نظرة عامة على تشفير Azure

تقدم هذه المقالة نظرة عامة حول طريقة استخدام التشفير في Microsoft Azure. كما تتناول المجالات الرئيسة للتشفير، بما في ذلك التشفير الثابت، والتشفير أثناء الطيران، وإدارة المفاتيح باستخدام Azure Key Vault. يتضمن كل قسم ارتباطات تشمل معلومات أكثر تفصيلًا.

تشفير البيانات الثابتة

تتضمن البيانات الثابتة المعلومات الموجودة في التخزين المستمر على الوسائط المادية، بأي تنسيق رقمي. يمكن أن تتضمن الوسائط ملفات حول الوسائط المغناطيسية أو البصرية والبيانات المؤرشفة والنسخ الاحتياطية للبيانات. يقدم Microsoft Azure مجموعة متنوعة من حلول تخزين البيانات لتلبية الاحتياجات المختلفة، بما في ذلك الملفات والقرص والكائنات الثنائية كبيرة الحجم وتخزين الجدول. توفر Microsoft أيضا تشفيرا لحماية قاعدة بيانات Azure SQLوAzure Cosmos DB وAzure Data Lake.

يتوفر تشفير البيانات الثابتة باستخدام تشفير بيانات AES 256 للخدمات عبر البرامج كخدمة (SaaS) والنظام الأساسي كخدمة (PaaS) ونماذج سحابة البنية التحتية كخدمة (IaaS). تلخص هذه المقالة الموارد وتوفرها لمساعدتك في استخدام خيارات تشفير Azure.

للحصول على مناقشة أكثر تفصيلا حول كيفية تشفير البيانات الثابتة في Azure، راجع تشفير بيانات Azure في حالة الراحة.

نماذج التشفير في Azure

يدعم Azure نماذج تشفير مختلفة، بما في ذلك التشفير من جانب الخادم الذي يستخدم المفاتيح المدارة بواسطة الخدمة، أو المفاتيح التي يديرها العميل في Key Vault، أو المفاتيح التي يديرها العميل على الأجهزة التي يتحكم فيها العميل. مع التشفير من جانب العميل، يمكنك إدارة وتخزين المفاتيح في الموقع أو في مكان آمن آخر.

التشفير من جانب العميل

يتم تنفيذ التشفير من جانب العميل خارج Azure. وهي تشمل:

• تشفر البيانات بواسطة تطبيق يعمل في مركز بيانات العميل أو بواسطة أحد تطبيقات الخدمة.
• تكون البيانات مشفرة بالفعل عندما تتلقاها Azure.

عند التشفير من جانب العميل، لا يمكن لموفري خدمة السحابة الوصول إلى مفاتيح التشفير ولا يمكنهم فك تشفير هذه البيانات. يمكنك الحفاظ على التحكم الكامل في المفاتيح.

تشفير من جانب الخادم

توفر نماذج التشفير الثلاثة من جانب الخادم خصائص مختلفة لإدارة المفاتيح، والتي يمكنك اختيارها وفقاً لمتطلباتك:

• المفاتيح المدارة بواسطة الخدمة: توفر مزيجا من التحكم والراحة مع النفقات العامة المنخفضة.

• المفاتيح التي يديرها العميل: تمنحك التحكم في المفاتيح، بما في ذلك دعم إحضار المفاتيح الخاصة بك (BYOK)، أو يسمح لك بإنشاء مفاتيح جديدة.

• المفاتيح المدارة بواسطة الخدمة في الأجهزة التي يتحكم فيها العميل: تمكنك من إدارة المفاتيح في مستودعك الخاص، خارج نطاق تحكم Microsoft. تسمى هذه الخاصية Host Your Own Key (HYOK). مع ذلك، التكوين معقد ومعظم خدمات Azure لا تدعم هذا النموذج.

تشفير قرص Azure

يتم تشفير جميع الأقراص المدارة واللقطات والصور باستخدام تشفير خدمة التخزين باستخدام مفتاح مدار بواسطة الخدمة. يوفر Azure أيضا خيارات لحماية الأقراص المؤقتة وذاكرة التخزين المؤقت وإدارة المفاتيح في Azure Key Vault. لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة.

تشفير خدمة Azure Storage

يمكن تشفير البيانات الثابتة في تخزين كائن ثنائي كبير الحجم من Azure ومشاركات ملفات Azure في كل من السيناريوهات من جانب الخادم والعميل.

