Azure Depolama güvenlik özelliklerini keşfedin
Azure Depolama, bulutta kalıcı hale geldiğinde verilerinizi otomatik olarak şifrelemek için hizmet tarafı şifreleme (SSE) kullanır. Azure Depolama şifrelemesi verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur.
Microsoft, çoğu senaryoda verilerinizi korumak için hizmet tarafı şifrelemesi kullanılmasını önerir. Ancak Blob Depolama ve Kuyruk Depolama için Azure Depolama istemci kitaplıkları, istemcideki verileri şifrelemesi gereken müşteriler için istemci tarafı şifreleme de sağlar.
Bekleyen veri için Azure Depolama şifrelemesi
Azure Depolama, verilerinizi bulutta kalıcı hale getirmek için otomatik olarak şifreler. Şifreleme verilerinizi korur, kuruluşunuzun güvenlik ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur. Azure Depolama'daki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit Gelişmiş Şifreleme Standardı (AES) şifrelemesi kullanılarak saydam bir şekilde şifrelenir ve şifreleri çözülür ve Federal Bilgi İşleme Standartları (FIPS) 140-2 uyumludur. Azure Depolama şifrelemesi, Windows'da BitLocker şifrelemesine benzer.
Azure Depolama şifrelemesi tüm depolama hesapları için etkindir ve devre dışı bırakılamaz. Verileriniz varsayılan olarak güvenli olduğundan, Azure Depolama şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.
Depolama hesabındaki veriler performans katmanından, erişim katmanından veya dağıtım modelinden bağımsız olarak şifrelenir. Arşiv katmanındaki bloblar da dahil olmak üzere tüm yeni ve mevcut blok blobları, ekleme blobları ve sayfa blobları şifrelenir. Tüm Azure Depolama yedeklilik seçenekleri şifrelemeyi destekler ve coğrafi çoğaltma etkinleştirildiğinde hem birincil hem de ikincil bölgelerdeki tüm veriler şifrelenir. Bloblar, diskler, dosyalar, kuyruklar ve tablolar dahil olmak üzere tüm Azure Depolama kaynakları şifrelenir. Tüm nesne meta verileri de şifrelenir.
Azure Depolama şifrelemesi için ek maliyet yoktur.
Şifreleme anahtarı yönetimi
Yeni bir depolama hesabındaki veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlarla şifrelenir. Verilerinizin şifrelenmesini sağlamak için Microsoft tarafından yönetilen anahtarlara güvenmeye devam edebilir veya şifrelemeyi kendi anahtarlarınızla yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz iki seçeneğiniz vardır. Anahtar yönetimi türünü veya her ikisini birden kullanabilirsiniz:
Blob Depolama'da ve Azure Dosyalar verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz. Müşteri tarafından yönetilen anahtarların Azure Key Vault'ta veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanması gerekir.
Blob Depolama işlemlerinde müşteri tarafından sağlanan bir anahtar belirtebilirsiniz. İstemci, blob verilerinin nasıl şifrelendiği ve şifresinin çözülebileceği üzerinde ayrıntılı denetim için okuma/yazma isteğine şifreleme anahtarı ekleyebilir.
Aşağıdaki tablo, Azure Depolama şifrelemesi için anahtar yönetimi seçeneklerini karşılaştırır.
| Anahtar yönetimi parametresi | Microsoft tarafından yönetilen anahtarlar | Müşteri tarafından yönetilen anahtarlar | Müşteri tarafından sağlanan anahtarlar |
|---|---|---|---|
| Şifreleme/şifre çözme işlemleri | Azure | Azure | Azure |
| Desteklenen Azure Depolama hizmetleri | Tümünü | Blob Depolama, Azure Dosyalar | Blob Depolama |
| Anahtar depolama | Microsoft anahtar deposu | Azure Key Vault veya Key Vault HSM | Müşterinin kendi anahtar deposu |
| Anahtar döndürme sorumluluğu | Microsoft | Müşteri | Müşteri |
| Anahtar denetimi | Microsoft | Müşteri | Müşteri |
| Anahtar kapsamı | Hesap (varsayılan), kapsayıcı veya blob | Hesap (varsayılan), kapsayıcı veya blob | Yok |
İstemci Tarafında Şifreleme
.NET, Java ve Python için Azure Blob Depolama istemci kitaplıkları, Azure Depolama'ya yüklemeden önce istemci uygulamalarındaki verilerin şifrelenmesi ve istemciye indirilirken verilerin şifresinin çözülmesini destekler. .NET ve Python için Kuyruk Depolama istemci kitaplıkları da istemci tarafı şifrelemeyi destekler.
Blob Depolama ve Kuyruk Depolama istemci kitaplıkları, kullanıcı verilerini şifrelemek için AES kullanır. İstemci kitaplıklarında istemci tarafı şifrelemenin iki sürümü vardır:
- Sürüm 2, AES ile Galois/Counter Mode (GCM) modunu kullanır. Blob Depolama ve Kuyruk Depolama SDK'ları v2 ile istemci tarafı şifrelemeyi destekler.
- Sürüm 1, AES ile Şifreleme Blok Zinciri (CBC) modunu kullanır. Blob Depolama, Kuyruk Depolama ve Tablo Depolama SDK'ları v1 ile istemci tarafı şifrelemeyi destekler.