Określanie szyfrowania usługi Azure Storage

  • 4 min

Szyfrowanie usługi Azure Storage dla danych magazynowanych chroni dane, zapewniając spełnienie zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Procesy szyfrowania i odszyfrowywania są wykonywane automatycznie. Ponieważ dane są domyślnie zabezpieczone, nie trzeba modyfikować kodu ani aplikacji.

Podczas tworzenia konta magazynu platforma Azure generuje dla tego konta dwa 512-bitowe klucze dostępu do konta magazynu. Za pomocą tych kluczy można autoryzować dostęp do danych na koncie magazynu za pośrednictwem autoryzacji klucza współdzielonego lub tokenów SAS podpisanych przy użyciu klucza współużytkowanego.

Firma Microsoft zaleca używanie usługi Azure Key Vault do zarządzania kluczami dostępu oraz regularne obracanie i ponowne generowanie kluczy. Korzystanie z usługi Azure Key Vault ułatwia obracanie kluczy bez zakłóceń w aplikacjach. Możesz również ręcznie obrócić klucze.

Informacje o szyfrowaniu usługi Azure Storage

Zapoznaj się z następującymi cechami szyfrowania usługi Azure Storage.

  • Dane są automatycznie szyfrowane przed zapisaną w usłudze Azure Storage.

  • Dane są automatycznie odszyfrowywane po pobraniu.

  • Szyfrowanie usługi Azure Storage, szyfrowanie magazynowane, odszyfrowywanie i zarządzanie kluczami są niewidoczne dla użytkowników.

  • Wszystkie dane zapisywane w usłudze Azure Storage są szyfrowane za pomocą 256-bitowego szyfrowania standardowego (AES). AES jest jednym z najsilniejszych dostępnych szyfrów blokowych.

  • Szyfrowanie usługi Azure Storage jest włączone dla wszystkich nowych i istniejących kont magazynu i nie można ich wyłączyć.

Konfigurowanie szyfrowania usługi Azure Storage

W witrynie Azure Portal należy skonfigurować szyfrowanie usługi Azure Storage, określając typ szyfrowania. Możesz samodzielnie zarządzać kluczami lub mieć klucze zarządzane przez firmę Microsoft. Zastanów się, jak można zaimplementować szyfrowanie usługi Azure Storage na potrzeby zabezpieczeń magazynu.

Zrzut ekranu przedstawiający szyfrowanie usługi Azure Storage, w tym klucze zarządzane przez firmę Microsoft i klucze zarządzane przez klienta.

  • Szyfrowanie infrastruktury. Szyfrowanie infrastruktury można włączyć dla całego konta magazynu lub dla zakresu szyfrowania w ramach konta. Gdy szyfrowanie infrastruktury jest włączone dla konta magazynu lub zakresu szyfrowania, dane są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami.

  • Klucze zarządzane przez platformę. Klucze zarządzane przez platformę (PMK) to klucze szyfrowania generowane, przechowywane i zarządzane w całości przez platformę Azure. Klienci nie wchodzą w interakcje z zestawami PMK. Klucze używane na potrzeby usługi Azure Data Encryption-at-Rest, na przykład, są domyślnie kluczami PMKs.

  • Klucze zarządzane przez klienta. Natomiast klucze zarządzane przez klienta (CMK) to klucze odczytywane, tworzone, usuwane, aktualizowane i/lub administrowane przez co najmniej jednego klienta. Klucze przechowywane w magazynie kluczy należących do klienta lub sprzętowym module zabezpieczeń (HSM) są kluczami CMK. Bring Your Own Key (BYOK) to scenariusz klucza zarządzanego przez klienta, w którym klient importuje (przenosi) klucze z lokalizacji zewnętrznej magazynu.