Bekleyen veri için Azure Depolama şifrelemesi
Azure Depolama, bulutta kalıcı hale geldiğinde verilerinizi otomatik olarak şifrelemek için hizmet tarafı şifreleme (SSE) kullanır. Azure Depolama şifrelemesi verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur.
Microsoft, çoğu senaryoda verilerinizi korumak için hizmet tarafı şifrelemesi kullanılmasını önerir. Ancak Blob Depolama ve Kuyruk Depolama için Azure Depolama istemci kitaplıkları, istemcideki verileri şifrelemesi gereken müşteriler için istemci tarafı şifreleme de sağlar. Daha fazla bilgi için bkz . Bloblar ve kuyruklar için istemci tarafı şifrelemesi.
Azure Depolama hizmet tarafı şifrelemesi hakkında
Azure Depolama'daki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam olarak şifrelenir ve şifreleri çözülür ve FIPS 140-2 ile uyumludur. Azure Depolama şifrelemesi, Windows'da BitLocker şifrelemesine benzer.
Azure Depolama şifrelemesi hem Resource Manager hem de klasik depolama hesapları dahil olmak üzere tüm depolama hesapları için etkinleştirilir. Azure Depolama şifrelemesi devre dışı bırakılamaz. Verileriniz varsayılan olarak güvenli olduğundan, Azure Depolama şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.
Depolama hesabındaki veriler performans katmanından (standart veya premium), erişim katmanından (sık erişimli veya seyrek erişimli) veya dağıtım modelinden (Azure Resource Manager veya klasik) bağımsız olarak şifrelenir. Arşiv katmanındaki bloblar da dahil olmak üzere tüm yeni ve mevcut blok blobları, ekleme blobları ve sayfa blobları şifrelenir. Tüm Azure Depolama yedeklilik seçenekleri şifrelemeyi destekler ve coğrafi çoğaltma etkinleştirildiğinde hem birincil hem de ikincil bölgelerdeki tüm veriler şifrelenir. Bloblar, diskler, dosyalar, kuyruklar ve tablolar dahil olmak üzere tüm Azure Depolama kaynakları şifrelenir. Tüm nesne meta verileri de şifrelenir.
Azure Depolama şifrelemesi için ek maliyet yoktur.
Azure Depolama şifrelemesinin temel alınan şifreleme modülleri hakkında daha fazla bilgi için bkz . Şifreleme API'si: Yeni Nesil.
Azure yönetilen diskleri için şifreleme ve anahtar yönetimi hakkında bilgi için bkz . Azure yönetilen disklerinin sunucu tarafı şifrelemesi.
Şifreleme anahtarı yönetimi hakkında
Yeni bir depolama hesabındaki veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlarla şifrelenir. Verilerinizin şifrelenmesini sağlamak için Microsoft tarafından yönetilen anahtarlara güvenmeye devam edebilir veya şifrelemeyi kendi anahtarlarınızla yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz iki seçeneğiniz vardır. Anahtar yönetimi türünü veya her ikisini birden kullanabilirsiniz:
- Blob Depolama'da ve Azure Dosyalar verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.Müşteri tarafından yönetilen 1,2 anahtar Azure Key Vault veya Azure Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanmalıdır. Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarları kullanma.
- Blob Depolama işlemlerinde müşteri tarafından sağlanan bir anahtar belirtebilirsiniz. Blob Depolama'ya karşı okuma veya yazma isteğinde bulunan bir istemci, blob verilerinin nasıl şifrelendiği ve şifresinin çözülebileceği üzerinde ayrıntılı denetime yönelik istekte bir şifreleme anahtarı içerebilir. Müşteri tarafından sağlanan anahtarlar hakkında daha fazla bilgi için bkz . Blob Depolama isteğinde şifreleme anahtarı sağlama.
Varsayılan olarak, depolama hesabı, depolama hesabının tamamı kapsamındaki bir anahtarla şifrelenir. Şifreleme kapsamları, kapsayıcı veya tek bir blob kapsamındaki bir anahtarla şifrelemeyi yönetmenizi sağlar. Aynı depolama hesabında bulunan ancak farklı müşterilere ait veriler arasında güvenli sınırlar oluşturmak için şifreleme kapsamlarını kullanabilirsiniz. Şifreleme kapsamları Microsoft tarafından yönetilen anahtarları veya müşteri tarafından yönetilen anahtarları kullanabilir. Şifreleme kapsamları hakkında daha fazla bilgi için bkz . Blob depolama için şifreleme kapsamları.
