Azure Storage-beveiligingsfuncties verkennen
Azure Storage maakt gebruik van SSE (Service Side Encryption) om uw gegevens automatisch te versleutelen wanneer deze worden bewaard in de cloud. Azure Storage-versleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Microsoft raadt aan om versleuteling aan de servicezijde te gebruiken om uw gegevens voor de meeste scenario's te beveiligen. De Azure Storage-clientbibliotheken voor Blob Storage en Queue Storage bieden echter ook versleuteling aan de clientzijde voor klanten die gegevens op de client moeten versleutelen.
Azure Storage-versleuteling voor inactieve gegevens
Azure Storage versleutelt uw gegevens automatisch wanneer deze naar de cloud worden bewaard. Versleuteling beschermt uw gegevens en helpt u om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling (Advanced Encryption Standard), een van de sterkste blokcoderingen die beschikbaar zijn en die compatibel is met Federal Information Processing Standards (FIPS) 140-2. Azure Storage-versleuteling is vergelijkbaar met BitLocker-versleuteling in Windows.
Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts en kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling.
Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag, de toegangslaag of het implementatiemodel. Alle nieuwe en bestaande blok-blobs, toevoeg-blobs en pagina-blobs worden versleuteld, inclusief blobs in de archieflaag. Alle opties voor Azure Storage-redundantie ondersteunen versleuteling en alle gegevens in de primaire en secundaire regio's worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage-resources worden versleuteld, waaronder blobs, schijven, bestanden, wachtrijen en tabellen. Alle objectmetagegevens worden ook versleuteld.
Er zijn geen extra kosten verbonden aan Azure Storage-versleuteling.
Encryptiesleutelbeheer
Gegevens in een nieuw opslagaccount worden standaard versleuteld met door Microsoft beheerde sleutels. U kunt blijven vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw gegevens of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, hebt u twee opties. U kunt het type sleutelbeheer of beide gebruiken:
U kunt een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files.Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Managed Hardware Security Model (HSM).
U kunt een door de klant geleverde sleutel opgeven voor Blob Storage-bewerkingen. Een client kan een versleutelingssleutel opnemen in een lees-/schrijfaanvraag voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld.
In de volgende tabel worden de opties voor sleutelbeheer voor Azure Storage-versleuteling vergeleken.
| Parameter voor sleutelbeheer | Door Microsoft beheerde sleutels | Door klant beheerde sleutels | Door de klant verstrekte sleutels |
|---|---|---|---|
| Versleutelings-/ontsleutelingsbewerkingen | Azure | Azure | Azure |
| Ondersteunde Azure Storage-services | Alle | Blob Storage, Azure Files | Blob Storage |
| Sleutelopslag | Microsoft Key Store | Azure Key Vault of Key Vault HSM | Het eigen sleutelarchief van de klant |
| Verantwoordelijkheid voor sleutelrotatie | Microsoft | Customer | Customer |
| Sleutelbeheer | Microsoft | Customer | Customer |
| Sleutelbereik | Account (standaard), container of blob | Account (standaard), container of blob | N.v.t. |
Versleuteling aan de kant van de client
De Azure Blob Storage-clientbibliotheken voor .NET, Java en Python ondersteunen het versleutelen van gegevens in clienttoepassingen voordat ze naar Azure Storage worden geĆ¼pload en gegevens ontsleutelen tijdens het downloaden naar de client. De Queue Storage-clientbibliotheken voor .NET en Python ondersteunen ook versleuteling aan de clientzijde.
De Blob Storage- en Queue Storage-clientbibliotheken maken gebruik van AES om gebruikersgegevens te versleutelen. Er zijn twee versies van versleuteling aan de clientzijde beschikbaar in de clientbibliotheken:
- Versie 2 maakt gebruik van de GCM-modus (Galois/Counter Mode) met AES. De Blob Storage- en Queue Storage SDK's ondersteunen versleuteling aan de clientzijde met v2.
- Versie 1 maakt gebruik van de CBC-modus (Cipher Block Chaining) met AES. De Blob Storage-, Queue Storage- en Table Storage-SDK's ondersteunen versleuteling aan de clientzijde met v1.