نظرة عامة على تشفير Azure

تقدم هذه المقالة نظرة عامة حول طريقة استخدام التشفير في Microsoft Azure. كما تتناول المجالات الرئيسة للتشفير، بما في ذلك التشفير الثابت، والتشفير أثناء الطيران، وإدارة المفاتيح باستخدام Azure Key Vault.

تشفير البيانات الثابتة

تتضمن البيانات الثابتة المعلومات الموجودة في التخزين المستمر على الوسائط المادية، بأي تنسيق رقمي. يقدم Microsoft Azure مجموعة متنوعة من حلول تخزين البيانات لتلبية الاحتياجات المختلفة، بما في ذلك الملفات والقرص والكائنات الثنائية كبيرة الحجم وتخزين الجدول. توفر Microsoft أيضا تشفيرا لحماية قاعدة بيانات Azure SQLوAzure Cosmos DB وAzure Data Lake.

يمكنك استخدام تشفير AES 256 لحماية البيانات الساكنة للخدمات عبر نماذج سحابية البرمجيات كخدمة (SaaS)، والمنصة كخدمة (PaaS)، والبنية التحتية كخدمة (IaaS).

لمناقشة أكثر تفصيلا حول كيفية تشفير Azure للبيانات أثناء السكون، راجع Azure Data Encryption at Rest.

نماذج التشفير في Azure

يدعم Azure نماذج تشفير مختلفة، بما في ذلك التشفير من جانب الخادم الذي يستخدم المفاتيح المدارة بواسطة الخدمة، أو المفاتيح التي يديرها العميل في Key Vault، أو المفاتيح التي يديرها العميل على الأجهزة التي يتحكم فيها العميل. باستخدام التشفير على جانب العميل، يمكنك إدارة وتخزين المفاتيح في الموقع أو في موقع آمن آخر.

التشفير من جانب العميل

تقوم بتشفير العميل خارج Azure. وهي تشمل:

• البيانات مشفرة بواسطة تطبيق يعمل في مركز البيانات الخاص بك أو بواسطة تطبيق خدمة
• البيانات التي تكون مشفرة بالفعل عندما تستقبلها Azure

باستخدام التشفير من جهة العميل، لا يملك مزودو خدمات السحابة إمكانية الوصول إلى مفاتيح التشفير ولا يمكنهم فك تشفير هذه البيانات. يمكنك الحفاظ على التحكم الكامل في المفاتيح.

تشفير من جانب الخادم

توفر نماذج التشفير الثلاثة من جانب الخادم خصائص مختلفة لإدارة المفاتيح:

• المفاتيح المدارة بواسطة الخدمة: توفر مزيجا من التحكم والراحة مع النفقات العامة المنخفضة.
• المفاتيح التي يديرها العميل: تمنحك التحكم في المفاتيح، بما في ذلك دعم إحضار المفاتيح الخاصة بك (BYOK)، أو يسمح لك بإنشاء مفاتيح جديدة.
• مفاتيح مدارة بالخدمة في الأجهزة التي يتحكم بها العميل: تمكنك من إدارة المفاتيح في مستودعك المملوك، خارج سيطرة مايكروسوفت (وتسمى أيضا استضافة مفتاحك الخاص أو HYOK).

تشفير قرص Azure

مهم

من المقرر إيقاف تشفير الأقراص Azure في 15 سبتمبر 2028. حتى ذلك التاريخ، يمكنك الاستمرار في استخدام تشفير الأقراص Azure دون انقطاع. في 15 سبتمبر 2028، ستستمر أحمال العمل المفعلة ب ADE، لكن الأقراص المشفرة ستفشل في فتح التشغيل بعد إعادة تشغيل الجهاز الافتراضي، مما يؤدي إلى تعطيل الخدمة.

استخدم التشفير في المضيف للأجهزة الافتراضية الجديدة، أو فكر في أحجام المحركات الافتراضية السرية مع تشفير قرص نظام التشغيل لأحمال عمل الحوسبة السرية. يجب على جميع الأجهزة الافتراضية المفعلة بدعم ADE (بما في ذلك النسخ الاحتياطية) الانتقال إلى التشفير عند المضيف قبل تاريخ التقاعد لتجنب تعطيل الخدمة. راجع Migrationate from Azure Disk Encryption إلى Encryption في المضيف لمزيد من التفاصيل.

جميع الأقراص المدارة، واللقطات، والصور مشفرة افتراضيا باستخدام تشفير خدمة التخزين باستخدام مفتاح مدار من الخدمة. بالنسبة للآلات الافتراضية، يوفر التشفير في المضيف تشفيرا متكاملا لبيانات الجهاز، بما في ذلك الأقراص المؤقتة وذاكرة تخزين التخزين المؤقت لأقراص نظام التشغيل/البيانات. يقدم Azure أيضا خيارات لإدارة المفاتيح في Azure Key Vault. لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة.

