تشفير البيانات في Azure Cosmos DB

  • مقالة

ينطبق على: NoSQL MongoDB كاساندرا العفريت الجدول

"التشفير في حالة السكون" عبارة تشير عادة إلى تشفير البيانات على أجهزة التخزين غير القابلة للتشفير، مثل محركات الأقراص ذات الحالة الصلبة (SSD) ومحركات الأقراص الثابتة (HDD). يخزن Azure Cosmos DB قواعد البيانات الأساسية الخاصة به على SSDs. يتم تخزين مرفقات الوسائط والنسخ الاحتياطية الخاصة بها في Azure Blob Storage، والتي يتم نسخها احتياطيا بشكل عام بواسطة محركات الأقراص الثابتة. مع إصدار التشفير الثابت ل Azure Cosmos DB، يتم تشفير جميع قواعد البيانات ومرفقات الوسائط والنسخ الاحتياطية. يجري الآن تشفير بياناتك في وضع النقل (عبر الشبكة) وفي وضع السكون (تخزين غير متطور)، مما يمنحك تشفيرًا شاملاً.

كمنصة كخدمة (PaaS)، فإن Azure Cosmos DB سهل الاستخدام. نظرًا لأن جميع بيانات المستخدم المخزنة في Azure Cosmos DB يتم تشفيرها في وضع السكون وفي وضع النقل، فلا يتعين عليك اتخاذ أي إجراء. بمعنى آخر، التشفير الثابت "قيد التشغيل" بشكل افتراضي. لا توجد ضوابط لإيقاف تشغيله أو تشغيله. يستخدم Azure Cosmos DB تشفير AES-256 في جميع المناطق التي يتم فيها تشغيل الحساب.

نحن نقدم هذه الميزة بينما نواصل تلبية اتفاقيات مستوى الخدمة (SLAs) الخاصة بالتوافر والأداء. يتم تشفير البيانات المخزنة في حساب Azure Cosmos DB تلقائيا وسلسا باستخدام المفاتيح التي تديرها Microsoft (المفاتيح المدارة بواسطة الخدمة). اختياريًا، يمكنك اختيار إضافة طبقة ثانية من التشفير باستخدام المفاتيح الخاصة بك كما هو موضح في مقال المفاتيح المُدارة بواسطة العميل.

تنفيذ التشفير في وضع السكون لـ Azure Cosmos DB

يتم تنفيذ التشفير الثابت باستخدام العديد من تقنيات الأمان، بما في ذلك أنظمة تخزين المفاتيح الآمنة والشبكات المشفرة وواجهات برمجة التطبيقات المشفرة. يجب أن تتواصل الأنظمة التي تقوم بفك تشفير البيانات ومعالجتها مع الأنظمة التي تدير المفاتيح. يوضح الرسم التخطيطي كيفية فصل تخزين البيانات المشفرة وإدارة المفاتيح.

Diagram that shows data storage and key management design.

التدفق الأساسي لطلب المستخدم هو:

  • يصبح حساب قاعدة بيانات المستخدمين جاهزًا، ويتم استرداد مفاتيح التخزين عبر طلب موجه إلى موفر موارد خدمة الإدارة.
  • ينشئ المستخدم اتصالا ب Azure Cosmos DB عبر HTTPS/النقل الآمن. (تُلخص عدة تطوير البرامج التفاصيل.)
  • يرسل المستخدم مستند JSON ليتم تخزينه عبر الاتصال الآمن الذي تم إنشاؤه مسبقًا.
  • تتم فهرسة مستند JSON ما لم يقم المستخدم بإيقاف تشغيل الفهرسة.
  • يُكتب كلٍ من مستند JSON وبيانات الفهرس لتأمين التخزين.
  • بشكل دوري، تُقرأ البيانات من التخزين الآمن ونسخها احتياطيًا إلى Azure Encrypted Blob Store.

الأسئلة الشائعة

ابحث عن إجابات للأسئلة الشائعة حول التشفير.

ما تكلفة تخزين Azure إذا تم تمكين تشفير خدمة التخزين؟

لا توجد تكلفة إضافية.

من الذي يُدير مفتاح التشفير؟

يتم تشفير البيانات المخزنة في حساب Azure Cosmos DB تلقائيا وسلسا باستخدام مفاتيح تديرها Microsoft باستخدام مفاتيح مدارة بواسطة الخدمة. اختياريا، يمكنك اختيار إضافة طبقة ثانية من التشفير باستخدام المفاتيح التي تديرها باستخدام مفاتيح يديرها العميل.

كم مرة يتم تدوير مفاتيح التشفير؟

لدى Microsoft مجموعة من الإرشادات الداخلية لتناوب مفتاح التشفير، والتي يتبعها Azure Cosmos DB. لا يتم نشر الإرشادات المحددة. تنشر Microsoft دورة حياة تطوير الأمان، والتي ينظر إليها على أنها مجموعة فرعية من الإرشادات الداخلية ولها أفضل الممارسات المفيدة للمطورين.

هل يمكنني استخدام مفاتيح التشفير الخاصة بي؟

نعم، تتوفر هذه الميزة لحسابات Azure Cosmos DB الجديدة. يجب نشره في وقت إنشاء الحساب. لمزيد من المعلومات، راجع مستند المفاتيح التي يديرها العميل.

التحذير

يتم حجز أسماء الحقول التالية على جداول واجهة برمجة تطبيقات Cassandra في الحسابات باستخدام مفاتيح يديرها العميل:

  • id
  • ttl
  • _ts
  • _etag
  • _rid
  • _self
  • _attachments
  • _epk

عندما لا يتم تمكين المفاتيح التي يديرها العميل، يتم حجز أسماء الحقول التي تبدأ فقط __sys_ .

ما هي المناطق التي تم تشغيل التشفير فيها؟

تم تشغيل التشفير لكافة بيانات المستخدم في جميع مناطق قاعدة البيانات الخاصة بـ Azure Cosmos.

هل يؤثر التشفير على زمن انتقال الأداء ومعدل النقل لاتفاقيات مستوى الخدمة؟

لا يوجد أي تأثير أو تغييرات على اتفاقيات مستوى الخدمة للأداء لأن التشفير الثابت ممكن الآن لجميع الحسابات الحالية والجديدة. للاطلاع على أحدث الضمانات، راجع اتفاقية مستوى الخدمة ل Azure Cosmos DB.

هل يدعم المحاكي المحلي التشفير الثابت؟

المحاكي هو أداة تطوير/اختبار مستقلة ولا يستخدم خدمات الإدارة الرئيسية التي تستخدمها خدمة Azure Cosmos DB المدارة. نوصي بتمكين BitLocker على محركات الأقراص حيث تقوم بتخزين بيانات اختبار المحاكي الحساسة. يدعم المحاكي تغيير دليل البيانات الافتراضي واستخدام موقع معروف.

الخطوات التالية

  • لمعرفة المزيد حول إضافة طبقة ثانية من التشفير باستخدام المفاتيح الخاصة بك، راجع مقالة المفاتيح التي يديرها العميل.
  • للحصول على نظرة عامة على أمان Azure Cosmos DB وأحدث التحسينات، راجع أمان قاعدة بيانات Azure Cosmos DB.
  • لمزيد من المعلومات حول شهادات Microsoft، راجع Azure Trust Center.