يمكن لتشفير خدمة تخزين Azure (SSE) تشفير البيانات تلقائيا قبل تخزينها، ويفك تشفير البيانات تلقائيا عند استردادها. تتسم العملية بالشفافية تمامًا للمستخدمين. يستخدم تشفير خدمة التخزين تشفير معيار التشفير المتقدم (AES) 256 بت، وهو أحد أقوى شفرات الكتلة المتوفرة. تعالج AES التشفير وفك التشفير وإدارة المفاتيح بشفافية.

التشفير من جانب العميل في كائن ثنائي كبير الحجم من Azure

يمكنك إجراء تشفير من جانب العميل في كائن ثنائي كبير الحجم من Azure بطرق مختلفة.

يمكنك استخدام مكتبة العميل Azure Storage Client Library لحزمة .NET NuGet لتشفير البيانات داخل تطبيقات العميل قبل تحميلها إلى موقع تخزين Azure.

لمعرفة المزيد حول مكتبة عميل تخزين Azure وتنزيلها لحزمة .NET NuGet، راجع Windows Azure Storage 8.3.0.

عند استخدام التشفير من جانب العميل بواسطة Key Vault، تشفر البيانات باستخدام مفتاح تشفير محتوى (CEK) متماثل لمرة واحدة الذي يتم إنشاؤه باستخدام عدة SDK لعميل Azure Storage. يشفَر CEK باستخدام مفتاح تشفير المفتاح (KEK) الذي يمكن أن يكون إما مفتاحًا متماثلًا أو زوجًا من المفاتيح غير المتماثلة. يمكنك إدارته محليًا أو تخزينه في Key Vault. ثم تُحمل البيانات المشفرة إلى Azure Storage.

لمعرفة المزيد حول التشفير من جانب العميل باستخدام Key Vault والبدء في إرشادات الكيفية، راجع البرنامج التعليمي: تشفير وفك تشفير الكائنات الثنائية كبيرة الحجم في Azure Storage باستخدام Key Vault.

وأخيرًا، يمكنك أيضاً استخدام مكتبة Azure Storage Client Library المخصصة لـ Java لإجراء تشفير من جانب العميل قبل تحميل البيانات إلى Azure Storage، وفك تشفير البيانات عند تنزيلها إلى العميل. تدعم هذه المكتبة أيضا التكامل مع Key Vault لإدارة مفتاح حساب التخزين.

تشفير البيانات الثابتة باستخدام قاعدة بيانات Azure SQL Database

قاعدة بيانات Azure SQL هي خدمة قاعدة بيانات ارتباطية للأغراض العامة في Azure تدعم بنيات مثل البيانات الارتباطية وJSON والمكانية وXML. تدعم قاعدة بيانات SQL كلًا من التشفير من جانب الخادم باستخدام ميزة تشفير البيانات الشفافة (TDE) والتشفير من جانب العميل باستخدام ميزة Always Encrypted.

تشفير البيانات الشفاف

يتم استخدام TDE لتشفير ملفات بيانات SQL Serverوقاعدة بيانات Azure SQLوAzure Synapse Analytics في الوقت الفعلي، باستخدام مفتاح تشفير قاعدة البيانات (DEK)، المخزن في سجل تمهيد قاعدة البيانات للتوفر أثناء الاسترداد.

يحمي TDE البيانات وملفات السجل باستخدام خوارزميات تشفير مقاييس التشفير المتقدمة (AES) ومقاييس تشفير البيانات الثلاثية (3DES). يجرى تشفير ملف قاعدة البيانات على مستوى الصفحة. تشفَّر الصفحات الموجودة في إحدى قواعد البيانات المشفرة قبل كتابتها على القرص ويفَك تشفيرها عند إدخالها في الذاكرة. تمكَّن خاصية TDE بشكل افتراضي على قواعد بيانات Azure SQL التي تم إنشاؤها حديثًا.

ميزة Always Encrypted

باستخدام ميزة Always Encrypted في Azure SQL، يمكنك تشفير البيانات داخل تطبيقات العميل قبل تخزينها في قاعدة بيانات Azure SQL. يمكنك أيضًا تمكين خاصية تفويض إدارة قاعدة البيانات المحلية إلى أطراف خارجية والحفاظ على الفصل بين أولئك الذين يمتلكون البيانات والذين يمكنهم عرضها وأولئك الذين يديرونها، لكن لا ينبغي أن يكون لديهم حق الوصول إليها.

