نظرة عامة على تشفير Azure

تقدم هذه المقالة نظرة عامة حول طريقة استخدام التشفير في Microsoft Azure. كما تتناول المجالات الرئيسة للتشفير، بما في ذلك التشفير الثابت، والتشفير أثناء الطيران، وإدارة المفاتيح باستخدام Azure Key Vault. يتضمن كل قسم ارتباطات تشمل معلومات أكثر تفصيلًا.

تشفير البيانات الثابتة

تتضمن البيانات الثابتة المعلومات الموجودة في التخزين المستمر على الوسائط المادية، بأي تنسيق رقمي. يمكن أن تتضمن الوسائط ملفات حول الوسائط المغناطيسية أو البصرية والبيانات المؤرشفة والنسخ الاحتياطية للبيانات. يقدم Microsoft Azure مجموعة متنوعة من حلول تخزين البيانات لتلبية الاحتياجات المختلفة، بما في ذلك الملفات والقرص والكائنات الثنائية كبيرة الحجم وتخزين الجدول. توفر Microsoft أيضاً التشفير لحماية قاعدة بيانات Azure SQL وAzure Cosmos DB وAzure Data Lake.

يتوفر تشفير البيانات الثابتة باستخدام تشفير بيانات AES 256 للخدمات عبر البرامج كخدمة (SaaS) والنظام الأساسي كخدمة (PaaS) ونماذج سحابة البنية التحتية كخدمة (IaaS). تلخص هذه المقالة الموارد وتوفرها لمساعدتك في استخدام خيارات تشفير Azure.

للحصول على مناقشة أكثر تفصيلًا حول كيفية تشفير البيانات الثابتة في Azure، راجع تشفير بيانات Azure الثابتة.

نماذج التشفير في Azure

يدعم Azure نماذج تشفير مختلفة، بما في ذلك التشفير من جانب الخادم الذي يستخدم المفاتيح المدارة بواسطة الخدمة، أو المفاتيح التي يديرها العميل في Key Vault، أو المفاتيح التي يديرها العميل على الأجهزة التي يتحكم فيها العميل. مع التشفير من جانب العميل، يمكنك إدارة وتخزين المفاتيح في الموقع أو في مكان آمن آخر.

التشفير من جانب العميل

يتم تنفيذ التشفير من جانب العميل خارج Azure. وهي تشمل:

  • تشفر البيانات بواسطة تطبيق يعمل في مركز بيانات العميل أو بواسطة أحد تطبيقات الخدمة.
  • تكون البيانات مشفرة بالفعل عندما تتلقاها Azure.

عند التشفير من جانب العميل، لا يمكن لموفري خدمة السحابة الوصول إلى مفاتيح التشفير ولا يمكنهم فك تشفير هذه البيانات. يمكنك الحفاظ على التحكم الكامل في المفاتيح.

تشفير من جانب الخادم

توفر نماذج التشفير الثلاثة من جانب الخادم خصائص مختلفة لإدارة المفاتيح، والتي يمكنك اختيارها وفقاً لمتطلباتك:

  • المفاتيح المدارة بواسطة الخدمة: توفر مزيجًا من التحكم والراحة بجانب تقليل المصاريف الإضافية.

  • المفاتيح المدارة بواسطة العميل: توفر لك التحكم في المفاتيح، بما في ذلك دعم عرض مفاتيحك (BYOK)، أو تسمح لك بإنشاء مفاتيح جديدة.

  • المفاتيح المدارة بواسطة الخدمة في الأجهزة التي يتحكم بها العميل: تمكنك من إدارة المفاتيح في مستودعك خارج نطاق تحكم Microsoft. تسمى هذه الخاصية Host Your Own Key (HYOK). مع ذلك، التكوين معقد ومعظم خدمات Azure لا تدعم هذا النموذج.

تشفير قرص Azure

يتم تشفير جميع الأقراص المدارة واللقطات والصور باستخدام تشفير خدمة التخزين باستخدام مفتاح مدار بواسطة الخدمة. يوفر Azure أيضا خيارات لحماية الأقراص المؤقتة وذاكرة التخزين المؤقت وإدارة المفاتيح في Azure Key Vault. لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة.

