Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Depolama, verilerinizi bulutta kalıcı hale geldiğinde otomatik olarak şifrelemek için hizmet tarafı şifreleme (SSE) kullanır. Azure Depolama şifreleme verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur.
Microsoft çoğu senaryoda verilerinizi korumak için hizmet tarafı şifrelemesi kullanmanızı önerir. Ancak, Blob Depolama ve Kuyruk Depolama için Azure Depolama istemci kitaplıkları, istemcideki verileri şifrelemesi gereken müşteriler için istemci tarafı şifreleme de sağlar. Daha fazla bilgi için Bloblar ve kuyruklar için istemci tarafı şifrelemesi konusuna bakın.
Azure Depolama hizmet tarafı şifrelemesi hakkında
Azure Depolama'daki veriler, 256 bit AES şifrelemesi kullanılabilir en güçlü blok şifrelerinden biri olan ve FIPS 140-2 uyumlu olan kullanılarak saydam olarak şifrelenir ve şifreleri çözülür. Azure Depolama şifreleme, Windows'da BitLocker şifrelemesine benzer.
Azure Depolama sunucu tarafı şifrelemesi, yüklenen nesneleri şifrelemek için 256 bit AES Galois/Sayaç Modu (AES-GCM) kullanır. Azure Depolama şifreleme, hem Resource Manager hem de klasik depolama hesapları dahil olmak üzere tüm depolama hesapları için etkinleştirilir. Azure Depolama şifreleme devre dışı bırakılamaz. Verileriniz varsayılan olarak güvenli olduğundan, Azure Depolama şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.
Depolama hesabındaki veriler performans katmanından (standart veya premium), erişim katmanından (sık erişimli veya seyrek erişimli) veya dağıtım modelinden (Azure Resource Manager veya klasik) bağımsız olarak şifrelenir. Arşiv katmanındaki bloblar da dahil olmak üzere tüm yeni ve mevcut blok blobları, ekleme blobları ve sayfa blobları şifrelenir. Tüm Azure Depolama yedeklilik seçenekleri şifrelemeyi destekler ve coğrafi çoğaltma etkinleştirildiğinde hem birincil hem de ikincil bölgelerdeki tüm veriler şifrelenir. Bloblar, diskler, dosyalar, kuyruklar ve tablolar dahil olmak üzere tüm Azure Depolama kaynakları şifrelenir. Tüm nesne meta verileri de şifrelenir.
Azure Depolama şifreleme için ek maliyet yoktur.
Azure Depolama şifrelemenin temelini oluşturan kriptografik modüller hakkında daha fazla bilgi için bkz. Cryptography API: Next Generation.
Azure yönetilen diskler için şifreleme ve anahtar yönetimi hakkında bilgi için bkz. Azure yönetilen disklerin sunucu tarafı şifrelemesi.
Şifreleme anahtarı yönetimi hakkında
Yeni depolama hesabındaki veriler varsayılan olarak Microsoft yönetilen anahtarlarla şifrelenir. Verilerinizi şifrelemek için Microsoft yönetilen anahtarlara güvenmeye devam edebilir veya şifrelemeyi kendi anahtarlarınızla yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz iki seçeneğiniz vardır. Anahtar yönetimi türünü veya her ikisini birden kullanabilirsiniz:
- Blob Depolama ve Azure Dosyalar.1 içindeki verileri şifrelemek ve şifresini çözmek için kullanılacak customer tarafından yönetilen anahtar belirtebilirsiniz. Müşteri tarafından yönetilen anahtarların Azure Key Vault veya Azure Key Vault Yönetilen Donanım Güvenlik Modülü'nde (HSM) depolanması gerekir. Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz. Azure Depolama şifreleme için müşteri tarafından yönetilen anahtarları kullanma.
- Blob Depolama işlemlerde customer tarafından sağlanan anahtar belirtebilirsiniz. Blob Depolama üzerinde okuma veya yazma isteğinde bulunan bir istemci, blob verilerinin nasıl şifrelendiği ve şifresinin çözülebileceği üzerinde ayrıntılı denetim için isteğe bir şifreleme anahtarı ekleyebilir. Müşteri tarafından sağlanan anahtarlar hakkında daha fazla bilgi için bkz. Blob Depolama isteğinde şifreleme anahtarı sağlama.
