Области шифрования для облака хранения BLOB

Области шифрования позволяют управлять шифрованием с помощью ключа, относящегося к контейнеру или отдельному BLOB-объекту. Области шифрования можно использовать для создания безопасных границ между данными, которые находятся в одной учетной записи хранения, но принадлежат разным клиентам.

Дополнительные сведения о работе с областями шифрования см. в статье "Создание областей шифрования и управление ими".

Как работают области шифрования

По умолчанию учетная запись хранения шифруется с помощью ключа, относящегося ко всей учетной записи хранения. При определении области шифрования необходимо указать ключ, который может быть ограничен контейнером или отдельным BLOB-объектом. При применении области шифрования к объекту-blob, он шифруется с этим ключом. Если область шифрования применяется к контейнеру, она служит областью по умолчанию для больших двоичных объектов в этом контейнере, чтобы все большие двоичные объекты, отправленные в этот контейнер, могли быть зашифрованы с одним ключом. Контейнер можно настроить для применения области шифрования по умолчанию для всех больших двоичных объектов в контейнере или для передачи отдельного большого двоичного объекта в контейнер с областью шифрования, отличной от стандартной.

Операции чтения с большим двоичным объектом, созданным с областью шифрования, выполняются прозрачно, пока область шифрования не отключена.

Управление ключами

При определении области шифрования можно указать, защищена ли область с помощью управляемого корпорацией Майкрософт ключа или ключа, управляемого клиентом, который хранится в Azure Key Vault. Разные области шифрования в одной учетной записи хранения могут использовать ключи, управляемые корпорацией Майкрософт или управляемыми клиентом. Вы также можете переключать тип ключа, используемого для защиты области шифрования от управляемого клиентом ключа на ключ, управляемый корпорацией Майкрософт, или наоборот, в любое время. Дополнительные сведения о ключах, управляемых клиентом, см. в разделе Ключи, управляемые клиентом, для шифрования службы хранилища Azure. Дополнительные сведения о ключах, управляемых Майкрософт, см. в разделе Сведения об управлении ключами шифрования.

Если вы определяете область шифрования с ключом, управляемым клиентом, можно обновить версию ключа автоматически или вручную. Если вы решили автоматически обновить версию ключа, служба хранилища Azure проверяет хранилище ключей или управляемый модуль HSM ежедневно для новой версии управляемого клиентом ключа и автоматически обновляет ключ до последней версии. Дополнительные сведения об обновлении версии ключа для управляемого клиентом ключа см. в разделе "Обновление версии ключа".

Политика Azure предоставляет встроенную политику, которая требует, чтобы области шифрования использовали ключи, управляемые клиентом. Дополнительные сведения см. в разделе Хранилище в статье Встроенные определения политик Azure Policy.

Учетная запись хранения может содержать до 10 000 областей шифрования, защищенных с помощью ключей, управляемых клиентом, для которых версия ключа автоматически обновляется. Если у вашей учетной записи хранения уже есть 10 000 областей шифрования, защищенных с помощью ключей, управляемых клиентом, которые автоматически обновляются, версия ключа должна быть обновлена вручную для любых дополнительных областей шифрования, защищенных с помощью ключей, управляемых клиентом.

Шифрование инфраструктуры

Шифрование инфраструктуры в службе хранилища Azure обеспечивает двойное шифрование данных. При шифровании инфраструктуры данные шифруются дважды ( один раз на уровне службы и один раз на уровне инфраструктуры) с двумя разными алгоритмами шифрования и двумя разными ключами.

Шифрование инфраструктуры поддерживается для области шифрования, а также на уровне учетной записи хранения. Если для учетной записи включено шифрование инфраструктуры, то любая область шифрования, созданная в этой учетной записи, автоматически использует шифрование инфраструктуры. Если инфраструктурное шифрование не включено на уровне учетной записи, вы можете включить его для области шифрования при создании области. Параметр шифрования инфраструктуры для области шифрования невозможно изменить после создания области.

Дополнительные сведения о шифровании инфраструктуры см. в разделе "Включение шифрования инфраструктуры" для двойного шифрования данных.

Области шифрования для контейнеров и блобов

При создании контейнера можно указать область шифрования по умолчанию для больших двоичных объектов, которые впоследствии отправляются в этот контейнер. При указании области шифрования по умолчанию для контейнера можно решить, как применяется область шифрования по умолчанию:

• Вы можете требовать, чтобы все большие двоичные объекты, отправленные в контейнер, использовали область шифрования по умолчанию. В этом случае все двоичные объекты в контейнере шифруются тем же ключом.
• Вы можете разрешить клиенту переопределить область шифрования по умолчанию для контейнера, чтобы объект BLOB мог быть загружен с областью шифрования, отличной от области по умолчанию. В этом случае большие двоичные объекты в контейнере могут быть зашифрованы с помощью разных ключей.

В следующей таблице приведены сведения о поведении операции отправки BLOB-объектов в зависимости от того, как настроена область шифрования по умолчанию для контейнера:

Область шифрования по умолчанию должна быть указана для контейнера во время создания контейнера.

Если для контейнера не указана область шифрования по умолчанию, вы можете загрузить BLOB с помощью любой области шифрования, которую вы определили для учетной записи хранения. Область шифрования должна быть указана в момент загрузки BLOB.

Отключение области шифрования

При отключении области шифрования все последующие операции чтения или записи, выполненные с областью шифрования, завершаются сбоем с кодом ошибки HTTP 403 (запрещено). Если вы повторно включите область шифрования, операции чтения и записи будут продолжаться нормально.

Если область шифрования защищена ключом, управляемым клиентом, и вы отмените ключ в хранилище ключей, данные будут недоступны. Не забудьте отключить область шифрования перед отзывом ключа в хранилище ключей, чтобы избежать оплаты за область шифрования.

Помните, что управляемые клиентом ключи защищены функцией мягкого удаления и защитой от очистки в хранилище ключей, и удаленный ключ зависит от поведения, определенного этими свойствами. Дополнительные сведения см. в одной из следующих разделов в документации по Azure Key Vault:

• Как использовать мягкое удаление с помощью PowerShell
• Как использовать мягкое удаление с помощью CLI

Выставление счетов за области шифрования

При включении области шифрования плата взимается не менее чем за 30 дней. Через 30 дней плата за область шифрования начисляется на почасовой основе.

После включения области шифрования, если отключить ее в течение 30 дней, вам все равно выставляется счет за 30 дней. Если вы отключите область шифрования через 30 дней, плата взимается за эти 30 дней, а также количество часов, в течение которых область шифрования действует через 30 дней.

Отключите все лишние области шифрования, чтобы избежать ненужных расходов.

Чтобы узнать о ценах на области шифрования, см. Цены на хранилище BLOB-объектов.

Поддержка функций

На поддержку данной функции может повлиять включение протокола Data Lake Storage 2-го поколения, протокола сетевой файловой системы (NFS) 3.0 или протокола SFTP. Если вы включили любую из этих возможностей, см. Поддержка функций Blob Storage в учетных записях хранения Azure, чтобы оценить поддержку этой функции.

Дальнейшие шаги

• Шифрование службы хранилища Azure для неактивных данных
• Создание областей шифрования и управление ими
• Ключи, управляемые клиентом, для шифрования службы хранилища Azure
• Что такое Azure Key Vault?