Data encryption in Azure DocumentDB

جميع البيانات التي يديرها Azure DocumentDB دائما مشفرة أثناء السكون. تتضمن هذه البيانات جميع قواعد بيانات النظام والمستخدم والملفات المؤقتة والسجلات والنسخ الاحتياطية.

التشفير الثابت باستخدام المفتاح المدار بواسطة الخدمة (SMK) أو المفتاح المدار من قبل العميل (CMK)

يدعم Azure DocumentDB وضعين لتشفير البيانات أثناء الراحة: مفاتيح الخدمة المدارة (SMK)ومفاتيح إدارة العملاء (CMK). تشفير البيانات باستخدام المفاتيح المدارة من قبل الخدمة هو الوضع الافتراضي ل Azure DocumentDB. في هذا الوضع، تدير الخدمة تلقائيا مفاتيح التشفير المستخدمة لتشفير بياناتك. لا تحتاج إلى اتخاذ أي إجراء لتمكين التشفير أو إدارته في هذا الوضع.

في وضع المفاتيح التي يديرها العميل ، يمكنك إحضار مفتاح التشفير الخاص بك لتشفير بياناتك. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. تُوفر المفاتيح المُدارة بواسطة العميل مزيدًا من المرونة في إدارة عناصر التحكم في الوصول. يجب عليك نشر Azure Key Vault الخاص بك وتكوينه لتخزين مفاتيح التشفير المستخدمة في مجموعة Azure DocumentDB الخاصة بك.

لا يمكن تحديد وضع التكوين إلا في وقت إنشاء نظام المجموعة. لا يمكن تغييره من وضع إلى آخر طوال عمر نظام المجموعة.

لتحقيق تشفير بياناتك، يستخدم Azure DocumentDB التشفير على جانب الخادم لتخزين Azure للبيانات في حالة الراحة. عند استخدام CMK، فأنت مسؤول عن توفير مفاتيح لتشفير البيانات وفك تشفيرها في خدمات Azure Storage. يجب تخزين هذه المفاتيح في Azure Key Vault.

المزايا التي يوفرها كل وضع (SMK أو CMK)

يوفر تشفير البيانات باستخدام مفاتيح إدارة الخدمة ل Azure DocumentDB الفوائد التالية:

• تتحكم الخدمة تلقائيا وبشكل كامل في الوصول إلى البيانات.
• تتحكم الخدمة تلقائيا وبشكل كامل في دورة حياة المفتاح، بما في ذلك تدوير المفتاح.
• لا داعي للقلق بشأن إدارة مفاتيح تشفير البيانات.
• لا يؤثر تشفير البيانات استنادا إلى المفاتيح المدارة بواسطة الخدمة سلبا على أداء أحمال العمل الخاصة بك.
• فهو يبسط إدارة مفاتيح التشفير (بما في ذلك تدويرها العادي)، وإدارة الهويات المستخدمة للوصول إلى تلك المفاتيح.

يوفر تشفير البيانات باستخدام المفاتيح المدارة من قبل العملاء ل Azure DocumentDB الفوائد التالية:

• يمكنك التحكم الكامل في الوصول إلى البيانات. يمكنك إبطال مفتاح لجعل قاعدة البيانات غير قابلة للوصول إليها.
• يمكنك التحكم الكامل في دورة حياة المفتاح لتتماشى مع سياسات الشركة.
• يمكنك إدارة جميع مفاتيح التشفير وتنظيمها مركزيا في مثيلاتك الخاصة من Azure Key Vault.
• لا يؤثر تشفير البيانات استنادا إلى المفاتيح المدارة من قبل العميل سلبا على أداء أحمال العمل الخاصة بك.
• يمكنك تنفيذ فصل الواجبات بين مسؤولي الأمان ومسؤولي قاعدة البيانات ومسؤولي النظام.

متطلبات CMK

باستخدام مفتاح التشفير المدار من قبل العميل ، فإنك تتحمل كل المسؤولية عن الحفاظ على المكونات التي تم تكوينها بشكل صحيح والمطلوبة لعمل CMK. وبالتالي، يجب عليك نشر Azure Key Vault الخاص بك وتوفير هوية مدارة معينة من قبل المستخدم. يجب إنشاء مفتاحك الخاص أو استيراده. يجب عليك منح الأذونات المطلوبة على خزنة المفاتيح، حتى يتمكن Azure DocumentDB من تنفيذ الإجراءات اللازمة على المفتاح. عليك أن تهتم بتكوين جميع جوانب الشبكة في خزنة مفاتيح Azure التي يحتفظ فيها المفتاح، حتى يتمكن جهاز Azure DocumentDB الخاص بك من الوصول إلى المفتاح. تدقيق الوصول إلى المفتاح هو أيضا مسؤوليتك.