تشفير خدمة Azure Storage

يمكنك تشفير البيانات في حالة راحة في تخزين Azure Blob ومشاركة ملفات Azure لكل من سيناريوهات الخادم وجانب العميل.

تشفير خدمة التخزين Azure (SSE) يقوم تلقائيا بتشفير البيانات قبل تخزينها ويفك تشفيرها تلقائيا عند استرجاعها. يستخدم تشفير خدمة التخزين تشفير AES 256 بت، وهو أحد أقوى شفرات الكتل المتاحة.

تشفير قاعدة بيانات Azure SQL

قاعدة بيانات Azure SQL هي خدمة قاعدة بيانات علائقية للأغراض العامة تدعم هياكل مثل البيانات العلائقية وJSON والمكانية وXML. يدعم SQL Database تشفير الخادم من خلال ميزة تشفير البيانات الشفاف (TDE) والتشفير على جانب العميل من خلال ميزة Always Encrypted.

تشفير البيانات الشفاف

يقوم TDE بتشفير ملفات بيانات SQL Server، وAzure SQL Database، وAzure Synapse Analytics في الوقت الحقيقي باستخدام مفتاح تشفير قاعدة البيانات (DEK). يتم تمكين TDE افتراضيا على قواعد بيانات Azure SQL التي تم إنشاؤها حديثا.

مشفر دومًا

تتيح ميزة Always Encrypted في Azure SQL تشفير البيانات داخل تطبيقات العميل قبل تخزينها في قاعدة بيانات Azure SQL. يمكنك تمكين تفويض إدارة قواعد البيانات المحلية إلى أطراف ثالثة مع الحفاظ على الفصل بين من يملك ويمكنه عرض البيانات ومن يديرها.

التشفير على مستوى الخلية أو مستوى العمود

باستخدام قاعدة بيانات Azure SQL، يمكنك تطبيق التشفير المتماثل على أحد أعمدة البيانات باستخدام Transact-SQL. تسمى هذه الطريقة تشفير على مستوى الخلية أو تشفير مستوى العمود (CLE)، لأنه يمكنك استخدامه لتشفير أعمدة أو خلايا محددة بمفاتيح تشفير مختلفة. هذا النهج يمنحك قدرة تشفير أكثر تفصيلا مقارنة ب TDE.

تشفير قاعدة بيانات Azure Cosmos DB

Azure Cosmos DB هي قاعدة بيانات متعددة النماذج موزعة عالميا من Microsoft. يتم تشفير بيانات المستخدم المخزنة في قاعدة بيانات Azure Cosmos في التخزين غير المتطاير (محركات الحالة الصلبة) بشكل افتراضي باستخدام مفاتيح تدار من قبل الخدمة. يمكنك إضافة طبقة ثانية من التشفير باستخدام مفاتيحك الخاصة باستخدام ميزة المفاتيح المدارة من قبل العميل (CMK).

Encryption at rest in Azure Data Lake

Azure Data Lake هو مستودع على مستوى المؤسسة لكل نوع من البيانات التي يتم جمعها في مكان واحد قبل أي تعريف رسمي للمتطلبات أو المخطط. يدعم متجر Data Lake التشفير الشفاف في حالة السكون يكون مفعلا بشكل افتراضي ويتم إعداده أثناء إنشاء حسابك. افتراضيا، يدير متجر Azure Data Lake المفاتيح نيابة عنك، لكن يمكنك اختيار إدارتها بنفسك.

تستخدَم ثلاثة أنواع من المفاتيح في تشفير البيانات وفك تشفيرها، وهي: مفتاح التشفير الرئيس (MEK) ومفتاح تشفير البيانات (DEK) ومفتاح تشفير الحظر (BEK). يقوم MEK بتشفير DEK، الذي يخزن على وسائط دائمة، ويتم اشتقاق BEK من DEK وكتلة البيانات. إذا كنت تدير مفاتيحك بنفسك، يمكنك تدوير MEK.

تشفير البيانات قيد النقل

يوفر Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء انتقالها من موقع إلى آخر.

تشفير طبقة ارتباط البيانات

كلما تحركت حركة عملاء Azure بين مراكز البيانات - خارج الحدود الفيزيائية غير المسيطرة من قبل مايكروسوفت - يتم تطبيق طريقة تشفير طبقة ربط البيانات باستخدام معايير أمان MAC IEEE 802.1AE (المعروفة أيضا باسم MACsec) من نقطة إلى أخرى عبر عتاد الشبكة الأساسي. تقوم الأجهزة بتشفير الحزم قبل إرسالها، مما يمنع هجمات "الرجل في الوسط" أو هجمات التنصت/التنصت الفعلية. يتم تشغيل تشفير MACsec هذا افتراضيا لجميع نسبة استخدام الشبكة Azure التي تنتقل داخل منطقة أو بين المناطق.