تشفير خدمة Azure Storage

يمكن تشفير البيانات الثابتة في تخزين كائن ثنائي كبير الحجم من Azure ومشاركات ملفات Azure في كل من السيناريوهات من جانب الخادم والعميل.

يمكن لتقنية تشفير خدمة التخزين (SSE) في Azure أن تشفر البيانات تلقائيًا قبل تخزينها، وتفك تشفير البيانات تلقائيًا عند استردادها. تتسم العملية بالشفافية تمامًا للمستخدمين. يستخدم تشفير خدمة التخزين تشفير مقاييس التشفير المتقدمة (AES) لحجم 256 بت، وهو أحد أقوى تشفيرات الكتلة المتوفرة. تعالج AES التشفير وفك التشفير وإدارة المفاتيح بشفافية.

التشفير من جانب العميل في كائن ثنائي كبير الحجم من Azure

يمكنك إجراء تشفير من جانب العميل في كائن ثنائي كبير الحجم من Azure بطرق مختلفة.

يمكنك استخدام مكتبة العميل Azure Storage Client Library لحزمة .NET NuGet لتشفير البيانات داخل تطبيقات العميل قبل تحميلها إلى موقع تخزين Azure.

لمعرفة المزيد حول مكتبة Azure Storage Client Library وتنزيلها لحزمة .NET NuGet، راجع Windows Azure Storage 8.3.0.

عند استخدام التشفير من جانب العميل بواسطة Key Vault، تشفر البيانات باستخدام مفتاح تشفير محتوى (CEK) متماثل لمرة واحدة الذي يتم إنشاؤه باستخدام عدة SDK لعميل Azure Storage. يشفَر CEK باستخدام مفتاح تشفير المفتاح (KEK) الذي يمكن أن يكون إما مفتاحًا متماثلًا أو زوجًا من المفاتيح غير المتماثلة. يمكنك إدارته محليًا أو تخزينه في Key Vault. ثم تُحمل البيانات المشفرة إلى Azure Storage.

لمعرفة المزيد حول التشفير من جانب العميل باستخدام Key Vault والبدء في التعليمات حول الطريقة، راجع البرنامج التعليمي: تشفير الكائنات الثنائية كبيرة الحجم وفك تشفيرها في Azure Storage باستخدام Key Vault.

وأخيرًا، يمكنك أيضاً استخدام مكتبة Azure Storage Client Library المخصصة لـ Java لإجراء تشفير من جانب العميل قبل تحميل البيانات إلى Azure Storage، وفك تشفير البيانات عند تنزيلها إلى العميل. تدعم المكتبة أيضًا إجراء التكامل باستخدام Key Vault لإدارة مفاتيح حساب التخزين.

تشفير البيانات الثابتة باستخدام قاعدة بيانات Azure SQL Database

Azure SQL Database هي خدمة مدارة بواسطة قاعدة بيانات ارتباطية للأغراض العامة في Azure، إذ تدعم بنيات مثل البيانات الارتباطية وJSON والموضع المكاني وXML. تدعم قاعدة بيانات SQL كلًا من التشفير من جانب الخادم باستخدام ميزة تشفير البيانات الشفافة (TDE) والتشفير من جانب العميل باستخدام ميزة Always Encrypted.

تشفير البيانات الشفاف

تستخدَم TDE في تشفير ملفات بيانات خادم SQL Server وقاعدة بيانات Azure SQL وAzure Synapse Analytics في الوقت الفعلي، باستخدام مفتاح تشفير قاعدة البيانات (DEK) المخزن في سجل تهيئة قاعدة البيانات للتوفر أثناء عملية الاسترداد.

يحمي TDE البيانات وملفات السجل باستخدام خوارزميات تشفير مقاييس التشفير المتقدمة (AES) ومقاييس تشفير البيانات الثلاثية (3DES). يجرى تشفير ملف قاعدة البيانات على مستوى الصفحة. تشفَّر الصفحات الموجودة في إحدى قواعد البيانات المشفرة قبل كتابتها على القرص ويفَك تشفيرها عند إدخالها في الذاكرة. تمكَّن خاصية TDE بشكل افتراضي على قواعد بيانات Azure SQL التي تم إنشاؤها حديثًا.

