Azure Storage-versleuteling bepalen

  • 4 minuten

Azure Storage-versleuteling voor data-at-rest beschermt uw gegevens door ervoor te zorgen dat aan de beveiligings- en nalevingsverplichtingen van uw organisatie wordt voldaan. De versleutelings- en ontsleutelingsprocessen worden automatisch uitgevoerd. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen.

Wanneer u een opslagaccount maakt, genereert Azure twee 512-bits toegangssleutels voor het opslagaccount voor dat account. Deze sleutels kunnen worden gebruikt om toegang tot gegevens in uw opslagaccount te autoriseren via autorisatie voor gedeelde sleutels of via SAS-tokens die zijn ondertekend met de gedeelde sleutel.

Microsoft raadt u aan Azure Key Vault te gebruiken om uw toegangssleutels te beheren en dat u uw sleutels regelmatig roteert en opnieuw genereert. Met Behulp van Azure Key Vault kunt u uw sleutels eenvoudig roteren zonder onderbreking van uw toepassingen. U kunt uw sleutels ook handmatig draaien.

Dingen die u moet weten over Azure Storage-versleuteling

Bekijk de volgende kenmerken van Azure Storage-versleuteling.

  • Gegevens worden automatisch versleuteld voordat ze naar Azure Storage worden geschreven.

  • Gegevens worden automatisch ontsleuteld wanneer ze worden opgehaald.

  • Azure Storage-versleuteling, versleuteling at rest, ontsleuteling en sleutelbeheer zijn transparant voor gebruikers.

  • Alle gegevens die naar Azure Storage worden geschreven, worden versleuteld via 256-bits AES-versleuteling (Advanced Encryption Standard). AES is een van de sterkste blok-coderingen die beschikbaar zijn.

  • Azure Storage-versleuteling is ingeschakeld voor alle nieuwe en bestaande opslagaccounts en kan niet worden uitgeschakeld.

Azure Storage-versleuteling configureren

In Azure Portal configureert u Azure Storage-versleuteling door het versleutelingstype op te geven. U kunt de sleutels zelf beheren of u kunt de sleutels laten beheren door Microsoft. Overweeg hoe u Azure Storage-versleuteling voor uw opslagbeveiliging kunt implementeren.

Schermopname van Azure Storage-versleuteling, inclusief sleutels die worden beheerd door Microsoft en door de klant beheerde sleutels.

  • Infrastructuurversleuteling. Infrastructuurversleuteling kan worden ingeschakeld voor het hele opslagaccount of voor een versleutelingsbereik binnen een account. Wanneer infrastructuurversleuteling is ingeschakeld voor een opslagaccount of een versleutelingsbereik, worden gegevens tweemaal versleuteld( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels.

  • Door platform beheerde sleutels. Door platform beheerde sleutels (PMK's) zijn versleutelingssleutels die volledig door Azure worden gegenereerd, opgeslagen en beheerd. Klanten communiceren niet met PMK's. De sleutels die worden gebruikt voor Azure Data Encryption-at-Rest zijn bijvoorbeeld standaard PMK's.

  • Door de klant beheerde sleutels. Door de klant beheerde sleutels (CMK) zijn daarentegen sleutels gelezen, gemaakt, verwijderd, bijgewerkt en/of beheerd door een of meer klanten. Sleutels die zijn opgeslagen in een sleutelkluis van de klant of hardwarebeveiligingsmodule (HSM) zijn CMK's. Bring Your Own Key (BYOK) is een CMK-scenario waarin een klant sleutels importeert (brengt) van een externe opslaglocatie.