Sdílet prostřednictvím


Další informace o šifrování pro Azure Elastic SAN

Azure Elastic SAN používá šifrování na straně serveru (SSE) k automatickému šifrování dat uložených v elastické síti SAN. SSE chrání vaše data a pomáhá splnit požadavky vaší organizace na zabezpečení a dodržování předpisů.

Data ve svazcích Azure Elastic SAN se šifrují a dešifrují transparentně pomocí 256bitového šifrování AES, jedné z nejsilnějších dostupných blokových šifer a jsou kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech, které jsou základem šifrování dat Azure, najdete v tématu Rozhraní API kryptografie: další generace.

Služba SSE je ve výchozím nastavení povolená a nejde ji zakázat. Služba SSE nemůže být zakázaná, nemá vliv na výkon elastické sítě SAN a nemá s ní spojené žádné další náklady.

Správa šifrovacích klíčů

K dispozici jsou dva druhy šifrovacích klíčů: klíče spravované platformou a klíče spravované zákazníkem. Data zapsaná do svazku Elastic SAN se ve výchozím nastavení šifrují pomocí klíčů spravovaných platformou (spravovaných Microsoftem). Pokud chcete, můžete místo toho použít klíče spravované zákazníkem, pokud máte specifické požadavky na zabezpečení a dodržování předpisů organizace.

Při konfiguraci skupiny svazků se můžete rozhodnout použít klíče spravované platformou nebo klíče spravované zákazníkem. Všechny svazky ve skupině svazků dědí konfiguraci skupiny svazků. Mezi klíči spravovanými zákazníky a klíči spravovanými platformou můžete kdykoli přepínat. Pokud mezi těmito typy klíčů přepnete, služba Elastic SAN znovu zašifruje šifrovací klíč dat pomocí nového klíče KEK. Ochrana šifrovacího klíče dat se změní, ale data ve svazcích Elastic SAN zůstanou vždy zašifrovaná. Na vaší straně není potřeba žádná další akce, která zajistí, že jsou vaše data chráněná.

Klíče spravované zákazníkem

Pokud používáte klíče spravované zákazníkem, musíte k jeho uložení použít službu Azure Key Vault .

Můžete buď vytvořit a importovat vlastní klíče RSA a uložit je ve službě Azure Key Vault, nebo můžete vygenerovat nové klíče RSA pomocí služby Azure Key Vault. K vygenerování klíčů můžete použít rozhraní API služby Azure Key Vault nebo rozhraní pro správu. Elastická síť SAN a trezor klíčů můžou být v různých oblastech a předplatných, ale musí být ve stejném tenantovi Microsoft Entra ID.

Následující diagram znázorňuje, jak Azure Elastic SAN používá Microsoft Entra ID a trezor klíčů k provádění požadavků pomocí klíče spravovaného zákazníkem:

Diagram znázorňující, jak fungují klíče spravované zákazníkem v Azure Elastic SAN

Následující seznam vysvětluje očíslované kroky v diagramu:

  1. Správce služby Azure Key Vault uděluje oprávnění spravované identitě pro přístup k trezoru klíčů, který obsahuje šifrovací klíče. Spravovanou identitou může být identita přiřazená uživatelem, kterou vytvoříte a spravujete, nebo identitu přiřazenou systémem, která je přidružená ke skupině svazků.
  2. Vlastník skupiny svazků Azure Elastic SAN konfiguruje šifrování pomocí klíče spravovaného zákazníkem pro skupinu svazků.
  3. Azure Elastic SAN používá spravovaná identita udělená oprávnění v kroku 1 k ověření přístupu k trezoru klíčů přes Microsoft Entra ID.
  4. Azure Elastic SAN zabalí šifrovací klíč dat s klíčem spravovaným zákazníkem z trezoru klíčů.
  5. V případě operací čtení a zápisu azure Elastic SAN odesílá požadavky do služby Azure Key Vault, aby se šifrovací klíč účtu rozbalil za účelem provádění operací šifrování a dešifrování.

Další kroky