Włączanie podwójnego szyfrowania na poziomie infrastruktury usługi Azure Storage

  • 7 min

Usługa Azure Storage automatycznie szyfruje wszystkie dane na koncie magazynu na poziomie usługi przy użyciu 256-bitowego szyfrowania AES, który jest jednym z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Klienci, którzy wymagają wyższego poziomu pewności, że ich dane są bezpieczne, mogą również włączyć 256-bitowe szyfrowanie AES na poziomie infrastruktury usługi Azure Storage na potrzeby podwójnego szyfrowania. Podwójne szyfrowanie danych usługi Azure Storage chroni przed scenariuszem, w którym jeden z algorytmów szyfrowania lub kluczy może zostać naruszony. W tym scenariuszu dodatkowa warstwa szyfrowania nadal chroni dane.

Szyfrowanie infrastruktury można włączyć dla całego konta magazynu lub dla zakresu szyfrowania w ramach konta. Gdy szyfrowanie infrastruktury jest włączone dla konta magazynu lub zakresu szyfrowania, dane są szyfrowane dwa razy — raz na poziomie usługi i raz na poziomie infrastruktury — z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami.

Szyfrowanie na poziomie usługi obsługuje korzystanie z kluczy zarządzanych przez firmę Microsoft lub kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault lub modelu zabezpieczeń sprzętu zarządzanego przez usługę Key Vault (HSM). Szyfrowanie na poziomie infrastruktury opiera się na kluczach zarządzanych przez firmę Microsoft i zawsze używa oddzielnego klucza.

Aby podwójnie zaszyfrować dane, należy najpierw utworzyć konto magazynu lub zakres szyfrowania skonfigurowany na potrzeby szyfrowania infrastruktury.

Szyfrowanie infrastruktury jest zalecane w scenariuszach, w których podwójne szyfrowanie danych jest niezbędne w przypadku wymagań dotyczących zgodności. W większości innych scenariuszy szyfrowanie usługi Azure Storage zapewnia wystarczająco zaawansowany algorytm szyfrowania, a użycie szyfrowania infrastruktury jest mało prawdopodobne.

Tworzenie konta z włączonym szyfrowaniem infrastruktury

Aby włączyć szyfrowanie infrastruktury dla konta magazynu, należy skonfigurować konto magazynu tak, aby używało szyfrowania infrastruktury podczas tworzenia konta. Nie można włączyć ani wyłączyć szyfrowania infrastruktury po utworzeniu konta. Konto magazynu musi mieć typ ogólnego przeznaczenia, wersja 2 lub blokowy obiekt blob w warstwie Premium.

Aby utworzyć konto magazynu z włączonym szyfrowaniem infrastruktury za pomocą witryny Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do strony Konta magazynu.

  2. Wybierz przycisk Dodaj, aby dodać nowe konto magazynu obiektów blob ogólnego przeznaczenia w wersji 2 lub Premium.

  3. Na karcie Szyfrowanie znajdź pozycję Włącz szyfrowanie infrastruktury i wybierz pozycję Włączone.

  4. Wybierz pozycję Przejrzyj i utwórz , aby zakończyć tworzenie konta magazynu.

    Zrzut ekranu przedstawiający sposób tworzenia konta z włączonym szyfrowaniem infrastruktury.

Aby sprawdzić, czy szyfrowanie infrastruktury jest włączone dla konta magazynu w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu w witrynie Azure Portal.

  2. W obszarze Ustawienia wybierz pozycję Szyfrowanie.

    Zrzut ekranu przedstawiający sposób sprawdzania, czy szyfrowanie infrastruktury jest włączone dla konta magazynu.

    Usługa Azure Policy udostępnia wbudowane zasady, które wymagają włączenia szyfrowania infrastruktury dla konta magazynu.

Tworzenie zakresu szyfrowania z włączonym szyfrowaniem infrastruktury

Jeśli szyfrowanie infrastruktury jest włączone dla konta, dowolny zakres szyfrowania utworzony na tym koncie automatycznie używa szyfrowania infrastruktury. Jeśli szyfrowanie infrastruktury nie jest włączone na poziomie konta, możesz włączyć go dla zakresu szyfrowania w czasie tworzenia zakresu. Po utworzeniu zakresu szyfrowania nie można zmienić ustawienia szyfrowania infrastruktury.