التشفير على مستوى الخلية أو مستوى العمود

باستخدام قاعدة بيانات Azure SQL، يمكنك تطبيق التشفير المتماثل على أحد أعمدة البيانات باستخدام Transact-SQL. يسمى هذا الأسلوب التشفير على مستوى الخلية أو التشفير على مستوى العمود (CLE)، لأنه يمكنك استخدامه لتشفير أعمدة معينة أو حتى خلايا معينة من البيانات باستخدام مفاتيح تشفير مختلفة. يمنحك القيام بذلك إمكانية تشفير دقيقة أكثر من TDE، الذي يشفر البيانات في الصفحات.

يحتوي CLE على دوال مضمنة يمكنك استخدامها في تشفير البيانات باستخدام مفاتيح متماثلة أو غير متماثلة أو المفتاح العام للشهادة أو عبارة مرور باستخدام 3DES.

تشفير قاعدة بيانات Azure Cosmos DB

Azure Cosmos DB هي قاعدة بيانات متعددة النماذج موزعة عالميا من Microsoft. يتم تشفير بيانات المستخدم المخزنة في Azure Cosmos DB في التخزين غير المتطاير (محركات الأقراص ذات الحالة الصلبة) بشكل افتراضي. ليس هناك ضوابط لتشغيله أو تعطيله. يتم تنفيذ التشفير في وضع السكون باستخدام عدد من تقنيات الأمان، بما في ذلك أنظمة تخزين المفاتيح الآمنة والشبكات المشفرة وواجهات برمجة التطبيقات المشفرة. تدير Microsoft مفاتيح التشفير ويتم تدويرها وفقًا لإرشادات Microsoft الداخلية. اختياريا، يمكنك اختيار إضافة طبقة ثانية من التشفير باستخدام المفاتيح التي تديرها باستخدام المفاتيح المدارة من قبل العميل أو ميزة CMK .

التشفير غير النشط في Data Lake

Azure Data Lake هو مستودع على مستوى المؤسسة لكل نوع من البيانات التي يتم جمعها في مكان واحد قبل أي تعريف رسمي للمتطلبات أو المخطط. يدعم Data Lake Store التشفير الشفاف للبيانات الثابتة "قيد التشغيل بشكل افتراضي"، والذي يتم إعداده في أثناء إنشاء الحساب. بشكل افتراضي، يدير Azure Data Lake Store المفاتيح نيابة عنك، لكن يتوفر لك خيار إدارتها بنفسك.

تستخدَم ثلاثة أنواع من المفاتيح في تشفير البيانات وفك تشفيرها، وهي: مفتاح التشفير الرئيس (MEK) ومفتاح تشفير البيانات (DEK) ومفتاح تشفير الحظر (BEK). يستخدَم MEK لتشفير DEK، المخزن على الوسائط الثابتة، ويشتَق BEK من DEK وكتلة البيانات. إذا كنت تدير المفاتيح الخاصة بك، يمكنك تدوير التشفير MEK.

تشفير البيانات قيد النقل

يوفر Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء انتقالها من موقع إلى آخر.

تشفير مستوى ارتباط البيانات في Azure

كلما تتحرك حركة مرور عملاء Azure بين مراكز البيانات - خارج الحدود الفعلية التي لا تتحكم فيها Microsoft (أو نيابة عن Microsoft) - يتم تطبيق أسلوب تشفير طبقة ارتباط البيانات باستخدام معايير أمان IEEE 802.1AE MAC (المعروفة أيضا باسم MACsec) من نقطة إلى نقطة عبر أجهزة الشبكة الأساسية. يتم تشفير الحزم على الأجهزة قبل إرسالها، مما يمنع هجمات "الدخيل" الفعلية أو التطفل/التنصت. نظراً لأن هذه التقنية متكاملة على أجهزة الشبكة نفسها، فإنها توفر تشفير معدل الخط على أجهزة الشبكة مع عدم زيادة زمن انتقال الارتباط القابل للقياس. يتم تشغيل تشفير MACsec بشكل افتراضي لجميع نسب استخدام الشبكة من Azure التي تنتقل داخل إحدى المناطق أو بين المناطق، ولا يلزم اتخاذ أي إجراء من جانب العملاء لتمكينه.

تشفير TLS في Azure

تمنح Microsoft العملاء القدرة على استخدام بروتوكول أمان طبقة النقل (TLS) لحماية البيانات عند السفر بين الخدمات السحابية والعملاء. تفاوض مراكز البيانات Microsoft اتصال بروتوكول أمان طبقة النقل مع أنظمة العميل التي تتصل بخدمات Azure. يوفر بروتوكول TLS مصادقة قوية وخصوصية الرسائل وسلامتها (مما يتيح اكتشاف التلاعب بالرسائل والاعتراض والتزوير) وإمكانية التشغيل البيني ومرونة الخوارزمية وسهولة التوزيع والاستخدام.

