Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
служба хранилища Azure использует шифрование на стороне службы (SSE) для автоматического шифрования данных при сохранении в облаке. служба хранилища Azure шифрование защищает данные и помогает выполнять обязательства по обеспечению безопасности и соответствия организации.
Майкрософт рекомендует использовать шифрование на стороне службы для защиты данных для большинства сценариев. Однако клиентские библиотеки служба хранилища Azure для Хранилище BLOB-объектов и Queue Storage также предоставляют функцию клиентского шифрования данных для пользователей, которым требуется защищать данные на стороне клиента. Дополнительные сведения см. в разделе Шифрование на стороне клиента для BLOB-объектов и очередей.
Сведения о шифровании на стороне службы служба хранилища Azure
Данные в служба хранилища Azure шифруются и расшифровываются прозрачно с помощью 256-разрядного шифрования AES, одного из самых надежных шифров блоков и соответствует требованиям FIPS 140-2. служба хранилища Azure шифрование аналогично шифрованию BitLocker в Windows.
служба хранилища Azure шифрование на стороне сервера использует 256-разрядный режим AES Galois/Counter Mode (AES-GCM) для шифрования отправленных объектов. служба хранилища Azure шифрование включено для всех учетных записей хранения, включая как Resource Manager, так и классические учетные записи хранения. служба хранилища Azure шифрование нельзя отключить. Так как данные защищены по умолчанию, вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования служба хранилища Azure.
Данные в учетной записи хранения шифруются независимо от уровня производительности (уровня "Стандартный" или "Премиум"), уровня доступа (горячего или холодного) или модели развертывания (Azure Resource Manager или классической). Все новые и существующие блочные BLOB-объекты, добавляемые BLOB-объекты и страничные BLOB-объекты шифруются, включая BLOB-объекты на уровне архива. Все параметры избыточности служба хранилища Azure поддерживают шифрование, а все данные в основных и вторичных регионах шифруются при включении георепликации. Все служба хранилища Azure ресурсы шифруются, включая большие двоичные объекты, диски, файлы, очереди и таблицы. Также шифруются все метаданные объектов.
Дополнительные затраты на шифрование служба хранилища Azure отсутствуют.
Дополнительные сведения о криптографических модулях, используемых в шифровании служба хранилища Azure, см. в статье Cryptography API: Next Generation.
Сведения об управлении шифрованием и ключами для управляемых дисков Azure см. в разделе Server-side encryption of Azure managed disks.
Об управлении ключами шифрования
Данные в новой учетной записи хранения шифруются с помощью ключей, управляемых Майкрософт по умолчанию. Вы можете продолжать полагаться на ключи, управляемые Майкрософт для шифрования данных, или управлять шифрованием с помощью собственных ключей. Если вы решите управлять шифрованием с помощью собственных ключей, у вас есть два варианта. Можно использовать любой из типов управления ключами либо оба типа.
- Вы можете указать ключ, управляемый клиентом для шифрования и расшифровки данных в Хранилище BLOB-объектов и в Файлы Azure.1,2 Управляемые клиентом ключи должны храниться в Azure Key Vault или в модуле управления аппаратной безопасностью Azure Key Vault (HSM). Дополнительные сведения о ключах, управляемых клиентом, см. в статье Использование ключей, управляемых клиентом, для шифрования служба хранилища Azure.
- Можно указать ключ, предоставленный клиентом, для операций с Хранилище BLOB-объектов. Клиент, выполняющий запрос на чтение или запись в Хранилище BLOB-объектов, может включать ключ шифрования для запроса на детальный контроль над шифрованием и расшифровкой данных BLOB-объектов. Дополнительные сведения о предоставленных клиентом ключах см. в разделе Provide ключ шифрования для запроса на Хранилище BLOB-объектов.
