Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Storage maakt gebruik van SSE (Service Side Encryption) om uw gegevens automatisch te versleutelen wanneer deze worden bewaard in de cloud. Azure Storage versleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Microsoft raadt het gebruik van versleuteling aan de servicezijde aan om uw gegevens voor de meeste scenario's te beveiligen. De Azure Storage clientbibliotheken voor Blob Storage en Queue Storage bieden echter ook versleuteling aan de clientzijde voor klanten die gegevens op de client moeten versleutelen. Zie Versleuteling aan de clientzijde voor blobs en wachtrijen voor meer informatie.
Over servicezijde-versleuteling van Azure Storage
Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en compatibel zijn met FIPS 140-2. Azure Storage versleuteling lijkt op BitLocker-versleuteling op Windows.
Azure Storage versleuteling aan de serverzijde maakt gebruik van de 256-bits AES Galois/Counter-modus (AES-GCM) om geüploade objecten te versleutelen. Azure Storage versleuteling is ingeschakeld voor alle opslagaccounts, inclusief zowel Resource Manager als klassieke opslagaccounts. Azure Storage versleuteling kan niet worden uitgeschakeld. Omdat uw gegevens standaard zijn beveiligd, hoeft u uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage versleuteling.
Gegevens in een opslagaccount worden versleuteld, ongeacht de prestatielaag (Standard of Premium), de toegangslaag (dynamisch of statisch) of het implementatiemodel (Azure Resource Manager of klassiek). Alle nieuwe en bestaande blok-blobs, toevoeg-blobs en pagina-blobs worden versleuteld, inclusief blobs in de archieflaag. Alle Azure Storage redundantieopties ondersteunen versleuteling en alle gegevens in zowel de primaire als de secundaire regio worden versleuteld wanneer geo-replicatie is ingeschakeld. Alle Azure Storage resources worden versleuteld, waaronder blobs, schijven, bestanden, wachtrijen en tabellen. Alle objectmetagegevens worden ook versleuteld.
Er zijn geen extra kosten verbonden aan Azure Storage versleuteling.
Zie Cryptografie-API: Next Generation voor meer informatie over de cryptografische modules die onderliggende Azure Storage-versleuteling.
Zie Versleuteling aan de serverzijde van Azure beheerde schijven voor informatie over versleuteling en sleutelbeheer voor Azure beheerde schijven.
Over versleutelingssleutelbeheer
Gegevens in een nieuw opslagaccount worden standaard versleuteld met Microsoft beheerde sleutels. U kunt blijven vertrouwen op Microsoft beheerde sleutels voor de versleuteling van uw gegevens of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, hebt u twee opties. U kunt het type sleutelbeheer of beide gebruiken:
- U kunt een door customer beheerde sleutel opgeven voor het versleutelen en ontsleutelen van gegevens in Blob Storage en in Azure Files.1>1 Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Azure Key Vault Beheerde HSM (Managed Hardware Security Module). Zie Gebruik door de klant beheerde sleutels voor Azure Storage versleuteling voor meer informatie over door de klant beheerde sleutels.
- U kunt een customer-opgegeven sleutel opgeven voor Blob Storage bewerkingen. Een client die een lees- of schrijfaanvraag indient op basis van Blob Storage kan een versleutelingssleutel bevatten voor de aanvraag voor gedetailleerde controle over hoe blobgegevens worden versleuteld en ontsleuteld. Voor meer informatie over door klanten verstrekte sleutels, zie Versleutelingssleutel op aanvraag voor Blob Storage.
Standaard wordt een opslagaccount versleuteld met een sleutel die is afgestemd op het hele opslagaccount. Met versleutelingsbereiken kunt u versleuteling beheren met een sleutel die is gericht op een container of een afzonderlijke blob. U kunt versleutelingsbereiken gebruiken om veilige grenzen te maken tussen gegevens die zich in hetzelfde opslagaccount bevinden, maar tot verschillende klanten behoren. Versleutelingsbereiken kunnen gebruikmaken van Microsoft beheerde sleutels of door de klant beheerde sleutels. Zie Versleutelingsbereiken voor Blob Storage voor meer informatie over versleutelingsbereiken.
In de volgende tabel worden de opties voor sleutelbeheer voor Azure Storage versleuteling vergeleken.
| Parameter voor sleutelbeheer | door Microsoft beheerde sleutels | Door klant beheerde sleutels | Door de klant verstrekte sleutels |
|---|---|---|---|
| Versleutelings-/ontsleutelingsbewerkingen | Azure | Azure | Azure |
| ondersteunde Azure Storage services | Alle | Blob Storage, Azure Files1,2 | Blob-opslag |
| Sleutelopslag | Microsoft sleutelwinkel | Azure Key Vault of Key Vault HSM | Eigen keystore van de klant |
| Verantwoordelijkheid voor sleutelrotatie | Microsoft | Klant | Klant |
| Sleutelbeheer | Microsoft | Klant | Klant |
| Belangrijkste reikwijdte | Account (standaard), container of blob | Account (standaard), container of blob | N.v.t. |
1 Voor informatie over het maken van een account dat door de klant beheerde sleutels voor wachtrijen ondersteunt, zie Een account maken dat door de klant beheerde sleutels voor wachtrijen ondersteunt.
2 Voor informatie over het maken van een account dat ondersteuning biedt voor het gebruik van door de klant beheerde sleutels met Table Storage, raadpleegt u Een account maken dat door de klant beheerde sleutels voor tabellen ondersteunt.
