在 Azure 存储基础结构级别启用双重加密
Azure 存储使用 256 位 AES 加密(可用的最强大分组加密之一)在服务级别自动加密存储帐户中的所有数据,且符合 FIPS 140-2 规范。 如果客户要求更高级别的数据安全保证,则还可以在 Azure 存储基础结构级别启用 256 位 AES 加密,以进行双重加密。 Azure 存储数据的双重加密可以在其中一种加密算法或密钥可能泄露的情况下提供保护。 在此方案中,附加的一层加密会继续保护你的数据。
可以为整个存储帐户或帐户内的加密范围启用基础结构加密。 为存储帐户或加密范围启用基础结构加密后,将使用两种不同的加密算法和两个不同的密钥分别对数据进行两次加密:一次在服务级别,另一次在基础架构级别。
服务级别加密支持将 Microsoft 管理的密钥或客户管理的密钥与 Azure Key Vault 或 Key Vault 托管硬件安全模型 (HSM) 一起使用。 基础结构级别的加密依赖于 Microsoft 管理的密钥并始终使用单独的密钥。
若要对数据进行双重加密,必须首先创建为基础结构加密配置的存储帐户或加密范围。
对于需要对数据进行双重加密以满足合规性要求的场景,建议使用基础结构加密。 对于大多数其他场景,Azure 存储加密提供了足够强大的加密算法,并且使用基础结构加密不太可能有好处。
创建启用了基础结构加密的帐户
若要为存储帐户启用基础结构加密,必须配置存储帐户,以便在创建帐户时使用基础结构加密。 创建帐户后,无法启用或禁用基础结构加密。 存储帐户必须是常规用途 v2 或高级块 blob 类型。
若要使用 Azure 门户创建启用了基础结构加密的存储帐户,请执行以下步骤:
在 Azure 门户中,导航到“存储帐户”页。
选择“添加”按钮以添加新的“常规用途 v2”或“高级块 blob”存储帐户。
在“加密”选项卡上,找到“启用基础结构”加密,并选择“已启用”。
选择“查看 + 创建”,完成存储帐户的创建。
若要验证是否通过 Azure 门户为存储帐户启用了基础结构加密,请执行以下步骤:
导航到 Azure 门户中的存储帐户。
在“设置”下,选择“加密”。
Azure Policy 提供了一个内置策略,要求为存储帐户启用基础结构加密。
创建启用了基础结构加密的加密范围
如果为帐户启用了基础架构加密,则在该帐户上创建的任何加密范围都会自动使用基础结构加密。 如果未在帐户级别启用基础结构加密,则创建范围时可以选择为加密范围启用基础结构加密。 创建范围后,无法更改加密范围的基础结构加密设置。