ميزة Always Encrypted

باستخدام ميزة Always Encrypted في Azure SQL، يمكنك تشفير البيانات داخل تطبيقات العميل قبل تخزينها في قاعدة بيانات Azure SQL. يمكنك أيضًا تمكين خاصية تفويض إدارة قاعدة البيانات المحلية إلى أطراف خارجية والحفاظ على الفصل بين أولئك الذين يمتلكون البيانات والذين يمكنهم عرضها وأولئك الذين يديرونها، لكن لا ينبغي أن يكون لديهم حق الوصول إليها.

التشفير على مستوى الخلية أو مستوى العمود

باستخدام قاعدة بيانات Azure SQL، يمكنك تطبيق التشفير المتماثل على أحد أعمدة البيانات باستخدام Transact-SQL. يسمى هذا الأسلوب بالتشفير على مستوى الخلية أو التشفير على مستوى العمود (CLE)، إذ يمكنك استخدامه لتشفير أعمدة معينة أو حتى خلايا معينة من البيانات باستخدام مفاتيح تشفير مختلفة. يمنحك القيام بذلك إمكانية تشفير دقيقة أكثر من TDE، الذي يشفر البيانات في الصفحات.

يحتوي CLE على دوال مضمنة يمكنك استخدامها في تشفير البيانات باستخدام مفاتيح متماثلة أو غير متماثلة أو المفتاح العام للشهادة أو عبارة مرور باستخدام 3DES.

تشفير قاعدة بيانات Azure Cosmos DB

Azure Cosmos DB هي قاعدة بيانات متعددة النماذج موزعة عالميًا من Microsoft. يتم تشفير بيانات المستخدم المخزنة في Azure Cosmos DB في التخزين غير المتطاير (محركات الأقراص ذات الحالة الصلبة) بشكل افتراضي. ليس هناك ضوابط لتشغيله أو تعطيله. يتم تنفيذ التشفير في وضع السكون باستخدام عدد من تقنيات الأمان، بما في ذلك أنظمة تخزين المفاتيح الآمنة والشبكات المشفرة وواجهات برمجة التطبيقات المشفرة. تدير Microsoft مفاتيح التشفير ويتم تدويرها وفقًا لإرشادات Microsoft الداخلية. حسب تفضيلك، يمكنك تحديد إضافة طبقة ثانية من التشفير باستخدام المفاتيح التي تديرها باستخدام المفاتيح المُدارة بواسطة العميل أو ميزة CMK.

التشفير غير النشط في Data Lake

Azure Data Lake هو مستودع على مستوى المؤسسة مخصص لكل نوع من البيانات المجمّعة في موقع واحد قبل فرض أي تعريفات رسمية للمتطلبات أو المخططات. يدعم Data Lake Store التشفير الشفاف للبيانات الثابتة "قيد التشغيل بشكل افتراضي"، والذي يتم إعداده في أثناء إنشاء الحساب. بشكل افتراضي، يدير Azure Data Lake Store المفاتيح نيابة عنك، لكن يتوفر لك خيار إدارتها بنفسك.

تستخدَم ثلاثة أنواع من المفاتيح في تشفير البيانات وفك تشفيرها، وهي: مفتاح التشفير الرئيس (MEK) ومفتاح تشفير البيانات (DEK) ومفتاح تشفير الحظر (BEK). يستخدَم MEK لتشفير DEK، المخزن على الوسائط الثابتة، ويشتَق BEK من DEK وكتلة البيانات. إذا كنت تدير المفاتيح الخاصة بك، يمكنك تدوير التشفير MEK.

تشفير البيانات قيد النقل

يوفر Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء انتقالها من موقع إلى آخر.

