إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تقدم هذه المقالة نظرة عامة حول طريقة استخدام التشفير في Microsoft Azure. كما تتناول المجالات الرئيسة للتشفير، بما في ذلك التشفير الثابت، والتشفير أثناء الطيران، وإدارة المفاتيح باستخدام Azure Key Vault.
تشفير البيانات الثابتة
تتضمن البيانات الثابتة المعلومات الموجودة في التخزين المستمر على الوسائط المادية، بأي تنسيق رقمي. يقدم Microsoft Azure مجموعة متنوعة من حلول تخزين البيانات لتلبية الاحتياجات المختلفة، بما في ذلك الملفات والقرص والكائنات الثنائية كبيرة الحجم وتخزين الجدول. توفر Microsoft أيضا تشفيرا لحماية قاعدة بيانات Azure SQLوAzure Cosmos DB وAzure Data Lake.
يتوفر تشفير البيانات الثابتة باستخدام تشفير AES 256 للخدمات عبر نماذج سحابة البرنامج كخدمة (SaaS) والنظام الأساسي كخدمة (PaaS) والبنية التحتية كخدمة (IaaS).
للحصول على مناقشة مفصلة حول كيفية تشفير البيانات الثابتة في Azure، راجع تشفير بيانات Azure في حالة الراحة.
نماذج التشفير في Azure
يدعم Azure نماذج تشفير مختلفة، بما في ذلك التشفير من جانب الخادم الذي يستخدم المفاتيح المدارة بواسطة الخدمة، أو المفاتيح التي يديرها العميل في Key Vault، أو المفاتيح التي يديرها العميل على الأجهزة التي يتحكم فيها العميل. مع التشفير من جانب العميل، يمكنك إدارة وتخزين المفاتيح في الموقع أو في مكان آمن آخر.
التشفير من جانب العميل
يتم تنفيذ التشفير من جانب العميل خارج Azure. وهي تشمل:
- البيانات المشفرة بواسطة تطبيق يتم تشغيله في مركز بيانات العميل أو بواسطة تطبيق خدمة
- البيانات المشفرة بالفعل عند استلامها بواسطة Azure
باستخدام التشفير من جانب العميل، لا يمكن لموفري الخدمات السحابية الوصول إلى مفاتيح التشفير ولا يمكنهم فك تشفير هذه البيانات. يمكنك الحفاظ على التحكم الكامل في المفاتيح.
تشفير من جانب الخادم
توفر نماذج التشفير الثلاثة من جانب الخادم خصائص مختلفة لإدارة المفاتيح:
- المفاتيح المدارة من قبل الخدمة: توفر مزيجا من التحكم والراحة مع انخفاض النفقات العامة
- المفاتيح التي يديرها العميل: تمنحك التحكم في المفاتيح، بما في ذلك دعم إحضار مفاتيحك الخاصة (BYOK)، أو تسمح لك بإنشاء مفاتيح جديدة
- المفاتيح المدارة بواسطة الخدمة في الأجهزة التي يتحكم فيها العميل: تمكنك من إدارة المفاتيح في مستودع الملكية الخاص بك، خارج سيطرة Microsoft (وتسمى أيضا استضافة مفتاحك الخاص أو HYOK)
تشفير قرص Azure
مهم
من المقرر إيقاف تشفير الأقراص Azure في 15 سبتمبر 2028. حتى ذلك التاريخ، يمكنك الاستمرار في استخدام تشفير الأقراص Azure دون انقطاع. في 15 سبتمبر 2028، ستستمر أحمال العمل المفعلة ب ADE، لكن الأقراص المشفرة ستفشل في فتح التشغيل بعد إعادة تشغيل الجهاز الافتراضي، مما يؤدي إلى تعطيل الخدمة.
استخدم التشفير في المضيف للأجهزة الافتراضية الجديدة. يجب على جميع الأجهزة الافتراضية المفعلة بدعم ADE (بما في ذلك النسخ الاحتياطية) الانتقال إلى التشفير عند المضيف قبل تاريخ التقاعد لتجنب تعطيل الخدمة. راجع Migrationate from Azure Disk Encryption إلى Encryption في المضيف لمزيد من التفاصيل.
يتم تشفير جميع الأقراص المدارة واللقطات والصور باستخدام تشفير خدمة التخزين باستخدام مفتاح مدار بواسطة الخدمة. يوفر Azure أيضا خيارات لحماية الأقراص المؤقتة وذاكرة التخزين المؤقت وإدارة المفاتيح في Azure Key Vault. لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة.