تشفير TLS

تمنح Microsoft العملاء القدرة على استخدام بروتوكول أمان طبقة النقل (TLS) لحماية البيانات عند انتقالها بين الخدمات السحابية والعملاء. تفاوض مراكز البيانات Microsoft اتصال بروتوكول أمان طبقة النقل مع أنظمة العميل التي تتصل بخدمات Azure. يوفر TLS مصادقة قوية وخصوصية الرسائل وتكاملها.

مهم

ينتقل Azure لطلب TLS 1.2 أو أحدث لجميع الاتصالات بخدمات Azure. أكملت معظم خدمات Azure هذا الانتقال بحلول 31 أغسطس 2025. تأكد من استخدام تطبيقاتك TLS 1.2 أو أحدث.

تحمي السرية المثالية لإعادة التوجيه (PFS) الاتصالات بين أنظمة عملاء العملاء وخدمات Microsoft السحابية بواسطة مفاتيح فريدة. تدعم الاتصالات أطوال مفاتيح 2,048 بت المستندة إلى RSA وأطوال مفاتيح ECC 256 بت ومصادقة رسائل SHA-384 وتشفير بيانات AES-256.

معاملات Azure Storage

عند التفاعل مع Azure Storage من خلال مدخل Microsoft Azure، تتم جميع العمليات عبر HTTPS. يمكنك أيضاً استخدام واجهة برمجة تطبيقات REST لـ Storage عبر HTTPS للتفاعل مع Azure Storage. يمكنك فرض استخدام HTTPS عند استدعاء واجهات برمجة تطبيقات REST عن طريق تمكين متطلبات النقل الآمن لحساب التخزين.

توقيعات الوصول المشترك (SAS)، التي يمكنك استخدامها لتفويض الوصول إلى كائنات Azure Storage، تتضمن خيارا لتحديد أن بروتوكول HTTPS فقط يمكن استخدامه.

تشفير SMB

SMB 3.0، المستخدم للوصول إلى مشاركات Azure Files، يدعم التشفير ومتوفر في Windows Server 2012 R2 وWindows 8 وWindows 8.1 وWindows 10. يدعم الوصول عبر المناطق والوصول على سطح المكتب.

تشفير VPN

يمكنك الاتصال ب Azure عبر شبكة خاصة افتراضية تنشئ نفقا آمنا لحماية خصوصية البيانات المرسلة عبر الشبكة.

بوابات Azure VPN

بوابة Azure VPN ترسل حركة مرور مشفرة بين شبكتك الافتراضية وموقعك المحلي عبر اتصال عام أو بين الشبكات الافتراضية. تستخدم الشبكات الظاهرية الخاصة من موقع إلى موقع IPsec لتشفير النقل.

الشبكات الظاهرية الخاصة من نقطة إلى موقع

تسمح الشبكات الظاهرية الخاصة من نقطة إلى موقع لأجهزة كمبيوتر العميل الفردية بالوصول إلى شبكة Azure الظاهرية. بروتوكول النفق الآمن للمقبس (SSTP) ينشئ نفق VPN. لمزيد من المعلومات، راجع تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية.

الشبكات الظاهرية الخاصة من موقع إلى موقع

يربط اتصال بوابة VPN من موقع إلى موقع شبكتك المحلية بشبكة Azure الظاهرية عبر نفق IPsec/IKE VPN. لمزيد من المعلومات، راجع إنشاء اتصال من موقع إلى موقع.

إدارة المفاتيح باستخدام Key Vault

بدون حماية وإدارة مناسبة للمفاتيح، يصبح التشفير عديم الفائدة. يقدم Azure عدة حلول لإدارة المفاتيح، بما في ذلك Azure Key Vault، Azure Key Vault Managed HSM، Azure Cloud HSM، وAzure Payment HSM.

يلغي Key Vault الحاجة إلى تكوين وتحديث وصيانة وحدات أمان الأجهزة (HSMs) وبرمجيات إدارة المفاتيح. باستخدام Key Vault، تحافظ على السيطرة—فالتطبيقات لا تملك وصولا مباشرا إلى مفاتيحك. يمكنك أيضًا استيراد المفاتيح أو إنشاؤها في HSMs. للحصول على أقوى ضمانات عزل المفاتيح، يوفر Azure Managed HSM نطاق أمان مملوك للعملاء حيث لا تملك مايكروسوفت أي وصول إلى مواد المفاتيح الخاصة بك.

لمزيد من المعلومات حول إدارة المفاتيح في Azure، راجع إدارة المفاتيح في Azure.

الخطوات التالية

• نظرة عامة على أمان Azure
• نظرة عامة على أمان شبكة Azure
• نظرة عامة على أمان قاعدة بيانات Azure
• نظرة عامة على أمان أجهزة Azure الظاهرية
• تشفير البيانات الثابتة
• أفضل ممارسات أمان البيانات والتشفير
• إدارة المفاتيح في Azure