Notitie
Microsoft beheerde sleutels worden op de juiste wijze geroteerd per nalevingsvereisten. Als u specifieke vereisten voor sleutelrotatie hebt, raadt Microsoft u aan om over te stappen op door de klant beheerde sleutels, zodat u de rotatie zelf kunt beheren en controleren.
Gegevens dubbel versleutelen met infrastructuurversleuteling
Klanten die een hoge mate van zekerheid vereisen dat hun gegevens veilig zijn, kunnen ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount tweemaal versleuteld ( eenmaal op serviceniveau en eenmaal op infrastructuurniveau), met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage gegevens beschermt tegen een scenario waarin een van de versleutelingsalgoritmen of sleutels kan worden aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.
Versleuteling op serviceniveau ondersteunt het gebruik van door Microsoft beheerde sleutels of door de klant beheerde sleutels met Azure Key Vault. Versleuteling op infrastructuurniveau is afhankelijk van Microsoft beheerde sleutels en maakt altijd gebruik van een afzonderlijke sleutel.
Zie Een opslagaccount maken met infrastructuurversleuteling ingeschakeld voor dubbele versleuteling van gegevens voor meer informatie over het maken van een opslagaccount dat infrastructuurversleuteling mogelijk maakt.
Versleuteling aan de clientzijde voor blobs en wachtrijen
De Azure Blob Storage-clientbibliotheken voor .NET, Java en Python ondersteunen het versleutelen van gegevens in clienttoepassingen voordat ze naar Azure Storage worden geüpload en gegevens ontsleutelen tijdens het downloaden naar de client. De Queue Storage-clientbibliotheken voor .NET en Python bieden ook ondersteuning voor versleuteling aan de clientzijde.
Notitie
Overweeg het gebruik van de versleutelingsfuncties aan de servicezijde die door Azure Storage worden geleverd om uw gegevens te beveiligen, in plaats van versleuteling aan de clientzijde.
De Blob Storage- en Queue Storage-clientbibliotheken maken gebruik van AES om gebruikersgegevens te versleutelen. Er zijn twee versies van versleuteling aan de clientzijde beschikbaar in de clientbibliotheken:
- Versie 2 maakt gebruik van de GCM-modus (Galois/Counter Mode) met AES. De Blob Storage- en Queue Storage SDK's ondersteunen versleuteling aan de clientzijde met v2.
- Versie 1 maakt gebruik van de CBC-modus (Cipher Block Chaining) met AES. De SDK's voor Blob Storage, Queue Storage en Table Storage ondersteunen versleuteling aan de clientzijde met v1.
Waarschuwing
Het gebruik van versleuteling aan de clientzijde v1 wordt niet meer aanbevolen vanwege een beveiligingsprobleem in de implementatie van de CBC-modus van de clientbibliotheek. Zie Azure Storage het bijwerken van versleuteling aan de clientzijde in SDK om beveiligingsproblemen op te lossen voor meer informatie over dit beveiligingsprobleem. Als u momenteel v1 gebruikt, wordt u aangeraden uw toepassing bij te werken voor het gebruik van versleuteling aan de clientzijde v2 en uw gegevens te migreren.
De Azure-tabelopslag SDK ondersteunt alleen versleuteling aan de clientzijde v1. Het gebruik van versleuteling aan de clientzijde met Table Storage wordt niet aanbevolen.
De volgende tabel toont welke clientbibliotheken ondersteuning bieden voor welke versies van versleuteling aan de clientzijde en richtlijnen biedt voor het migreren naar versleuteling aan de clientzijde v2.
| Clientbibliotheek | Ondersteunde versie van versleuteling aan de clientzijde | Aanbevolen migratie | Aanvullende richtlijnen |
|---|---|---|---|
| Blob Storage clientbibliotheken voor .NET (versie 12.13.0 en hoger), Java (versie 12.18.0 en hoger) en Python (versie 12.13.0 en hoger) | 2.0 1.0 (alleen voor achterwaartse compatibiliteit) |
Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. Download versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2. |
Versleuteling aan de clientzijde voor blobs |
| Blob Storage clientbibliotheek voor .NET (versie 12.12.0 en lager), Java (versie 12.17.0 en lager) en Python (versie 12.12.0 en lager) | 1.0 (niet aanbevolen) | Werk uw toepassing bij om een versie van de Blob Storage SDK te gebruiken die ondersteuning biedt voor versleuteling aan clientzijde v2. Zie de SDK-ondersteuningsmatrix voor versleuteling aan de clientzijde voor meer informatie. Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. Download versleutelde gegevens om deze te ontsleutelen en versleutel deze vervolgens opnieuw met versleuteling aan de clientzijde v2. |
Versleuteling aan de clientzijde voor blobs |
| Queue Storage-clientbibliotheek voor .NET (versie 12.11.0 en hoger) en Python (versie 12.4 en hoger) | 2.0 1.0 (alleen voor achterwaartse compatibiliteit) |
Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. | Versleuteling aan de clientzijde voor wachtrijen |
| Queue Storage-clientbibliotheek voor .NET (versie 12.10.0 en lager) en Python (versie 12.3.0 en lager) | 1.0 (niet aanbevolen) | Werk uw toepassing bij om een versie van de Queue Storage SDK-versie te gebruiken die ondersteuning biedt voor versleuteling aan de clientzijde v2. Zie SDK-ondersteuningsmatrix voor versleuteling aan clientzijde Werk uw code bij voor het gebruik van versleuteling aan de clientzijde v2. |
Versleuteling aan de clientzijde voor wachtrijen |
| Table Storage-clientbibliotheek voor .NET, Java en Python | 1.0 (niet aanbevolen) | Niet beschikbaar. | N.v.t. |