По умолчанию учетная запись хранения шифруется с помощью ключа, относящегося ко всей учетной записи хранения. Области шифрования позволяют управлять шифрованием с помощью ключа, относящегося к контейнеру или отдельному BLOB-объекту. Области шифрования можно использовать для создания безопасных границ между данными, которые находятся в одной учетной записи хранения, но принадлежат разным клиентам. Области шифрования могут использовать Майкрософт управляемые ключи или ключи, управляемые клиентом. Дополнительные сведения об областях шифрования см. в разделе Области шифрования для хранилища BLOB-объектов.
В следующей таблице сравниваются параметры управления ключами для шифрования служба хранилища Azure.
| Параметр управления ключами | ключи, управляемые Майкрософт | Ключи, управляемые клиентом | Ключи, предоставляемые клиентом |
|---|---|---|---|
| Операции шифрования и расшифровки | Azure | Azure | Azure |
| поддерживаемые службы служба хранилища Azure | Все | Хранилище BLOB-объектов, Файлы Azure1,2 | Blob-хранилище |
| Хранилище ключей | хранилище ключей Майкрософт | Azure Key Vault или Key Vault HSM | Собственное хранилище ключей клиента |
| Ответственность за смену ключей | Майкрософт | Клиент | Клиент |
| Управление ключами | Майкрософт | Клиент | Клиент |
| Область ключа | Учетная запись (по умолчанию), контейнер или BLOB | Учетная запись (по умолчанию), контейнер или BLOB | Н/П |
1 Сведения о создании учетной записи, поддерживающей использование управляемых клиентом ключей с хранилищем очередей, см. в статье Создание учетной записи, которая поддерживает управляемые клиентом ключи для очередей.
2 Сведения о создании учетной записи, поддерживающей использование управляемых клиентом ключей с хранилищем таблиц, см. в статье Создание учетной записи, которая поддерживает управляемые клиентом ключи для таблиц.
Примечание.
Ключи, управляемые Майкрософт, вращаются в соответствии с требованиями соответствия. Если у вас есть определенные требования к смене ключей, Майкрософт рекомендует перейти к ключам, управляемым клиентом, чтобы управлять и проверять смену самостоятельно.
Двойное шифрование данных с помощью шифрования инфраструктуры
Клиенты, которым требуется высокий уровень уверенности в том, что их данные защищены, также могут включить 256-разрядное шифрование AES на уровне инфраструктуры служба хранилища Azure. Если включено шифрование инфраструктуры, данные в учетной записи хранения шифруются дважды — один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Двойное шифрование служба хранилища Azure данных защищает от сценария, в котором может быть скомпрометирован один из алгоритмов шифрования или ключей. В этом сценарии дополнительный уровень шифрования сохраняется для защиты данных.
Шифрование на уровне службы поддерживает использование ключей, управляемых Майкрософт, или ключей, управляемых клиентом, с Azure Key Vault. Шифрование на уровне инфраструктуры зависит от ключей, управляемых Майкрософт, и всегда использует отдельный ключ.
Дополнительные сведения о создании учетной записи хранения, которая обеспечивает шифрование инфраструктуры, см. в статье Создание учетной записи хранения с включенным шифрованием инфраструктуры для двойного шифрования данных.
Шифрование на стороне клиента для блобов и очередей данных
Клиентские библиотеки Хранилище BLOB-объектов Azure для .NET, Java и Python поддерживают шифрование данных в клиентских приложениях перед отправкой в служба хранилища Azure и расшифровку данных при скачивании на клиент. Клиентские библиотеки хранилища очередей для .NET и Python также поддерживают шифрование на стороне клиента.
Примечание.
Рекомендуется использовать функции шифрования на стороне службы, предоставляемые служба хранилища Azure для защиты данных вместо шифрования на стороне клиента.
Клиентские библиотеки Хранилище BLOB-объектов и хранилища очередей используют AES для шифрования пользовательских данных. В клиентских библиотеках доступны две версии шифрования на стороне клиента:
- В версии 2 используется режим Галуа/счетчик (GCM) с AES. Пакеты SDK для Хранилище BLOB-объектов и Queue Storage поддерживают шифрование на стороне клиента с v2.