Aşağıdaki tablo, Azure Depolama şifrelemesi için anahtar yönetimi seçeneklerini karşılaştırır.
Anahtar yönetimi parametresi | Microsoft tarafından yönetilen anahtarlar | Müşteri tarafından yönetilen anahtarlar | Müşteri tarafından sağlanan anahtarlar |
---|---|---|---|
Şifreleme/şifre çözme işlemleri | Azure | Azure | Azure |
Desteklenen Azure Depolama hizmetleri | Tümü | Blob Depolama, Azure Dosyalar 1,2 | Blob Depolama |
Anahtar depolama | Microsoft anahtar deposu | Azure Key Vault veya Key Vault HSM | Müşterinin kendi anahtar deposu |
Anahtar döndürme sorumluluğu | Microsoft | Müşteri | Müşteri |
Anahtar denetimi | Microsoft | Müşteri | Müşteri |
Anahtar kapsamı | Hesap (varsayılan), kapsayıcı veya blob | Hesap (varsayılan), kapsayıcı veya blob | Yok |
1 Kuyruk depolama ile müşteri tarafından yönetilen anahtarların kullanılmasını destekleyen bir hesap oluşturma hakkında bilgi için bkz . Kuyruklar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
2 Tablo depolama ile müşteri tarafından yönetilen anahtarların kullanılmasını destekleyen bir hesap oluşturma hakkında bilgi için bkz . Tablolar için müşteri tarafından yönetilen anahtarları destekleyen bir hesap oluşturma.
Not
Microsoft tarafından yönetilen anahtarlar uyumluluk gereksinimlerine göre uygun şekilde döndürülür. Belirli anahtar döndürme gereksinimleriniz varsa Microsoft, döndürmeyi kendiniz yönetebilmeniz ve denetleyebilmeniz için müşteri tarafından yönetilen anahtarlara geçmenizi önerir.
Altyapı şifrelemesi ile verileri ikiye kat şifreleme
Verilerinin güvenli olduğuna ilişkin yüksek düzeyde güvenceye ihtiyaç duyan müşteriler, Azure Depolama altyapısı düzeyinde 256 bit AES şifrelemesini de etkinleştirebilir. Altyapı şifreleme etkinleştirildiğinde, bir depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtarla iki kez (hizmet düzeyinde ve bir kez altyapı düzeyinde) şifrelenir. Azure Depolama verilerinin çift şifrelemesi, şifreleme algoritmalarından veya anahtarlardan birinin gizliliğinin tehlikeye atıldığı bir senaryoya karşı koruma sağlar. Bu senaryoda, ek şifreleme katmanı verilerinizi korumaya devam eder.
Hizmet düzeyinde şifreleme, Azure Key Vault ile Microsoft tarafından yönetilen anahtarların veya müşteri tarafından yönetilen anahtarların kullanımını destekler. Altyapı düzeyinde şifreleme, Microsoft tarafından yönetilen anahtarlara dayanır ve her zaman ayrı bir anahtar kullanır.
Altyapı şifrelemesini etkinleştiren bir depolama hesabı oluşturma hakkında daha fazla bilgi için bkz . Verilerin çift şifrelenmesini sağlamak için altyapı şifrelemesi etkinleştirilmiş bir depolama hesabı oluşturma.
Bloblar ve kuyruklar için istemci tarafı şifrelemesi
.NET, Java ve Python için Azure Blob Depolama istemci kitaplıkları, Azure Depolama'ya yüklemeden önce istemci uygulamalarındaki verilerin şifrelenmesi ve istemciye indirilirken verilerin şifresinin çözülmesini destekler. .NET ve Python için Kuyruk Depolama istemci kitaplıkları da istemci tarafı şifrelemeyi destekler.