Varsayılan olarak, depolama hesabı, depolama hesabının tamamı kapsamındaki bir anahtarla şifrelenir. Şifreleme kapsamları, bir kapsayıcıya veya tek bir bloğa ait anahtarla şifrelemeyi yönetmenize olanak tanır. Aynı depolama hesabında bulunan ancak farklı müşterilere ait veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz. Şifreleme kapsamları, Microsoft yönetilen anahtarları veya müşteri tarafından yönetilen anahtarları kullanabilir. Şifreleme kapsamları hakkında daha fazla bilgi için Blob depolama için şifreleme kapsamları başlığına bakın.
Aşağıdaki tabloda Azure Depolama şifreleme için anahtar yönetimi seçenekleri karşılaştırlenmektedir.
| Anahtar yönetimi parametresi | Microsoft tarafından yönetilen anahtarlar | Müşteri tarafından yönetilen anahtarlar | Müşteri tarafından sağlanan anahtarlar |
|---|---|---|---|
| Şifreleme/şifre çözme işlemleri | Azure | Azure | Azure |
| desteklenen Azure Depolama hizmetleri | Tümü | Blob Depolama, Azure Dosyalar1,2 | Blob Depolama |
| Anahtar depolama | Microsoft anahtar deposu | Azure Key Vault veya Key Vault HSM | Müşterinin kendi anahtar deposu |
| Anahtar döndürme sorumluluğu | Microsoft | Müşteri | Müşteri |
| Anahtar denetimi | Microsoft | Müşteri | Müşteri |
| Anahtar kapsamı | Hesap (varsayılan), kapsayıcı veya blob | Hesap (varsayılan), kapsayıcı veya blob | Yok |
1 Kuyruk depolama ile müşteri tarafından yönetilen anahtarların kullanılmasını destekleyen bir hesap oluşturma hakkında bilgi için bkz . Kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
2 Tablo depolama ile müşteri tarafından yönetilen anahtarların kullanılmasını destekleyen bir hesap oluşturma hakkında bilgi için bkz . Tablolar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
Not
Microsoft tarafından yönetilen anahtarlar, uyumluluk gereksinimlerine uygun şekilde döndürülür. Belirli anahtar döndürme gereksinimleriniz varsa Microsoft, döndürmeyi kendiniz yönetebilmeniz ve denetleyebilmeniz için müşteri tarafından yönetilen anahtarlara geçmenizi önerir.
Altyapı şifrelemesi ile verileri ikiye kat şifreleme
Verilerinin güvenli olduğuna ilişkin yüksek düzeyde güvenceye ihtiyaç duyan müşteriler, Azure Depolama altyapı düzeyinde 256 bit AES şifrelemesini de etkinleştirebilir. Altyapı şifreleme etkinleştirildiğinde, bir depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtarla iki kez (hizmet düzeyinde ve bir kez altyapı düzeyinde) şifrelenir. Azure Depolama verilerinin çift şifrelenmesinin, şifreleme algoritmalarından veya anahtarlardan birinin gizliliğinin ihlal edilebileceği bir senaryoya karşı koruma sağlar. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.
Hizmet düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarların veya Azure Key Vault ile müşteri tarafından yönetilen anahtarların kullanımını destekler. Altyapı düzeyinde şifreleme, Microsoft yönetilen anahtarlara dayanır ve her zaman ayrı bir anahtar kullanır.
Altyapı şifrelemesini etkinleştiren bir depolama hesabı oluşturma hakkında daha fazla bilgi için bkz . Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturma.
Bloblar ve kuyruklar için istemci tarafı şifreleme
.NET, Java ve Python için Azure Blob Depolama istemci kitaplıkları, Azure Depolama yüklemeden önce istemci uygulamalarındaki verileri şifrelemeyi ve istemciye indirirken verilerin şifresini çözmeyi destekler. .NET ve Python için Kuyruk Depolama istemci kitaplıkları da istemci tarafı şifrelemeyi destekler.
Not
verilerinizi korumak için istemci tarafı şifrelemesi yerine Azure Depolama tarafından sağlanan hizmet tarafı şifreleme özelliklerini kullanmayı göz önünde bulundurun.
