Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesini etkinleştirme
Makale
Azure Depolama, kullanılabilir en güçlü blok şifrelemelerinden biri olan ve FIPS 140-2 uyumlu olan GCM modu şifrelemesi ile 256 bit AES kullanarak bir depolama hesabındaki tüm verileri otomatik olarak şifreler. Verilerinin güvenli olduğuna dair daha yüksek düzeyde güvenceye ihtiyaç duyan müşteriler, çift şifreleme için Azure Depolama altyapısı düzeyinde CBC şifrelemesi ile 256 bit AES'yi de etkinleştirebilir. Azure Depolama verilerinin çift şifrelemesi, şifreleme algoritmalarından veya anahtarlardan birinin gizliliğinin ihlal edilebileceği bir senaryoya karşı koruma sağlar. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.
Altyapı şifrelemesi tüm depolama hesabı için veya bir hesaptaki bir şifreleme kapsamı için etkinleştirilebilir. Depolama hesabı veya şifreleme kapsamı için altyapı şifrelemesi etkinleştirildiğinde, veriler iki farklı şifreleme algoritması ve iki farklı anahtarla iki kez (hizmet düzeyinde ve bir kez altyapı düzeyinde) şifrelenir.
Hizmet düzeyinde şifreleme, Azure Key Vault veya Key Vault Yönetilen Donanım Güvenlik Modeli (HSM) ile Microsoft tarafından yönetilen anahtarların veya müşteri tarafından yönetilen anahtarların kullanımını destekler. Altyapı düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarlara dayanır ve her zaman ayrı bir anahtar kullanır. Azure Depolama şifrelemesi ile anahtar yönetimi hakkında daha fazla bilgi için bkz . Şifreleme anahtarı yönetimi hakkında.
Verilerinizi iki kez şifrelemek için önce altyapı şifrelemesi için yapılandırılmış bir depolama hesabı veya şifreleme kapsamı oluşturmanız gerekir. Bu makalede altyapı şifrelemenin nasıl etkinleştirileceği açıklanır.
Önemli
Uyumluluk gereksinimleri için verileri iki kez şifrelemenin gerekli olduğu senaryolar için altyapı şifrelemesi önerilir. Diğer senaryoların çoğunda, Azure Depolama şifrelemesi yeterince güçlü bir şifreleme algoritması sağlar ve altyapı şifrelemesini kullanmanın bir avantajı olma olasılığı düşüktür.
Altyapı şifrelemesi etkinleştirilmiş bir hesap oluşturma
Depolama hesabı için altyapı şifrelemesini etkinleştirmek için, bir depolama hesabını, hesabı oluştururken altyapı şifrelemesini kullanacak şekilde yapılandırmanız gerekir. Hesap oluşturulduktan sonra altyapı şifrelemesi etkinleştirilemez veya devre dışı bırakılamaz. Depolama hesabı genel amaçlı v2, premium blok blobu, premium sayfa blobu veya premium dosya paylaşımları türünde olmalıdır.
Ardından New-AzStorageAccount komutunu çağırarak genel amaçlı v2, premium blok blobu, premium sayfa blobu veya premium dosya paylaşımı depolama hesabı oluşturun. Altyapı şifrelemesini -RequireInfrastructureEncryption etkinleştirme seçeneğini ekleyin.
Aşağıdaki örnekte, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve verilerin çift şifrelemesi için altyapı şifrelemesi etkinleştirilmiş bir genel amaçlı v2 depolama hesabının nasıl oluşturulacağı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:
Depolama hesabı için altyapı şifrelemesinin etkinleştirildiğini doğrulamak için Get-AzStorageAccount komutunu çağırın. Bu komut, bir depolama hesabı özellikleri kümesi ve bunların değerlerini döndürür. özelliğindeki RequireInfrastructureEncryptionEncryption alanı alın ve olarak ayarlandığını Truedoğrulayın.
Aşağıdaki örnek özelliğinin RequireInfrastructureEncryption değerini alır. Köşeli ayraçlardaki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:
Azure CLI kullanarak altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturmak için Azure CLI sürüm 2.8.0 veya üzerini yüklediğinizden emin olun. Daha fazla bilgi için bkz . Azure CLI'yi yükleme.
Aşağıdaki örnekte, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış ve verilerin çift şifrelemesi için altyapı şifrelemesi etkinleştirilmiş bir genel amaçlı v2 depolama hesabının nasıl oluşturulacağı gösterilmektedir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:
Depolama hesabı için altyapı şifrelemesinin etkinleştirildiğini doğrulamak için az storage account show komutunu çağırın. Bu komut, bir depolama hesabı özellikleri kümesi ve bunların değerlerini döndürür. özelliğindeki requireInfrastructureEncryptionencryption alanı arayın ve olarak ayarlandığını truedoğrulayın.
Aşağıdaki örnek özelliğinin requireInfrastructureEncryption değerini alır. Köşeli ayraçlardaki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
Aşağıdaki JSON örneği, okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) için yapılandırılmış genel amaçlı bir v2 depolama hesabı oluşturur ve verilerin çift şifrelemesi için altyapı şifrelemesi etkindir. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:
Azure İlkesi, depolama hesabı için altyapı şifrelemesinin etkinleştirilmesini gerektiren yerleşik bir ilke sağlar. Daha fazla bilgi için Azure İlkesi yerleşik ilke tanımlarının Depolama bölümüne bakın.
Altyapı şifrelemesi etkinleştirilmiş bir şifreleme kapsamı oluşturma
Bir hesap için altyapı şifrelemesi etkinleştirildiyse, bu hesapta oluşturulan tüm şifreleme kapsamları otomatik olarak altyapı şifrelemesini kullanır. Altyapı şifrelemesi hesap düzeyinde etkinleştirilmemişse, kapsamı oluşturduğunuz sırada bir şifreleme kapsamı için etkinleştirme seçeneğiniz vardır. Şifreleme kapsamı için altyapı şifreleme ayarı, kapsam oluşturulduktan sonra değiştirilemez. Daha fazla bilgi için bkz . Şifreleme kapsamı oluşturma.