عند تكوين مفاتيح إدارة العملاء لمجموعة Azure DocumentDB ل MonogDB، يقوم Azure Storage بتغليف مفتاح تشفير البيانات الجذرية (DEK) للحساب مع المفتاح المدار من قبل العميل في خزنة المفاتيح المرتبطة. تتغير حماية مفتاح تشفير الجذر، ولكن تظل البيانات الموجودة في حساب Azure Storage مشفرة دائما. لا يوجد أي إجراء إضافي مطلوب من جانبك للتأكد من أن بياناتك تظل مشفرة. تسري الحماية بواسطة المفاتيح المدارة من قبل العميل على الفور.

Azure Key Vault هو نظام إدارة مفاتيح خارجي قائم على السحابة. إنه متاح بشكل كبير ويوفر تخزينا آمنا وقابلا للتطوير لمفاتيح تشفير RSA. لا يسمح بالوصول المباشر إلى مفتاح مخزن، ولكنه يوفر خدمات التشفير وفك التشفير للكيانات المعتمدة. يمكن ل Key Vault إنشاء المفتاح أو استيراده أو استلامه المنقول من جهاز HSM محلي.

فيما يلي قائمة المتطلبات والتوصيات لتكوين تشفير البيانات ل Azure DocumentDB:

Key Vault

يجب أن يفي مخزن المفاتيح المستخدم لإعداد CMK بالمتطلبات التالية:

• يجب أن يكون Key Vault و Azure DocumentDB ينتميان لنفس المستأجر Microsoft Entra (Microsoft Entra).
• التوصية: قم بتعيين إعداد الأيام للاحتفاظ بالمخازن المحذوفة ل Key Vault إلى 90 يوما. لا يمكن تعريف إعداد التكوين هذا إلا في وقت إنشاء مخزن المفاتيح. بمجرد إنشاء مثيل، لا يمكن تعديل هذا الإعداد.
• قم بتمكين الميزةsoft-delete في مخزن المفاتيح لمساعدتك في الحماية من فقدان البيانات، إذا تم حذف مفتاح أو مثيل مخزن مفاتيح عن طريق الخطأ. يحتفظ Key vault بالموارد المحذوفة مبدئيا لمدة 90 يوما ما لم يستعيدها المستخدم أو يزيلها في هذه الأثناء. تحتوي إجراءات الاسترداد والإزالة على أذونات خاصة بها مقترنة بمخزن مفاتيح أو دور التحكم في الوصول المستند إلى الدور (RBAC) أو إذن نهج الوصول. تكون الميزة المحذوفة مبدئيا قيد التشغيل بشكل افتراضي. إذا كان لديك مخزن مفاتيح تم نشره منذ فترة طويلة، فقد لا يزال يتم تعطيل الحذف المبدئي. في هذه الحالة ، يمكنك تشغيله.
• قم بتمكين الحماية من الإزالة لفرض فترة احتفاظ إلزامية بالمخازن وكائنات المخزن المحذوفة.
• قم بتكوين الوصول إلى الشبكة للسماح لنظام المجموعة الخاص بك بالوصول إلى مفتاح التشفير في مخزن المفاتيح. استخدم أحد خيارات التكوين التالية:
  • السماح بالوصول العام من جميع الشبكات يسمح لجميع المضيفين على الإنترنت بالوصول إلى مخزن المفاتيح.
  • حدد تعطيل الوصول العاموالسماح لخدمات Microsoft الموثوقة بتجاوز جدار الحماية هذا لتعطيل كل الوصول العام ولكن للسماح لمجموعتك بالوصول إلى مخزن المفاتيح.