تحمي Perfect Forward Secrety (PFS) الاتصالات بين أنظمة العملاء وخدمات Microsoft السحابية بواسطة مفاتيح فريدة. تدعم الاتصالات أيضا أطوال المفاتيح 2048 بت المستندة إلى RSA، وأطوال مفاتيح ECC 256 بت، ومصادقة رسالة SHA-384، وتشفير البيانات AES-256. يجعل هذا المزيج من الصعب على أي شخص اعتراض البيانات التي يجري نقلها والوصول إليها.

معاملات Azure Storage

عند التفاعل مع Azure Storage من خلال مدخل Microsoft Azure، تتم جميع العمليات عبر HTTPS. يمكنك أيضاً استخدام واجهة برمجة تطبيقات REST لـ Storage عبر HTTPS للتفاعل مع Azure Storage. يمكنك فرض استخدام HTTPS عند استدعاء واجهات برمجة تطبيقات REST للوصول إلى العناصر في حسابات التخزين عن طريق تمكين النقل الآمن المطلوب لحساب التخزين.

تتضمن توقيعات الوصول المشترك (SAS)، التي يمكن استخدامها لتفويض الوصول إلى كائنات Azure Storage، خيارا لتحديد أنه يمكن استخدام بروتوكول HTTPS فقط عند استخدام توقيعات الوصول المشترك. يضمن هذا الأسلوب أن أي شخص يرسل ارتباطات مع رموز SAS المميزة يستخدم البروتوكول المناسب.

يدعم SMB 3.0، الذي يستخدم للوصول إلى مشاركات ملفات Azure، التشفير، وهو متوفر في Windows Server 2012 R2 وWindows 8 وWindows 8.1 وWindows 10. يسمح بالوصول عبر المناطق وحتى الوصول على سطح المكتب.

يعمل التشفير من جانب العميل على تشفير البيانات قبل إرسالها إلى مثيل Azure Storage، إذ يتم تشفيرها أثناء انتقالها عبر الشبكة.

تشفير SMB عبر شبكات Azure الظاهرية

باستخدام SMB 3.0 في الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows Server 2012 أو أحدث، يمكنك جعل عمليات نقل البيانات آمنة عن طريق تشفير البيانات أثناء النقل عبر شبكات Azure الظاهرية. من خلال تشفير البيانات، يمكنك المساعدة في الحماية من هجمات العبث والتنصت. يمكن للمسؤولين تمكين تشفير SMB للخادم بأكمله، أو مشاركات محددة فقط.

بشكل افتراضي، بعد تشغيل تشفير SMB لمشاركة أو خادم، يسمح فقط لعملاء SMB 3.0 بالوصول إلى المشاركات المشفرة.

تشفير رحلة النقل في الأجهزة الظاهرية

يمكن تشفير البيانات أثناء النقل من وإلى وبين الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows بعدة طرق، اعتمادًا على طبيعة الاتصال.

جلسات RDP

يمكنك الاتصال بجهاز ظاهري وتسجيل الدخول إليه باستخدام بروتوكول سطح المكتب البعيد (RDP) من كمبيوتر عميل Windows، أو من جهاز Mac مع تثبيت عميل RDP. يمكن حماية البيانات أثناء النقل عبر الشبكة في جلسات RDP باستخدم TLS.

يمكنك أيضًا استخدام سطح المكتب البعيد للاتصال بجهاز Linux الظاهري في Azure.

الوصول الآمن إلى أجهزة Linux الظاهرية باستخدام SSH

للإدارة عن بعد، يمكنك استخدام Secure Shell (SSH) للاتصال ب Linux VMs التي تعمل في Azure. SSH هو بروتوكول اتصال مُشفّر يسمح بعمليات تسجيل الدخول الآمنة عبر الاتصالات غير الآمنة. يمثل بروتوكول الاتصال الافتراضي لأجهزة Linux الظاهرية المستضافة في Azure. باستخدام مفاتيح SSH للمصادقة، فإنك تلغي الحاجة إلى توفير كلمات المرور لتسجيل الدخول. يستخدم SSH مفتاح مزدوج عام/خاص (تشفير غير متماثل) للمصادقة.

تشفير Azure VPN

يمكنك الاتصال بـ Azure من خلال شبكة خاصة ظاهرية تنشئ نفقا آمنًا لحماية خصوصية البيانات التي يجري إرسالها عبر الشبكة.