تشفير خدمة Azure Storage
يمكن تشفير البيانات الثابتة في تخزين كائن ثنائي كبير الحجم من Azure ومشاركات ملفات Azure في كل من السيناريوهات من جانب الخادم والعميل.
يمكن لتشفير خدمة تخزين Azure (SSE) تشفير البيانات تلقائيا قبل تخزينها، ويفك تشفير البيانات تلقائيا عند استردادها. يستخدم تشفير خدمة التخزين تشفير AES 256 بت، وهو أحد أقوى شفرات الكتل المتاحة.
تشفير قاعدة بيانات Azure SQL
قاعدة بيانات Azure SQL هي خدمة قاعدة بيانات علائقية للأغراض العامة تدعم هياكل مثل البيانات العلائقية وJSON والمكانية وXML. تدعم قاعدة بيانات SQL كلًا من التشفير من جانب الخادم باستخدام ميزة تشفير البيانات الشفافة (TDE) والتشفير من جانب العميل باستخدام ميزة Always Encrypted.
تشفير البيانات الشفاف
يقوم TDE بتشفير ملفات بيانات SQL ServerوAzure SQL DatabaseوAzure Synapse Analytics في الوقت الفعلي باستخدام مفتاح تشفير قاعدة البيانات (DEK). يتم تمكين TDE افتراضيا على قواعد بيانات Azure SQL التي تم إنشاؤها حديثا.
مشفر دومًا
تتيح لك ميزة Always Encrypted في Azure SQL تشفير البيانات داخل تطبيقات العميل قبل تخزينها في قاعدة بيانات Azure SQL. يمكنك تمكين تفويض إدارة قاعدة البيانات المحلية إلى جهات خارجية والحفاظ على الفصل بين أولئك الذين يمتلكون البيانات ويمكنهم عرضها وأولئك الذين يديرونها.
التشفير على مستوى الخلية أو مستوى العمود
باستخدام قاعدة بيانات Azure SQL، يمكنك تطبيق التشفير المتماثل على أحد أعمدة البيانات باستخدام Transact-SQL. يسمى هذا الأسلوب التشفير على مستوى الخلية أو التشفير على مستوى العمود (CLE) ، لأنه يمكنك استخدامه لتشفير أعمدة أو خلايا معينة بمفاتيح تشفير مختلفة ، مما يمنحك قدرة تشفير دقيقة أكثر من TDE.
تشفير قاعدة بيانات Azure Cosmos DB
Azure Cosmos DB هي قاعدة بيانات متعددة النماذج موزعة عالميا من Microsoft. يتم تشفير بيانات المستخدم المخزنة في Azure Cosmos DB في التخزين غير المتطاير (محركات الأقراص ذات الحالة الصلبة) بشكل افتراضي باستخدام المفاتيح المدارة من قبل الخدمة. يمكنك إضافة طبقة ثانية من التشفير باستخدام مفاتيحك الخاصة باستخدام ميزة المفاتيح التي يديرها العميل (CMK).
تشفير Azure Data Lake
Azure Data Lake هو مستودع بيانات على مستوى المؤسسة. يدعم Data Lake Store التشفير الشفاف "قيد التشغيل افتراضيا" للبيانات الثابتة ، والذي يتم إعداده أثناء إنشاء الحساب. بشكل افتراضي، يدير Azure Data Lake Store المفاتيح نيابة عنك، لكن يتوفر لك خيار إدارتها بنفسك.
تشفير البيانات قيد النقل
يوفر Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء انتقالها من موقع إلى آخر.
تشفير طبقة ارتباط البيانات
عندما تنتقل نسبة استخدام الشبكة لعميل Azure بين مراكز البيانات - خارج الحدود المادية التي لا تتحكم فيها Microsoft - يتم تطبيق طريقة تشفير طبقة ارتباط البيانات باستخدام معايير أمان IEEE 802.1AE MAC (المعروفة أيضا باسم MACsec) من نقطة إلى أخرى عبر أجهزة الشبكة الأساسية. يتم تشفير الحزم على الأجهزة قبل إرسالها ، مما يمنع هجمات "الوسيط" المادية أو التطفل / التنصت على المكالمات الهاتفية. يتم تشغيل تشفير MACsec هذا افتراضيا لجميع نسبة استخدام الشبكة Azure التي تنتقل داخل منطقة أو بين المناطق.
