większości innych scenariuszy szyfrowanie usługi Azure Storage zapewnia wystarczająco zaawansowany algorytm szyfrowania, a korzystanie z szyfrowania infrastruktury jest mało prawdopodobne.

Tworzenie konta z włączonym szyfrowaniem infrastruktury

Aby włączyć szyfrowanie infrastruktury dla konta magazynu, należy skonfigurować konto magazynu do korzystania z szyfrowania infrastruktury podczas tworzenia konta. Nie można włączyć ani wyłączyć szyfrowania infrastruktury po utworzeniu konta. Konto magazynu musi mieć typ ogólnego przeznaczenia, wersja 2 lub blokowy obiekt blob w warstwie Premium.

Witryna Azure Portal

Aby użyć Azure Portal do utworzenia konta magazynu z włączonym szyfrowaniem infrastruktury, wykonaj następujące kroki:

1. W Azure Portal przejdź do strony Konta magazynu.

2. Wybierz przycisk Dodaj , aby dodać nowe konto magazynu blokowych obiektów blob ogólnego przeznaczenia w wersji 2 lub Premium.

3. Na karcie Szyfrowanie znajdź pozycję Włącz szyfrowanie infrastruktury i wybierz pozycję Włączone.

4. Wybierz pozycję Przejrzyj i utwórz , aby zakończyć tworzenie konta magazynu.

   

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu przy użyciu Azure Portal, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do swojego konta magazynu.

2. W obszarze Ustawienia wybierz pozycję Szyfrowanie.

   

Program PowerShell

Aby użyć programu PowerShell do utworzenia konta magazynu z włączonym szyfrowaniem infrastruktury, upewnij się, że zainstalowano moduł Az.Storage PowerShell w wersji 2.2.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie Azure PowerShell.

Następnie utwórz konto magazynu blokowych obiektów blob ogólnego przeznaczenia w wersji 2 lub Premium, wywołując polecenie New-AzStorageAccount . Uwzględnij opcję włączania -RequireInfrastructureEncryption szyfrowania infrastruktury.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) i ma włączone szyfrowanie infrastruktury pod kątem podwójnego szyfrowania danych. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -RequireInfrastructureEncryption

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu, wywołaj polecenie Get-AzStorageAccount . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. RequireInfrastructureEncryption Pobierz pole we Encryption właściwości i sprawdź, czy jest ono ustawione na Truewartość .

Poniższy przykład pobiera wartość RequireInfrastructureEncryption właściwości . Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach kątowych własnymi wartościami:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Interfejs wiersza polecenia platformy Azure

Aby użyć interfejsu wiersza polecenia platformy Azure do utworzenia konta magazynu z włączonym szyfrowaniem infrastruktury, upewnij się, że zainstalowano interfejs wiersza polecenia platformy Azure w wersji 2.8.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Następnie utwórz konto magazynu blokowych obiektów blob ogólnego przeznaczenia w wersji 2 lub Premium, wywołując polecenie az storage account create i dołączając element w --require-infrastructure-encryption option celu włączenia szyfrowania infrastruktury.

W poniższym przykładzie pokazano, jak utworzyć konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) i ma włączone szyfrowanie infrastruktury pod kątem podwójnego szyfrowania danych. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --require-infrastructure-encryption

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu, wywołaj polecenie az storage account show . To polecenie zwraca zestaw właściwości konta magazynu i ich wartości. requireInfrastructureEncryption Wyszukaj pole we encryption właściwości i sprawdź, czy jest ono ustawione na truewartość .

Poniższy przykład pobiera wartość requireInfrastructureEncryption właściwości . Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach kątowych własnymi wartościami:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Szablon

Poniższy przykład w formacie JSON tworzy konto magazynu ogólnego przeznaczenia w wersji 2 skonfigurowane na potrzeby magazynu geograficznie nadmiarowego dostępnego do odczytu (RA-GRS) i ma włączone szyfrowanie infrastruktury pod kątem podwójnego szyfrowania danych. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy udostępnia wbudowane zasady, które wymagają włączenia szyfrowania infrastruktury dla konta magazynu. Aby uzyskać więcej informacji, zobacz sekcję Storage w Azure Policy wbudowanych definicji zasad.

Tworzenie zakresu szyfrowania z włączonym szyfrowaniem infrastruktury

Jeśli szyfrowanie infrastruktury jest włączone dla konta, dowolny zakres szyfrowania utworzony na tym koncie automatycznie używa szyfrowania infrastruktury. Jeśli szyfrowanie infrastruktury nie jest włączone na poziomie konta, możesz włączyć go dla zakresu szyfrowania w czasie tworzenia zakresu. Nie można zmienić ustawienia szyfrowania infrastruktury dla zakresu szyfrowania po utworzeniu zakresu. Aby uzyskać więcej informacji, zobacz Tworzenie zakresu szyfrowania.

Następne kroki

• Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
• Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage
• Zakresy szyfrowania dla usługi Blob Storage