مفتاح التشفير

يجب أن يفي مفتاح التشفير المحدد لتكوين CMK بالمتطلبات التالية:

• يمكن أن يكون المفتاح المستخدم لتشفير مفتاح تشفير البيانات غير متماثل أو RSA أو RSA-HSM فقط. يتم دعم الأحجام الرئيسية من 2048 و3072 و4096.
  • التوصية: استخدم مفتاح 4,096 بت لتحسين الأمان.
• يجب أن يكون تاريخ ووقت تنشيط المفتاح (إذا تم تعيينه) في الماضي. يجب أن يكون تاريخ ووقت انتهاء الصلاحية (إذا تم تعيينه) في المستقبل.
• يجب أن يكون المفتاح في حالة التمكين .
• إذا كنت تقوم باستيراد مفتاح موجود إلى Azure Key Vault، فقم بتوفيره بتنسيقات الملفات المدعومة (.pfx، .byokأو .backup).

الأذونات

امنح هوية البيانات المدارة المعينة من قبل المستخدم في Azure DocumentDB وصولا إلى مفتاح التشفير:

• يفضل: يجب تكوين Azure Key Vault باستخدام نموذج إذن RBAC ويجب تعيين دور مستخدم تشفير خدمة تشفير Key Vault للهوية المدارة
• القديمة: إذا تم تكوين Azure Key Vault باستخدام نموذج إذن نهج الوصول، فامنح الأذونات التالية للهوية المدارة:
  • get: لاسترداد الخصائص والجزء العام من المفتاح في Key Vault.
  • list: لإدراج المفاتيح المخزنة في مخزن المفاتيح والتكرار من خلالها.
  • wrapKey: لتشفير مفتاح تشفير البيانات.
  • unwrapKey: لفك تشفير مفتاح تشفير البيانات.

تحديثات إصدار مفتاح CMK

يدعم CMK في Azure DocumentDB تحديثات تلقائية لإصدارات المفاتيح، والمعروفة أيضا بالمفاتيح بدون إصدار. خدمة Azure DocumentDB تلتقط تلقائيا النسخة الجديدة من المفتاح وتعيد تشفير مفتاح تشفير البيانات. يمكن دمج هذه الإمكانية مع ميزة التدوير التلقائي في Azure Key Vault.

Considerations

عند استخدام مفتاح مدار من قبل العميل لتشفير البيانات، اتبع هذه التوصيات لتكوين Key Vault:

• لمنع الحذف العرضي أو غير المصرح به لهذا المورد الهام، قم بتعيين تأمين مورد Azure على مخزن المفاتيح.
• راجع خيارات توفر التكرار والتكرار في Azure Key Vault وتمكينها.
• تمكين التسجيلوالتنبيه على مثيل Azure Key Vault المستخدم لتخزين المفاتيح. يوفر Key vault سجلات يسهل إدخالها في معلومات الأمان الأخرى وأدوات إدارة الأحداث (SIEM). تعد سجلات Azure Monitor أحد الأمثلة على الخدمة التي تم دمجها بالفعل.
• تمكين التدوير التلقائي للمفتاح. خدمة Azure DocumentDB تلتقط دائما أحدث إصدار من المفتاح المختار.
• قم بتأمين الوصول إلى الشبكات العامة إلى Key Vault عن طريق تحديد تعطيل الوصول العاموالسماح لخدمات Microsoft الموثوقة بتجاوز جدار الحماية هذا.

إشعار

بعد تحديد تعطيل الوصول العاموالسماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا، قد تظهر لك رسالة خطأ مشابهة لما يلي عند محاولة استخدام الوصول العام لإدارة Key Vault عبر المدخل: "لقد قمت بتمكين التحكم في الوصول إلى الشبكة. فقط الشبكات المسموح بها يمكنها الوصول إلى قبو المفاتيح هذا ". لا يمنع هذا الخطأ القدرة على توفير المفاتيح أثناء إعداد المفتاح المدار من قبل العميل أو جلب المفاتيح من Key Vault أثناء عمليات نظام المجموعة.

• احتفظ بنسخة من المفتاح الذي تم التحكم فيه للعميل في مكان آمن، أو قم بإيداعه في خدمة الضمان.
• إذا قام Key Vault بإنشاء المفتاح، فقم بإنشاء نسخة احتياطية للمفتاح قبل استخدام المفتاح لأول مرة. يمكنك فقط استعادة النسخ الاحتياطي إلى Key Vault.

محتوى ذو صلة

• اتبع هذه الخطوات لتمكين تشفير البيانات في حالة راحة باستخدام المفتاح المدار من قبل العميل في Azure DocumentDB
• أستكشاف أخطاء إعداد CMK وإصلاحها
• Migrate data to Azure DocumentDB