بوابات Azure VPN

يمكنك استخدام بوابة Azure VPN لإرسال حركة مرور مشفرة بين شبكتك الظاهرية وموقعك المحلي عبر اتصال عام، أو لإرسال نسبة استخدام الشبكة بين الشبكات الظاهرية.

تستخدم الشبكات الظاهرية الخاصة من موقع إلى موقع IPsec لتشفير النقل. تستخدم بوابات Azure VPN مجموعة من الاقتراحات الافتراضية. يمكنك تكوين بوابات Azure VPN لاستخدام نهج أمان IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط القوة للمفاتيح الرئيسة، بدلًا من مجموعات نهج Azure الافتراضية.

الشبكات الظاهرية الخاصة من نقطة إلى موقع

تسمح الشبكات الظاهرية الخاصة من نقطة إلى موقع لأجهزة كمبيوتر العميل الفردية بالوصول إلى شبكة Azure الظاهرية. يتم استخدام بروتوكول نفق مأخذ التوصيل الآمن (SSTP) لإنشاء نفق VPN. يمكنه اجتياز جدران الحماية (يظهر النفق كاتصال HTTPS). يمكنك استخدام المرجع المصدق الجذر للبنية الأساسية للمفتاح العام الداخلي (PKI) للاتصال من نقطة إلى موقع.

يمكنك تكوين اتصال VPN من نقطة إلى موقع بشبكة ظاهرية عن طريق استخدام مدخل Microsoft Azure مع مصادقة الشهادة الرقمية أو PowerShell.

لمعرفة المزيد حول اتصالات VPN من نقطة إلى موقع بشبكات Azure الظاهرية، راجع:

تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة الشهادة: مدخل Microsoft Azure

تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة الشهادة: PowerShell

الشبكات الظاهرية الخاصة من موقع إلى موقع

يمكنك استخدام اتصال بوابة VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية عبر نفق VPN المؤمن ببروتوكول IPsec/IKE (IKEv1 أو IKEv2). يتطلب هذا النوع من الاتصال جهاز VPN محلياً يحتوي على عنوان IP عام خارجي تم تعيينه له.

يمكنك تكوين اتصال VPN من موقع إلى موقع بشبكة ظاهرية باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

لمزيد من المعلومات، راجع:

إنشاء اتصال من موقع إلى موقع في مدخل Microsoft Azure

إنشاء اتصال من موقع إلى موقع في PowerShell

إنشاء شبكة ظاهرية مع اتصال VPN من موقع إلى موقع باستخدام CLI

تشفير رحلة النقل في Data Lake

تشفَّر البيانات المتنقلة (المعروفة أيضًا باسم البيانات قيد الحركة) دائما في Data Lake Store. بالإضافة إلى تشفير البيانات قبل تخزينها في الوسائط الثابتة، يتم أيضًا تأمين البيانات دائماً أثناء النقل باستخدام بروتوكول HTTPS. يعد HTTPS البروتوكول الوحيد المعتمد لواجهات REST في Data Lake Store.

لمعرفة المزيد حول تشفير البيانات أثناء النقل في Data Lake، راجع تشفير البيانات في Data Lake Store.

إدارة المفاتيح باستخدام Key Vault

دون الحماية السليمة والإدارة المناسبة للمفاتيح، يصبح التشفير عديم الفائدة. Key Vault هو الحل الذي توصي به Microsoft لإدارة الوصول إلى مفاتيح التشفير التي تستخدمها الخدمات السحابية والتحكم فيها. يمكن تعيين أذونات الوصول إلى مفاتيح الخدمات أو للمستخدمين من خلال حسابات Microsoft Entra.

يريح Key Vault المؤسسات من الحاجة إلى تكوين وحدات أمان الأجهزة (HSMs) وبرامج إدارة المفاتيح وتصحيحها وصيانتها. عند استخدام Key Vault، فإنك تحافظ على عنصر التحكم. لا ترى Microsoft مفاتيحك أبدًا، ولا تتمتع التطبيقات بإمكانية الوصول المباشر إليها. يمكنك أيضًا استيراد المفاتيح أو إنشاؤها في HSMs.

الخطوات التالية

• نظرة عامة على أمان Azure
• نظرة عامة على أمان شبكة Azure
• نظرة عامة على أمان قاعدة بيانات Azure
• نظرة عامة على أمان أجهزة Azure الظاهرية
• تشفير البيانات الثابتة
• أفضل ممارسات أمان البيانات والتشفير