在 Azure 儲存體基礎結構層級啟用雙重加密
Azure 儲存體會使用 256 位元 AES 加密,自動加密服務層級的儲存體帳戶中的所有資料,這是可用的最強區塊編碼器之一,且符合 FIPS 140-2 規範。 需要更高度保證其資料安全的客戶,也可以在 Azure 儲存體基礎結構層級啟用 256 位元 AES 加密,以進行雙重加密。 Azure 儲存體資料的雙重加密可防範其中一種加密演算法或金鑰可能遭洩漏的情況。 在此案例中,額外的加密層會繼續保護您的資料。
您可以針對整個儲存體帳戶,或針對帳戶內的加密範圍啟用基礎結構加密。 針對儲存體帳戶或加密範圍啟用基礎結構加密時,其中的資料會加密兩次;一次在服務等級,一次在基礎結構等級,且會使用兩種不同的加密演算法和兩個不同的金鑰。
服務層級加密支援使用 Microsoft 受控金鑰或客戶自控金鑰搭配 Azure Key Vault 或金鑰保存庫受控硬體安全性模型 (HSM)。 基礎結構等級的加密相依於 Microsoft 管理的金鑰,而且一律使用個別的金鑰。
若要雙重加密您的資料,您必須先建立儲存體帳戶,或針對基礎結構加密方式設定的加密範圍。
針對合規性需求需要雙重加密資料的案例,建議使用基礎結構加密。 針對大部分的其他案例,Azure 儲存體加密提供足夠強大的加密演算法,而且使用基礎結構加密可能不會有好處。
建立已啟用基礎結構加密的帳戶
若要針對儲存體帳戶啟用基礎結構加密,您必須設定儲存體帳戶,才能在建立帳戶時使用基礎結構加密。 建立帳戶之後,便無法啟用或停用基礎結構加密。 儲存體帳戶必須是一般用途 v2 類型或進階區塊 Blob。
若要使用 Azure 入口網站建立已啟用基礎結構加密的儲存體帳戶,請遵循下列步驟:
在 Azure 入口網站 中,瀏覽至 [儲存體帳戶] 頁面。
選擇 [新增] 按鈕以新增一般用途 v2 或進階區塊 Blob 儲存體帳戶。
在 [加密] 索引標籤上,找出 [啟用基礎結構加密],然後選取 [已啟用]。
選取 [檢閱 + 建立] 來完成建立儲存體帳戶。
若要透過 Azure 入口網站確認是否已針對儲存體帳戶啟用基礎結構加密,請遵循下列步驟:
在 [Azure 入口網站] 中,瀏覽至您的儲存體帳戶。
在 [設定] 底下,選擇 [加密]。
Azure 原則會提供內建原則,才能要求針對儲存體帳戶啟用基礎結構加密。
建立已啟用基礎結構加密的加密範圍
如果已針對帳戶啟用基礎結構加密,則在該帳戶上建立的任何加密範圍都會自動使用基礎結構加密。 如果未在帳戶層級啟用基礎結構加密,則可在建立範圍時,選擇為加密範圍啟用此功能。 建立範圍之後,便無法變更加密範圍的基礎結構加密設定。