Включение двойного шифрования на уровне инфраструктуры хранилища Azure

Завершено

Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения на уровне обслуживания с помощью 256-разрядного шифрования AES, который является одним из самых надежных блочных шифров и соответствует требованиям FIPS 140-2. Клиенты, которым требуется более высокий уровень уверенности в том, что их данные защищены, также могут включить 256-разрядное шифрование AES на уровне инфраструктуры хранилища Azure для двойного шифрования.

Двойное шифрование данных службы хранилища Azure обеспечивает глубокую защиту от сценариев, в которых может быть скомпрометирован один из алгоритмов шифрования или ключей. Этот двухуровневый подход соответствует принципам безопасности нулевого доверия, предполагая возможность отказа любого отдельного уровня защиты. В таких сценариях дополнительный уровень шифрования продолжает защищать данные.

Шифрование инфраструктуры можно включить для всей учетной записи хранения или области шифрования в учетной записи. Если шифрование инфраструктуры включено для учетной записи хранения или области шифрования, данные шифруются дважды ( один раз на уровне службы и один раз на уровне инфраструктуры) с двумя разными алгоритмами шифрования и двумя разными ключами.

Шифрование на уровне обслуживания поддерживает использование управляемых корпорацией Майкрософт ключей или ключей, управляемых клиентом, с помощью Azure Key Vault или управляемой аппаратной модели безопасности Key Vault (HSM). Шифрование на уровне инфраструктуры использует ключи, управляемые Корпорацией Майкрософт, и всегда использует отдельный ключ.

Чтобы дважды зашифровать ваши данные, необходимо сначала создать учетную запись для хранения или область шифрования, которая настроена для шифрования инфраструктуры.

Это важно

Шифрование инфраструктуры рекомендуется для сценариев, когда для требований соответствия требованиям требуется двойное шифрование данных. В большинстве других сценариев шифрование службы хранилища Azure предоставляет достаточно мощный алгоритм шифрования, и вряд ли будет значительно повысить производительность или безопасность при использовании шифрования инфраструктуры. Оцените конкретные требования соответствия и нормативные требования, прежде чем включить эту функцию.

Создание учетной записи с включенным шифрованием инфраструктуры

Чтобы включить шифрование инфраструктуры для учетной записи хранения, необходимо настроить ее во время создания учетной записи. Шифрование инфраструктуры не может быть включено или отключено после создания учетной записи, поэтому тщательно оцените требования к соответствию перед развертыванием. Учетная запись хранения должна иметь тип общего назначения версии 2 или объекты класса Premium в блоках.

Чтобы использовать портал Azure для создания учетной записи хранения с включенным шифрованием инфраструктуры, выполните следующие действия.

  1. На портале Azureперейдите на страницу учетных записей хранилища .

  2. Нажмите кнопку Добавить, чтобы создать новую учетную запись хранилища блоковых BLOB-объектов общего назначения версии 2 или премиум-класса.

  3. На вкладке Шифрование найдите Включить шифрование инфраструктурыи выберите Включено.

  4. Выберите Проверить + создать, чтобы завершить создание учетной записи хранения.

    снимок экрана: создание учетной записи с включенным шифрованием инфраструктуры.

Чтобы убедиться, что шифрование инфраструктуры включено для учетной записи хранения с помощью портала Azure, выполните следующие действия.

  1. Перейдите к учетной записи хранения в портал Azure.

  2. В разделе "Параметры "выберите шифрование.

    Снимок экрана, показывающий, как проверить, включено ли шифрование инфраструктуры для учетной записи хранилища.

Замечание

Политика Azure предоставляет встроенное определение политики, чтобы требовать включения шифрования инфраструктуры для учетных записей хранения. Эту политику можно использовать для принудительного шифрования инфраструктуры в организации в целях соответствия требованиям.

Создание области шифрования с включенной функцией шифрования инфраструктуры

Если для учетной записи включено шифрование инфраструктуры, то любая область шифрования, созданная в этой учетной записи, автоматически использует шифрование инфраструктуры. Если инфраструктурное шифрование не включено на уровне учетной записи, вы можете включить его для области шифрования при создании области. Параметр шифрования инфраструктуры для области шифрования не может быть изменен после создания области.

Рекомендации по реализации шифрования инфраструктуры

При принятии решения о том, следует ли реализовать шифрование инфраструктуры для службы хранилища Azure, используйте следующие рекомендации:

  • Сначала оцените требования соответствия. Шифрование инфраструктуры в основном предназначено для организаций со строгими требованиями к соответствию, которые предписывают несколько уровней шифрования. Перед включением этой функции просмотрите свои нормативные обязательства (например, HIPAA, PCI-DSS, FedRAMP).

  • Понимание необратимости решения - Шифрование инфраструктуры должно быть включено при создании учетной записи и не может быть отключено позже. Тщательно спланируйте перед развертыванием, так как вам потребуется создать новую учетную запись хранения и перенести данные, если необходимо изменить этот параметр.

  • Рассмотрим последствия производительности . Хотя влияние производительности обычно минимальное, двойное шифрование добавляет вычислительные расходы. Проверьте производительность рабочей нагрузки перед развертыванием в рабочей среде, если у вас есть требования к высокой пропускной способности.

  • Используйте с ключами, управляемыми клиентом, для максимального контроля . Объединение шифрования инфраструктуры с ключами, управляемыми клиентом (CMK), на уровне обслуживания для самого высокого уровня управления шифрованием. Это обеспечивает глубину защиты с разными ключами на каждом уровне.

  • Реализуйте политику Azure для управления . Используйте встроенную политику Azure для принудительного шифрования инфраструктуры во всех новых учетных записях хранения в вашей организации. Это гарантирует согласованность состояния безопасности и предотвращает случайное создание несоответствующих учетных записей хранения.

  • Задокументируйте архитектуру шифрования . Храните четкую документацию о том, какие учетные записи хранения используют шифрование инфраструктуры, почему она была включена и какие-либо соответствующие требования к соответствию. Это важно для аудита и проверок безопасности.

  • Используйте области шифрования для детализированного управления . Если для всей учетной записи требуется двойное шифрование, рекомендуется использовать области шифрования вместо включения шифрования инфраструктуры для всей учетной записи. Это обеспечивает гибкость для соответствия конкретным требованиям.

  • Планирование аварийного восстановления - Убедитесь, что ваши стратегии аварийного восстановления и резервного копирования учитывают параметры шифрования инфраструктуры. Помните, что восстановленные или реплицированные учетные записи хранения должны быть настроены с шифрованием инфраструктуры во время создания.

  • Отслеживайте состояние шифрования . Регулярно проверяйте учетные записи хранения, чтобы убедиться, что шифрование инфраструктуры включено, где это необходимо. Используйте Azure Monitor, Центр безопасности Azure или отчеты о соответствии политике Azure для текущей проверки.

  • Баланс безопасности и затрат . Шифрование инфраструктуры добавляет небольшие вычислительные затраты, но не требует дополнительных затрат на хранение. Однако неспособность отключить ее позже означает, что функция должна соответствовать долгосрочной стратегии безопасности.

  • Тестирование процедур миграции . Так как шифрование инфраструктуры невозможно изменить после создания, установить и проверить процедуры переноса данных между учетными записями хранения при изменении требований шифрования.

  • Сочетайте с другими функциями безопасности . Используйте шифрование инфраструктуры в рамках комплексной стратегии безопасности, которая включает в себя сетевую безопасность (частные конечные точки, брандмауэры), элементы управления доступом (Azure RBAC, маркеры SAS) и мониторинг (Azure Monitor, Microsoft Defender для хранилища).