Включение шифрования инфраструктуры для двойного шифрования данных
Статья
служба хранилища Azure автоматически шифрует все данные в учетной записи хранения на уровне обслуживания с помощью 256-разрядного шифрования AES с шифрованием режима GCM, одним из самых сильных доступных шифров блоков и соответствует стандарту FIPS 140-2. Клиенты, которым требуется более высокий уровень уверенности в том, что их данные защищены, также могут включить 256-разрядный AES с шифрованием CBC на уровне инфраструктуры служба хранилища Azure для двойного шифрования. Двойное шифрование служба хранилища Azure данных защищает от сценария, в котором может быть скомпрометирован один из алгоритмов шифрования или ключей. В этом сценарии дополнительный уровень шифрования сохраняется для защиты данных.
Шифрование инфраструктуры можно включить для всей учетной записи хранения или для области шифрования в пределах учетной записи. Если шифрование инфраструктуры включено для учетной записи хранения или области шифрования, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей.
Шифрование на уровне обслуживания поддерживает использование управляемых корпорацией Майкрософт ключей или ключей, управляемых клиентом, с помощью Azure Key Vault или управляемой аппаратной модели безопасности Key Vault (HSM). Шифрование на уровне инфраструктуры основано на ключах, управляемых корпорацией Майкрософт, и всегда использует отдельный ключ. Дополнительные сведения об управлении ключами с помощью шифрования службы хранилища Azure см. в разделе Сведения об управлении ключами шифрования.
Чтобы удвоить шифрование данных, необходимо сначала создать учетную запись хранения или область шифрования, настроенную для шифрования инфраструктуры. В этой статье описывается включение шифрования инфраструктуры.
Важно!
Шифрование инфраструктуры рекомендуется для сценариев, когда для требований соответствия требованиям требуется двойное шифрование данных. В большинстве других сценариев шифрование служба хранилища Azure обеспечивает достаточно мощный алгоритм шифрования, и вряд ли будет полезно использовать шифрование инфраструктуры.
Создание учетной записи с включенным шифрованием инфраструктуры
Чтобы включить шифрование инфраструктуры для учетной записи хранения, необходимо настроить учетную запись хранения для использования шифрования инфраструктуры во время создания учетной записи. После создания учетной записи шифрование инфраструктуры не может быть включено или отключено. Учетная запись хранения должна относиться к универсальному типу версии 2 или блочному BLOB-объекту уровня "Премиум".
Чтобы использовать портал Azure для создания учетной записи хранения с включенным шифрованием инфраструктуры, выполните следующие действия.
Перейдите на портале Azure на страницу Учетная запись хранения.
Нажмите кнопку Добавить, чтобы добавить новую учетную запись хранения блочных BLOB-объектов "Общего назначения" версии 2 или "Премиум".
На вкладке "Шифрование" найдите параметр "Включить шифрование инфраструктуры" и выберите "Включено".
Выберите Просмотреть и создать, чтобы завершить создание учетной записи хранения.
Чтобы проверить, включено ли шифрование инфраструктуры для учетной записи хранения на портале Azure, выполните следующие действия.
Войдите в свою учетную запись хранения на портале Azure.
В разделе "Безопасность и сеть" выберите "Шифрование".
Чтобы использовать PowerShell для создания учетной записи хранения с включенным шифрованием инфраструктуры, убедитесь, что установлен модуль PowerShell Az.Storage версии 2.2.0 или более поздней. Дополнительные сведения см. в статье Установка Azure PowerShell.
Затем создайте учетную запись хранения блочных BLOB-объектов "Общего назначения" версии 2 или "Премиум", вызвав команду New-AzStorageAccount. Включите параметр -RequireInfrastructureEncryption для включения шифрования инфраструктуры.
В следующем примере показано, как создать учетную запись хранения общего назначения версии 2, настроенную для геоизбыточного хранилища с доступом на чтение (RA-GRS), и включить шифрование инфраструктуры для двойного шифрования данных. Не забудьте заменить значения заполнителей в скобках собственными значениями.
Чтобы проверить, включено ли шифрование инфраструктуры для учетной записи хранения, вызовите команду Get-AzStorageAccount. Эта команда возвращает свойства учетной записи хранения и их значения. Получите поле RequireInfrastructureEncryption в свойстве Encryption и убедитесь, что оно имеет значение True.
В следующем примере извлекается значение свойства RequireInfrastructureEncryption. Не забудьте заменить значения заполнителей в угловых скобках собственными значениями.
Чтобы создать учетную запись хранения с помощью Azure CLI, для которой будет включено шифрование инфраструктуры, установите модуль Azure CLI версии не ранее 2.8.0. Дополнительные сведения см. в статье Установка Azure CLI.
Затем создайте учетную запись хранения блочных BLOB-объектов "Общего назначения" версии 2 или "Премиум", вызвав команду az storage account create и добавив --require-infrastructure-encryption option для включения шифрования инфраструктуры.
В следующем примере показано, как создать учетную запись хранения общего назначения версии 2, настроенную для геоизбыточного хранилища с доступом на чтение (RA-GRS), и включить шифрование инфраструктуры для двойного шифрования данных. Не забудьте заменить значения заполнителей в скобках собственными значениями.
Чтобы проверить, включено ли шифрование инфраструктуры для учетной записи хранения, вызовите команду az storage account show. Эта команда возвращает свойства учетной записи хранения и их значения. Найдите поле requireInfrastructureEncryption в свойстве encryption и убедитесь, что оно имеет значение true.
В следующем примере извлекается значение свойства requireInfrastructureEncryption. Не забудьте заменить значения заполнителей в угловых скобках собственными значениями.
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
В следующем примере JSON показано, как создать учетную запись хранения общего назначения версии 2, настроенную для геоизбыточного хранилища с доступом на чтение (RA-GRS), и включить шифрование инфраструктуры для двойного шифрования данных. Не забудьте заменить значения заполнителей в скобках собственными значениями.
Политика Azure предоставляет встроенную политику, требующую включения шифрования инфраструктуры для учетной записи хранения. Дополнительные сведения см. в разделе Хранилище статьи Встроенные определения политик в Политике Azure.
Создание области шифрования с включенным шифрованием инфраструктуры
Если шифрование инфраструктуры включено для учетной записи, то каждая область шифрования, созданная в этой учетной записи, автоматически использует шифрование инфраструктуры. Если шифрование инфраструктуры не включено на уровне учетной записи, можно включить его для области шифрования при создании области. Параметр шифрования инфраструктуры для области шифрования нельзя изменить после создания области. Дополнительные сведения см. в статье Создание области шифрования.
