Dowiedz się więcej o szyfrowaniu dla elastycznej sieci SAN platformy Azure
Usługa Azure Elastic SAN używa szyfrowania po stronie serwera (SSE) do automatycznego szyfrowania danych przechowywanych w elastycznej sieci SAN. Usługa SSE chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.
Dane w woluminach Azure Elastic SAN są szyfrowane i odszyfrowywane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych szyfrowania danych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja).
Funkcja SSE jest domyślnie włączona i nie można jej wyłączyć. Nie można wyłączyć funkcji SSE, nie ma wpływu na wydajność elastycznej sieci SAN i nie ma dodatkowych kosztów związanych z nią.
Informacje o zarządzaniu kluczami szyfrowania
Dostępne są dwa rodzaje kluczy szyfrowania: klucze zarządzane przez platformę i klucze zarządzane przez klienta. Dane zapisywane w woluminie Elastic SAN są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez platformę (zarządzanych przez firmę Microsoft). Jeśli wolisz, możesz zamiast tego użyć kluczy zarządzanych przez klienta, jeśli masz określone wymagania dotyczące zabezpieczeń i zgodności organizacji.
Podczas konfigurowania grupy woluminów można użyć kluczy zarządzanych przez platformę lub kluczy zarządzanych przez klienta. Wszystkie woluminy w grupie woluminów dziedziczą konfigurację grupy woluminów. W dowolnym momencie można przełączać się między kluczami zarządzanymi przez klienta i kluczami zarządzanymi przez platformę. Jeśli przełączasz się między tymi typami kluczy, usługa Elastic SAN ponownie szyfruje klucz szyfrowania danych przy użyciu nowego klucza KEK. Ochrona klucza szyfrowania danych zmienia się, ale dane w woluminach elastic SAN zawsze pozostają zaszyfrowane. Ze swojej strony nie jest wymagana dodatkowa akcja, aby upewnić się, że dane są chronione.
Klucze zarządzane przez klienta
Jeśli używasz kluczy zarządzanych przez klienta, musisz użyć usługi Azure Key Vault do jej przechowywania.
Możesz utworzyć i zaimportować własne klucze RSA i zapisać je w usłudze Azure Key Vault lub wygenerować nowe klucze RSA przy użyciu usługi Azure Key Vault. Aby wygenerować klucze, możesz użyć interfejsów API usługi Azure Key Vault lub interfejsów zarządzania. Elastyczna sieć SAN i magazyn kluczy mogą znajdować się w różnych regionach i subskrypcjach, ale muszą znajdować się w tej samej dzierżawie identyfikatora Entra firmy Microsoft.
Na poniższym diagramie pokazano, jak usługa Azure Elastic SAN używa identyfikatora Microsoft Entra i magazynu kluczy do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:
Poniższa lista zawiera opis kroków numerowanych na diagramie:
- Administrator usługi Azure Key Vault udziela uprawnień tożsamości zarządzanej w celu uzyskania dostępu do magazynu kluczy zawierającego klucze szyfrowania. Tożsamość zarządzana może być tożsamością przypisaną przez użytkownika, którą tworzysz i zarządzasz, lub tożsamością przypisaną przez system skojarzona z grupą woluminów.
- Właściciel elastycznej grupy woluminów SIECI SAN platformy Azure konfiguruje szyfrowanie przy użyciu klucza zarządzanego przez klienta dla grupy woluminów.
- Usługa Azure Elastic SAN używa tożsamości zarządzanej przyznanej uprawnień w kroku 1 do uwierzytelniania dostępu do magazynu kluczy za pośrednictwem identyfikatora Entra firmy Microsoft.
- Usługa Azure Elastic SAN opakowuje klucz szyfrowania danych za pomocą klucza zarządzanego przez klienta z magazynu kluczy.
- W przypadku operacji odczytu/zapisu usługa Azure Elastic SAN wysyła żądania do usługi Azure Key Vault, aby odpakować klucz szyfrowania konta w celu wykonania operacji szyfrowania i odszyfrowywania.