Blob Depolama ve Kuyruk Depolama istemci kitaplıkları, kullanıcı verilerini şifrelemek için AES kullanır. İstemci kitaplıklarında istemci tarafı şifrelemenin iki sürümü vardır:
- Sürüm 2, AES ile Galois/Counter Mode (GCM) modunu kullanır. Blob Depolama ve Kuyruk Depolama SDK'ları, v2 ile istemci tarafı şifrelemeyi destekler.
- Sürüm 1, AES ile Şifreleme Blok Zinciri (CBC) modunu kullanır. Blob Depolama, Kuyruk Depolama ve Tablo Depolama SDK'ları v1 ile istemci tarafı şifrelemeyi destekler.
Uyarı
İstemci kitaplığının CBC modunda uygulanmasındaki bir güvenlik açığı nedeniyle istemci tarafı şifreleme v1'in kullanılması artık önerilmez. Bu güvenlik açığı hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik açığını gidermek için SDK'da istemci tarafı şifrelemesini güncelleştirme. Şu anda v1 kullanıyorsanız, uygulamanızı istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirmenizi ve verilerinizi geçirmenizi öneririz.
Azure Tablo Depolaması SDK'sı yalnızca istemci tarafı şifreleme v1'i destekler. Tablo Depolama ile istemci tarafı şifrelemesi kullanılması önerilmez.
Aşağıdaki tablo, hangi istemci kitaplıklarının hangi istemci tarafı şifreleme sürümlerini desteklediğini gösterir ve istemci tarafı şifreleme v2'ye geçiş için yönergeler sağlar.
| İstemci kitaplığı | desteklenen istemci tarafı şifreleme sürümü | Önerilen geçiş | Ek yönergeler |
|---|---|---|---|
| .NET (sürüm 12.13.0 ve üzeri), Java (sürüm 12.18.0 ve üzeri) ve Python (sürüm 12.13.0 ve üzeri) için Blob Depolama istemci kitaplıkları | 2.0 1.0 (yalnızca geriye dönük uyumluluk için) |
kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. Şifresini çözmek için şifrelenmiş verileri indirin, ardından istemci tarafı şifreleme v2 ile yeniden şifreleyin. |
Bloblar için istemci tarafı şifrelemesi |
| .NET (sürüm 12.12.0 ve altı), Java (sürüm 12.17.0 ve altı) ve Python (sürüm 12.12.0 ve altı) için Blob Depolama istemci kitaplığı | 1.0 (önerilmez) | uygulamanızı Blob Depolama SDK'sının istemci tarafı şifreleme v2'yi destekleyen bir sürümünü kullanacak şekilde güncelleştirin. Ayrıntılar için bkz . İstemci tarafı şifrelemesi için SDK destek matrisi. kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. Şifresini çözmek için şifrelenmiş verileri indirin, ardından istemci tarafı şifreleme v2 ile yeniden şifreleyin. |
Bloblar için istemci tarafı şifrelemesi |
| .NET (sürüm 12.11.0 ve üzeri) ve Python (sürüm 12.4 ve üzeri) için Kuyruk Depolama istemci kitaplığı | 2.0 1.0 (yalnızca geriye dönük uyumluluk için) |
kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. | Kuyruklar için istemci tarafı şifrelemesi |
| .NET (sürüm 12.10.0 ve altı) ve Python (sürüm 12.3.0 ve altı) için Kuyruk Depolama istemci kitaplığı | 1.0 (önerilmez) | Uygulamanızı istemci tarafı şifreleme v2'yi destekleyen Kuyruk Depolama SDK'sı sürümünü kullanacak şekilde güncelleştirin. İstemci tarafı şifrelemesi için bkz. SDK destek matrisi kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. |
Kuyruklar için istemci tarafı şifrelemesi |
| .NET, Java ve Python için Tablo Depolama istemci kitaplığı | 1.0 (önerilmez) | Kullanılamaz. | Yok |
Sonraki adımlar
- Azure Key Vault nedir?
- Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar
- Blob Depolama için şifreleme kapsamları
- Blob Depolama isteğinde bir şifreleme anahtarı sağlama