- В версии 1 используется режим сцепления блоков шифра (CBC) с AES. Пакеты SDK для Хранилище BLOB-объектов, Queue Storage и Table Storage поддерживают шифрование на стороне клиента с использованием v1.
Предупреждение
Использование функции шифрования на стороне клиента версии 1 больше не рекомендуется из-за уязвимости системы безопасности в реализации клиентской библиотеки режима CBC. Дополнительные сведения об этой уязвимости безопасности см. в статье Обновление клиентского шифрования в служба хранилища Azure SDK для устранения уязвимости безопасности. Если сейчас вы используете версию 1, рекомендуем обновить приложение для использования шифрования на стороне клиента версии 2 и перенести данные.
Пакет SDK Azure Table Storage поддерживает только шифрование на стороне клиента версии 1. Использовать функцию шифрования на стороне клиента с Хранилищем таблиц не рекомендуется.
В следующей таблице показано, какие клиентские библиотеки поддерживают функцию шифрования на стороне клиента и каких именно версий, а также приведены рекомендации по переходу на шифрование на стороне клиента версии 2.
| Клиентская библиотека | Поддерживаемая версия шифрования на стороне клиента | Рекомендуемая миграция | Дополнительные рекомендации |
|---|---|---|---|
| Хранилище BLOB-объектов клиентские библиотеки для .NET (версия 12.13.0 и более поздней), Java (версия 12.18.0 и выше) и Python (версия 12.13.0 и выше) | 2.0 1.0 (только для обратной совместимости) |
Обновите код для использования функции шифрования на стороне клиента версии 2. Скачайте зашифрованные данные для расшифровки, а затем повторно зашифруйте их с помощью функции шифрования на стороне клиента версии 2. |
Шифрование на стороне клиента для объектов BLOB |
| Хранилище BLOB-объектов клиентская библиотека для .NET (версия 12.12.0 и ниже), Java (версия 12.17.0 и ниже) и Python (версия 12.12.0 и ниже) | 1.0 (не рекомендуется) | Обновите приложение, чтобы использовать версию пакета SDK Хранилище BLOB-объектов, поддерживающую шифрование на стороне клиента версии 2. Подробные сведения см. в разделе Таблица поддержки пакета SDK для шифрования на стороне клиента. Обновите код для использования функции шифрования на стороне клиента версии 2. Скачайте зашифрованные данные для расшифровки, а затем повторно зашифруйте их с помощью функции шифрования на стороне клиента версии 2. |
Шифрование на стороне клиента для объектов BLOB |
| Клиентская библиотека хранилища очередей для .NET (версия 12.11.0 и выше) и Python (версия 12.4 и более поздней версии) | 2.0 1.0 (только для обратной совместимости) |
Обновите код для использования функции шифрования на стороне клиента версии 2. | Шифрование на стороне клиента для очередей |
| Клиентская библиотека хранилища очередей для .NET (версия 12.10.0 и ниже) и Python (версия 12.3.0 и ниже) | 1.0 (не рекомендуется) | Обновите приложение, чтобы использовать версию SDK для Хранилища очередей, поддерживающую шифрование на стороне клиента версии 2. См. раздел Таблица поддержки пакета SDK для шифрования на стороне клиента. Обновите код для использования функции шифрования на стороне клиента версии 2. |
Шифрование на стороне клиента для очередей |
| Клиентская библиотека хранилища таблиц для .NET, Java и Python | 1.0 (не рекомендуется) | Недоступна. | Н/П |
Следующие шаги
- Что такое Azure Key Vault?
- Ключи, управляемые клиентом для шифрования хранилища Azure
- области шифрования для Хранилище BLOB-объектов
- Provide ключ шифрования для запроса на Хранилище BLOB-объектов