تشفير TLS
تمنح Microsoft العملاء القدرة على استخدام بروتوكول أمان طبقة النقل (TLS) لحماية البيانات عند انتقالها بين الخدمات السحابية والعملاء. تفاوض مراكز البيانات Microsoft اتصال بروتوكول أمان طبقة النقل مع أنظمة العميل التي تتصل بخدمات Azure. يوفر TLS مصادقة قوية وخصوصية الرسائل وتكاملها.
مهم
ينتقل Azure لطلب TLS 1.2 أو أحدث لجميع الاتصالات بخدمات Azure. أكملت معظم خدمات Azure هذا الانتقال بحلول 31 أغسطس 2025. تأكد من استخدام تطبيقاتك TLS 1.2 أو أحدث.
تحمي السرية المثالية لإعادة التوجيه (PFS) الاتصالات بين أنظمة عملاء العملاء وخدمات Microsoft السحابية بواسطة مفاتيح فريدة. تدعم الاتصالات أطوال مفاتيح 2,048 بت المستندة إلى RSA وأطوال مفاتيح ECC 256 بت ومصادقة رسائل SHA-384 وتشفير بيانات AES-256.
معاملات Azure Storage
عند التفاعل مع Azure Storage من خلال مدخل Microsoft Azure، تتم جميع العمليات عبر HTTPS. يمكنك أيضاً استخدام واجهة برمجة تطبيقات REST لـ Storage عبر HTTPS للتفاعل مع Azure Storage. يمكنك فرض استخدام HTTPS عند استدعاء واجهات برمجة تطبيقات REST عن طريق تمكين متطلبات النقل الآمن لحساب التخزين.
تتضمن توقيعات الوصول المشترك (SAS)، التي يمكن استخدامها لتفويض الوصول إلى كائنات Azure Storage، خيارا لتحديد أنه يمكن استخدام بروتوكول HTTPS فقط.
تشفير SMB
SMB 3.0، المستخدم للوصول إلى مشاركات Azure Files، يدعم التشفير ومتوفر في Windows Server 2012 R2 وWindows 8 وWindows 8.1 وWindows 10. يسمح بالوصول والوصول عبر المناطق على سطح المكتب.
تشفير VPN
يمكنك الاتصال بـ Azure من خلال شبكة خاصة ظاهرية تنشئ نفقا آمنًا لحماية خصوصية البيانات التي يجري إرسالها عبر الشبكة.
بوابات Azure VPN
يمكن لبوابة Azure VPN إرسال نسبة استخدام الشبكة المشفرة بين شبكتك الظاهرية وموقعك المحلي عبر اتصال عام، أو بين الشبكات الظاهرية. تستخدم الشبكات الظاهرية الخاصة من موقع إلى موقع IPsec لتشفير النقل.
الشبكات الظاهرية الخاصة من نقطة إلى موقع
تسمح الشبكات الظاهرية الخاصة من نقطة إلى موقع لأجهزة كمبيوتر العميل الفردية بالوصول إلى شبكة Azure الظاهرية. يتم استخدام بروتوكول نفق المقابس الآمن (SSTP) لإنشاء نفق VPN. لمزيد من المعلومات، راجع تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية.
الشبكات الظاهرية الخاصة من موقع إلى موقع
يربط اتصال بوابة VPN من موقع إلى موقع شبكتك المحلية بشبكة Azure الظاهرية عبر نفق IPsec/IKE VPN. لمزيد من المعلومات، راجع إنشاء اتصال من موقع إلى موقع.
إدارة المفاتيح باستخدام Key Vault
بدون الحماية والإدارة المناسبة للمفاتيح ، يصبح التشفير عديم الفائدة. Azure Key Vault هو الحل الموصى به من قبل Microsoft لإدارة الوصول إلى مفاتيح التشفير التي تستخدمها الخدمات السحابية والتحكم فيه.
يريح Key Vault المؤسسات من الحاجة إلى تكوين وحدات أمان الأجهزة (HSMs) وبرامج إدارة المفاتيح وتصحيحها وصيانتها. باستخدام Key Vault، يمكنك الحفاظ على التحكم - لا ترى Microsoft مفاتيحك أبدا، ولا يمكن للتطبيقات الوصول المباشر إليها. يمكنك أيضًا استيراد المفاتيح أو إنشاؤها في HSMs.
لمزيد من المعلومات حول إدارة المفاتيح في Azure، راجع إدارة المفاتيح في Azure.