Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesini etkinleştirme

Azure Depolama, kullanılabilir en güçlü blok şifrelemelerinden biri olan ve FIPS 140-2 uyumlu olan GCM modu şifrelemesi ile 256 bit AES kullanarak bir depolama hesabındaki tüm verileri otomatik olarak şifreler. Verilerinin güvenli olduğuna dair daha yüksek düzeyde güvenceye ihtiyaç duyan müşteriler, çift şifreleme için Azure Depolama altyapısı düzeyinde CBC şifrelemesi ile 256 bit AES'yi de etkinleştirebilir. Azure Depolama verilerinin çift şifrelemesi, şifreleme algoritmalarından veya anahtarlardan birinin gizliliğinin ihlal edilebileceği bir senaryoya karşı koruma sağlar. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.

Altyapı şifrelemesi tüm depolama hesabı için veya bir hesaptaki bir şifreleme kapsamı için etkinleştirilebilir. Depolama hesabı veya şifreleme kapsamı için altyapı şifrelemesi etkinleştirildiğinde, veriler iki farklı şifreleme algoritması ve iki farklı anahtarla iki kez (hizmet düzeyinde ve bir kez altyapı düzeyinde) şifrelenir.

Hizmet düzeyinde şifreleme, Azure Key Vault veya Key Vault Yönetilen Donanım Güvenlik Modeli (HSM) ile Microsoft tarafından yönetilen anahtarların veya müşteri tarafından yönetilen anahtarların kullanımını destekler. Altyapı düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarlara dayanır ve her zaman ayrı bir anahtar kullanır. Azure Depolama şifrelemesi ile anahtar yönetimi hakkında daha fazla bilgi için bkz . Şifreleme anahtarı yönetimi hakkında.

Verilerinizi iki kez şifrelemek için önce altyapı şifrelemesi için yapılandırılmış bir depolama hesabı veya şifreleme kapsamı oluşturmanız gerekir. Bu makalede altyapı şifrelemenin nasıl etkinleştirileceği açıklanır.

Önemli

Uyumluluk gereksinimleri için verileri iki kez şifrelemenin gerekli olduğu senaryolar için altyapı şifrelemesi önerilir. Diğer senaryoların çoğunda, Azure Depolama şifrelemesi yeterince güçlü bir şifreleme algoritması sağlar ve altyapı şifrelemesini kullanmanın bir avantajı olma olasılığı düşüktür.

Altyapı şifrelemesi etkinleştirilmiş bir hesap oluşturma

Depolama hesabı için altyapı şifrelemesini etkinleştirmek için, bir depolama hesabını, hesabı oluştururken altyapı şifrelemesini kullanacak şekilde yapılandırmanız gerekir. Hesap oluşturulduktan sonra altyapı şifrelemesi etkinleştirilemez veya devre dışı bırakılamaz. Depolama hesabı genel amaçlı v2, premium blok blobu, premium sayfa blobu veya premium dosya paylaşımları türünde olmalıdır.

Azure portalı

Azure portalını kullanarak altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturmak için şu adımları izleyin:

1. Azure portalında Depolama hesapları sayfasına gidin.

2. Yeni bir genel amaçlı v2, premium blok blobu, premium sayfa blobu veya premium dosya paylaşımı hesabı eklemek için Ekle düğmesini seçin.

3. Şifreleme sekmesinde Altyapı şifrelemesini etkinleştir'i bulun ve Etkin'i seçin.

4. Depolama hesabı oluşturmayı tamamlamak için Gözden geçir + oluştur'u seçin.

   

Azure portalında bir depolama hesabı için altyapı şifrelemesinin etkinleştirildiğini doğrulamak için şu adımları izleyin:

1. Azure portalda depolama hesabınıza gidin.

2. Güvenlik + ağ altında Şifreleme'yi seçin.

   

PowerShell

Altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturmak için PowerShell'i kullanmak için Az.Storage PowerShell modülünün 2.2.0 veya sonraki bir sürümünü yüklediğinizden emin olun. Daha fazla bilgi için bkz . Azure PowerShell'i yükleme.

Ardından New-AzStorageAccount komutunu çağırarak genel amaçlı v2, premium blok blobu, premium sayfa blobu veya premium dosya paylaşımı depolama hesabı oluşturun. Altyapı şifrelemesini -RequireInfrastructureEncryption etkinleştirme seçeneğini ekleyin.

Aşağıdaki örnekte, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve verilerin çift şifrelemesi için altyapı şifrelemesi etkinleştirilmiş bir genel amaçlı v2 depolama hesabının nasıl oluşturulacağı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Depolama hesabı için altyapı şifrelemesinin etkinleştirildiğini doğrulamak için Get-AzStorageAccount komutunu çağırın. Bu komut, bir depolama hesabı özellikleri kümesi ve bunların değerlerini döndürür. özelliğindeki RequireInfrastructureEncryptionEncryption alanı alın ve olarak ayarlandığını Truedoğrulayın.

Aşağıdaki örnek özelliğinin RequireInfrastructureEncryption değerini alır. Köşeli ayraçlardaki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure CLI

Azure CLI kullanarak altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturmak için Azure CLI sürüm 2.8.0 veya üzerini yüklediğinizden emin olun. Daha fazla bilgi için bkz . Azure CLI'yi yükleme.

Ardından az storage account create komutunu çağırarak genel amaçlı v2, premium blok blobu, premium sayfa blobu veya premium dosya paylaşımı hesabı oluşturun ve altyapı şifrelemesini etkinleştirmek için öğesini --require-infrastructure-encryption option ekleyin.

Aşağıdaki örnekte, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve verilerin çift şifrelemesi için altyapı şifrelemesi etkinleştirilmiş bir genel amaçlı v2 depolama hesabının nasıl oluşturulacağı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Depolama hesabı için altyapı şifrelemesinin etkinleştirildiğini doğrulamak için az storage account show komutunu çağırın. Bu komut, bir depolama hesabı özellikleri kümesi ve bunların değerlerini döndürür. özelliğindeki requireInfrastructureEncryptionencryption alanı arayın ve olarak ayarlandığını truedoğrulayın.

Aşağıdaki örnek özelliğinin requireInfrastructureEncryption değerini alır. Köşeli ayraçlardaki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Şablon

Aşağıdaki JSON örneği, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış genel amaçlı bir v2 depolama hesabı oluşturur ve verilerin çift şifrelemesi için altyapı şifrelemesi etkindir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure İlkesi, depolama hesabı için altyapı şifrelemesinin etkinleştirilmesini gerektiren yerleşik bir ilke sağlar. Daha fazla bilgi için Azure İlkesi yerleşik ilke tanımlarının Depolama bölümüne bakın.

Altyapı şifrelemesi etkinleştirilmiş bir şifreleme kapsamı oluşturma

Bir hesap için altyapı şifrelemesi etkinleştirildiyse, bu hesapta oluşturulan tüm şifreleme kapsamları otomatik olarak altyapı şifrelemesini kullanır. Altyapı şifrelemesi hesap düzeyinde etkinleştirilmemişse, kapsamı oluşturduğunuz sırada bir şifreleme kapsamı için etkinleştirme seçeneğiniz vardır. Şifreleme kapsamı için altyapı şifreleme ayarı, kapsam oluşturulduktan sonra değiştirilemez. Daha fazla bilgi için bkz . Şifreleme kapsamı oluşturma.

Sonraki adımlar

• Bekleyen veri için Azure Depolama şifrelemesi
• Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar
• Blob depolama için şifreleme kapsamları