Not
Verilerinizi korumak için istemci tarafı şifreleme yerine Azure Depolama tarafından sağlanan hizmet tarafı şifreleme özelliklerini kullanmayı göz önünde bulundurun.
Blob Depolama ve Kuyruk Depolama istemci kitaplıkları, kullanıcı verilerini şifrelemek için AES kullanır. İstemci kitaplıklarında istemci tarafı şifrelemenin iki sürümü vardır:
- Sürüm 2, AES ile Galois/Counter Mode (GCM) modunu kullanır. Blob Depolama ve Kuyruk Depolama SDK'ları v2 ile istemci tarafı şifrelemeyi destekler.
- Sürüm 1, AES ile Şifreleme Blok Zinciri (CBC) modunu kullanır. Blob Depolama, Kuyruk Depolama ve Tablo Depolama SDK'ları v1 ile istemci tarafı şifrelemeyi destekler.
Uyarı
İstemci kitaplığının CBC modunda uygulanmasındaki bir güvenlik açığı nedeniyle istemci tarafı şifreleme v1'in kullanılması artık önerilmez. Bu güvenlik açığı hakkında daha fazla bilgi için bkz . Güvenlik açığını gidermek için SDK'da azure depolama istemci tarafı şifrelemesini güncelleştirme. Şu anda v1 kullanıyorsanız, uygulamanızı istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirmenizi ve verilerinizi geçirmenizi öneririz.
Azure Tablo Depolama SDK'sı yalnızca istemci tarafı şifreleme v1'i destekler. Tablo Depolama ile istemci tarafı şifrelemesi kullanılması önerilmez.
Aşağıdaki tablo, hangi istemci kitaplıklarının hangi istemci tarafı şifreleme sürümlerini desteklediğini gösterir ve istemci tarafı şifreleme v2'ye geçiş için yönergeler sağlar.
İstemci kitaplığı | desteklenen istemci tarafı şifreleme sürümü | Önerilen geçiş | Ek yönergeler |
---|---|---|---|
.NET (sürüm 12.13.0 ve üzeri), Java (sürüm 12.18.0 ve üzeri) ve Python (sürüm 12.13.0 ve üzeri) için Blob Depolama istemci kitaplıkları | 2.0 1.0 (yalnızca geriye dönük uyumluluk için) |
kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. Şifresini çözmek için şifrelenmiş verileri indirin, ardından istemci tarafı şifreleme v2 ile yeniden şifreleyin. |
Bloblar için istemci tarafı şifrelemesi |
.NET (sürüm 12.12.0 ve altı), Java (sürüm 12.17.0 ve altı) ve Python için Blob Depolama istemci kitaplığı (sürüm 12.12.0 ve altı) | 1.0 (önerilmez) | Uygulamanızı, blob depolama SDK'sının istemci tarafı şifreleme v2'yi destekleyen bir sürümünü kullanacak şekilde güncelleştirin. Ayrıntılar için bkz . İstemci tarafı şifrelemesi için SDK destek matrisi. kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. Şifresini çözmek için şifrelenmiş verileri indirin, ardından istemci tarafı şifreleme v2 ile yeniden şifreleyin. |
Bloblar için istemci tarafı şifrelemesi |
.NET (sürüm 12.11.0 ve üzeri) ve Python (sürüm 12.4 ve üzeri) için Kuyruk Depolama istemci kitaplığı | 2.0 1.0 (yalnızca geriye dönük uyumluluk için) |
kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. | Kuyruklar için istemci tarafı şifrelemesi |
.NET (sürüm 12.10.0 ve altı) ve Python için Kuyruk Depolama istemci kitaplığı (sürüm 12.3.0 ve altı) | 1.0 (önerilmez) | Uygulamanızı istemci tarafı şifreleme v2'yi destekleyen Kuyruk Depolama SDK'sı sürümünü kullanacak şekilde güncelleştirin. İstemci tarafı şifrelemesi için bkz. SDK destek matrisi kodunuzu istemci tarafı şifreleme v2 kullanacak şekilde güncelleştirin. |
Kuyruklar için istemci tarafı şifrelemesi |
.NET, Java ve Python için Tablo Depolama istemci kitaplığı | 1.0 (önerilmez) | Kullanılamaz. | Yok |