Lär dig mer om kryptering för ett elastiskt San-nätverk i Azure

Azure Elastic SAN använder kryptering på serversidan (SSE) för att automatiskt kryptera data som lagras i ett elastiskt SAN. SSE skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadskrav.

Data i Azure Elastic SAN-volymer krypteras och dekrypteras transparent med 256-bitars AES-kryptering, en av de starkaste blockkrypteringarna som är tillgängliga och är FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger till grund för Azure-datakryptering finns i Kryptografi-API: Nästa generation.

SSE är aktiverat som standard och kan inte inaktiveras. SSE kan inte inaktiveras, påverkar inte prestanda för ditt elastiska SAN och har ingen extra kostnad associerad med det.

Om hantering av krypteringsnycklar

Det finns två typer av krypteringsnycklar: plattformshanterade nycklar och kundhanterade nycklar. Data som skrivs till en elastisk SAN-volym krypteras som standard med plattformshanterade nycklar (Microsoft-hanterade). Om du vill kan du använda kundhanterade nycklar i stället om du har specifika krav på organisationssäkerhet och efterlevnad.

När du konfigurerar en volymgrupp kan du välja att använda antingen plattformshanterade eller kundhanterade nycklar. Alla volymer i en volymgrupp ärver volymgruppens konfiguration. Du kan växla mellan kundhanterade och plattformshanterade nycklar när som helst. Om du växlar mellan dessa nyckeltyper krypterar Elastic SAN-tjänsten datakrypteringsnyckeln igen med den nya KEK:n. Skyddet av datakrypteringsnyckeln ändras, men data i dina elastiska SAN-volymer förblir alltid krypterade. Det krävs ingen extra åtgärd från din sida för att säkerställa att dina data skyddas.

Kundhanterade nycklar

Om du använder kundhanterade nycklar måste du använda antingen ett Azure Key Vault för att lagra det.

Du kan antingen skapa och importera dina egna RSA-nycklar och lagra dem i ditt Azure Key Vault, eller så kan du generera nya RSA-nycklar med hjälp av Azure Key Vault. Du kan använda Azure Key Vault-API:er eller hanteringsgränssnitt för att generera dina nycklar. Elastic SAN och nyckelvalvet kan finnas i olika regioner och prenumerationer, men de måste finnas i samma Microsoft Entra-ID-klientorganisation.

Följande diagram visar hur Azure Elastic SAN använder Microsoft Entra-ID och ett nyckelvalv för att göra begäranden med hjälp av den kundhanterade nyckeln:

I följande lista förklaras de numrerade stegen i diagrammet:

1. En Azure Key Vault-administratör ger behörighet till en hanterad identitet för att få åtkomst till nyckelvalvet som innehåller krypteringsnycklarna. Den hanterade identiteten kan antingen vara en användartilldelad identitet som du skapar och hanterar, eller en systemtilldelad identitet som är associerad med volymgruppen.
2. En Azure Elastic SAN-volymgruppägare konfigurerar kryptering med en kundhanterad nyckel för volymgruppen.
3. Azure Elastic SAN använder den hanterade identitet som beviljats behörigheter i steg 1 för att autentisera åtkomsten till nyckelvalvet via Microsoft Entra-ID.
4. Azure Elastic SAN omsluter datakrypteringsnyckeln med den kundhanterade nyckeln från nyckelvalvet.
5. För läs-/skrivåtgärder skickar Azure Elastic SAN begäranden till Azure Key Vault för att packa upp kontokrypteringsnyckeln för att utföra krypterings- och dekrypteringsåtgärder.

Nästa steg

• Konfigurera kundhanterade nycklar för ett elastiskt SAN i Azure med Hjälp av Azure Key Vault
• Hantera kundnycklar för Azure Elastic SAN-datakryptering