Включение шифрования инфраструктуры для двойного шифрования данных

Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения на уровне службы с помощью 256-разрядного шифрования AES, одного из самых надежных шифров блоков, доступных и соответствует FIPS 140-2. Клиенты, которым требуется более высокий уровень уверенности в том, что их данные защищены, также могут включить 256-разрядное шифрование AES на уровне инфраструктуры хранилища Azure для двойного шифрования. Двойное шифрование служба хранилища Azure данных защищает от сценария, в котором может быть скомпрометирован один из алгоритмов шифрования или ключей. В этом сценарии дополнительный уровень шифрования продолжает защищать данные.

Шифрование инфраструктуры можно включить для всей учетной записи хранения или области шифрования в учетной записи. Если шифрование инфраструктуры включено для учетной записи хранения или области шифрования, данные шифруются дважды ( один раз на уровне службы и один раз на уровне инфраструктуры) с двумя разными алгоритмами шифрования и двумя разными ключами.

Шифрование на уровне обслуживания поддерживает использование управляемых корпорацией Майкрософт ключей или ключей, управляемых клиентом, с помощью Azure Key Vault или управляемой аппаратной модели безопасности Key Vault (HSM). Шифрование на уровне инфраструктуры использует ключи, управляемые Корпорацией Майкрософт, и всегда использует отдельный ключ. Дополнительные сведения об управлении ключами с помощью шифрования службы хранилища Azure см. в разделе "Сведения об управлении ключами шифрования".

Чтобы дважды зашифровать ваши данные, необходимо сначала создать учетную запись для хранения или область шифрования, которая настроена для шифрования инфраструктуры. В этой статье описывается, как включить шифрование инфраструктуры.

Это важно

Шифрование инфраструктуры рекомендуется для сценариев, когда для требований соответствия требованиям требуется двойное шифрование данных. В большинстве других сценариев шифрование службы хранилища Azure обеспечивает достаточно мощный алгоритм шифрования, и вряд ли будет полезно использовать шифрование инфраструктуры.

Создание учетной записи с включенным шифрованием инфраструктуры

Чтобы включить шифрование инфраструктуры для учетной записи хранения, необходимо настроить учетную запись хранения для использования шифрования инфраструктуры во время создания учетной записи. После создания учетной записи невозможно включить или отключить шифрование инфраструктуры. Учетная запись хранения должна быть типа общего назначения v2, премиум блочного BLOB, премиум страничного BLOB или премиум файлового ресурса.

Портал Azure

Чтобы использовать портал Azure для создания учетной записи хранения с включенным шифрованием инфраструктуры, выполните следующие действия.

1. На портале Azure перейдите на страницу учетных записей хранения .

2. Нажмите кнопку «Добавить», чтобы добавить новую учетную запись общего назначения v2, премиум блок BLOB, премиум страничный BLOB или премиум файловый ресурс.

3. На вкладке Шифрование найдите Включить шифрование инфраструктурыи выберите Включено.

4. Выберите Проверить + создать, чтобы завершить создание учетной записи хранения.

   

Чтобы убедиться, что шифрование инфраструктуры включено для учетной записи хранения с помощью портала Azure, выполните следующие действия.

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе "Безопасность и сеть" выберите "Шифрование".

   

PowerShell

Чтобы использовать PowerShell для создания учетной записи хранения с включенным шифрованием инфраструктуры, убедитесь, что вы установили модуль PowerShell Az.Storage версии 2.2.0 или более поздней версии. Дополнительные сведения см. в статье Установка Azure PowerShell.

Затем создайте учетную запись хранения "general-purpose v2", блоб блочного уровня "Премиум", блоб страниц уровня "Премиум" или учетную запись хранения "Premium File Share", вызвав команду New-AzStorageAccount. -RequireInfrastructureEncryption Включите параметр включения шифрования инфраструктуры.

В следующем примере показано, как создать учетную запись хранения общего назначения версии 2, настроенную для геоизбыточного хранилища для чтения (RA-GRS) и включить шифрование инфраструктуры для двойного шифрования данных. Не забудьте заменить значения заполнителей в скобках собственными значениями.

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Чтобы убедиться, что шифрование инфраструктуры включено для учетной записи хранения, вызовите команду Get-AzStorageAccount . Эта команда возвращает свойства учетной записи хранения и их значения. Извлеките поле RequireInfrastructureEncryption в свойстве Encryption и убедитесь, что оно задано True.

В следующем примере извлекается значение RequireInfrastructureEncryption свойства. Не забудьте заменить значения заполнителей в угловых скобках собственными значениями.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure CLI

Чтобы использовать Azure CLI для создания учетной записи хранения с включенным шифрованием инфраструктуры, убедитесь, что вы установили Azure CLI версии 2.8.0 или более поздней. Дополнительные сведения см. в статье Установка Azure CLI.

Затем создайте учетную запись стандартного назначения версии 2, блоб-объекта уровня Premium (блочного или страничного) или файлового ресурса уровня Premium, вызвав команду az storage account create и включите --require-infrastructure-encryption option шифрование инфраструктуры.

В следующем примере показано, как создать учетную запись хранения общего назначения версии 2, настроенную для геоизбыточного хранилища для чтения (RA-GRS) и включить шифрование инфраструктуры для двойного шифрования данных. Не забудьте заменить значения заполнителей в скобках собственными значениями.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Чтобы убедиться, что шифрование инфраструктуры включено для учетной записи хранения, вызовите команду az storage account show . Эта команда возвращает свойства учетной записи хранения и их значения. requireInfrastructureEncryption Найдите поле в свойстве encryption и убедитесь, что для него задано значение true.

В следующем примере извлекается значение requireInfrastructureEncryption свойства. Не забудьте заменить значения заполнителей в угловых скобках собственными значениями.

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Шаблон

В следующем примере JSON создается учетная запись хранилища общего назначения v2, настроенная на геоизбыточное хранилище с доступом только для чтения (RA-GRS) и включено шифрование инфраструктуры для двухступенчатого шифрования данных. Не забудьте заменить значения заполнителей в скобках собственными значениями.

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Политика Azure предоставляет встроенную политику, требующую включения шифрования инфраструктуры для учетной записи хранения. Дополнительные сведения см. в разделе Хранилище в статье Встроенные определения политик Azure Policy.

Создание области шифрования с включенной функцией шифрования инфраструктуры

Если для учетной записи включено шифрование инфраструктуры, то любая область шифрования, созданная в этой учетной записи, автоматически использует шифрование инфраструктуры. Если шифрование инфраструктуры не включено на уровне учетной записи, у вас есть возможность включить его для области шифрования в момент создания этой области. Параметр шифрования инфраструктуры для области шифрования невозможно изменить после создания области. Дополнительные сведения см. в разделе "Создание области шифрования".

Дальнейшие шаги

• Шифрование службы хранилища Azure для неактивных данных
• Ключи, управляемые клиентом, для шифрования службы хранилища Azure
• Области шифрования для хранилища объектов BLOB