كلما انتقلت نسبة استخدام الشبكة الخاصة بعميل Azure بين مراكز البيانات -خارج الحدود المادية التي لا تتحكم بها Microsoft (أو نيابة عن Microsoft)- يطبَّق أسلوب تشفير مستوى ارتباط البيانات باستخدام معايير الأمان IEEE 802.1AE MAC Security (المعروفة أيضًا باسم MACsec) من نقطة إلى نقطة عبر أجهزة الشبكة الأساس. يتم تشفير الحزم على الأجهزة قبل إرسالها، مما يمنع هجمات "الدخيل" الفعلية أو التطفل/التنصت. نظراً لأن هذه التقنية متكاملة على أجهزة الشبكة نفسها، فإنها توفر تشفير معدل الخط على أجهزة الشبكة مع عدم زيادة زمن انتقال الارتباط القابل للقياس. يتم تشغيل تشفير MACsec بشكل افتراضي لجميع نسب استخدام الشبكة من Azure التي تنتقل داخل إحدى المناطق أو بين المناطق، ولا يلزم اتخاذ أي إجراء من جانب العملاء لتمكينه.

تشفير TLS في Azure

تمنح Microsoft العملاء القدرة على استخدام بروتوكول أمان طبقة النقل (TLS) لحماية البيانات عند التنقل بين الخدمات السحابية والعملاء. تفاوض مراكز البيانات Microsoft اتصال بروتوكول أمان طبقة النقل مع أنظمة العميل التي تتصل بخدمات Azure. يوفر بروتوكول TLS مصادقة قوية وخصوصية الرسائل وسلامتها (مما يتيح اكتشاف التلاعب بالرسائل والاعتراض والتزوير) وإمكانية التشغيل البيني ومرونة الخوارزمية وسهولة التوزيع والاستخدام.

Perfect Forward Secrecy تحمي PFS الاتصالات بين أنظمة العملاء الخاصة بالعميل والخدمات السحابية من Microsoft بواسطة مفاتيح فريدة. تدعم الاتصالات أيضا أطوال المفاتيح 2048 بت المستندة إلى RSA، وأطوال مفاتيح ECC 256 بت، ومصادقة رسالة SHA-384، وتشفير البيانات AES-256. يجعل هذا المزيج من الصعب على أي شخص اعتراض البيانات التي يجري نقلها والوصول إليها.

معاملات Azure Storage

عند التفاعل مع Azure Storage من خلال مدخل Microsoft Azure، تتم جميع العمليات عبر HTTPS. يمكنك أيضاً استخدام واجهة برمجة تطبيقات REST لـ Storage عبر HTTPS للتفاعل مع Azure Storage. يمكنك فرض استخدام HTTPS عند استدعاء واجهات برمجة تطبيقات REST للوصول إلى العناصر في حسابات التخزين عن طريق تمكين النقل الآمن المطلوب لحساب التخزين.

تشمل توقيعات الوصول المشترك (SAS) -التي يمكن استخدامها لتفويض الوصول إلى عناصر Azure Storage- خيارًا لتحديد إمكانية استخدام بروتوكول HTTPS فحسب عند استخدام توقيعات الوصول المشترك. يضمن هذا الأسلوب أن أي شخص يرسل ارتباطات مع رموز SAS المميزة يستخدم البروتوكول المناسب.

يدعم SMB 3.0، الذي يستخدم للوصول إلى مشاركات ملفات Azure، التشفير، ويتوفر في أنظمة Windows Server 2012 R2 وWindows 8 وWindows 8.1 وWindows 10. يسمح بالوصول عبر المناطق وحتى الوصول على سطح المكتب.

يعمل التشفير من جانب العميل على تشفير البيانات قبل إرسالها إلى مثيل Azure Storage، إذ يتم تشفيرها أثناء انتقالها عبر الشبكة.

تشفير SMB عبر شبكات Azure الظاهرية

باستخدام SMB 3.0 في الأجهزة الظاهرية التي تعمل على Windows Server 2012 أو النسخ الأحدث، يمكنك جعل عمليات نقل البيانات آمنة عن طريق تشفير البيانات في أثناء النقل عبر شبكات Azure الظاهرية. من خلال تشفير البيانات، يمكنك المساعدة في الحماية من هجمات العبث والتنصت. يمكن للمسؤولين تمكين تشفير SMB للخادم بأكمله، أو مشاركات محددة فقط.

بشكل افتراضي، بعد تشغيل تشفير SMB لمشاركة أو خادم، يسمح فقط لعملاء SMB 3.0 بالوصول إلى المشاركات المشفرة.

تشفير رحلة النقل في الأجهزة الظاهرية

يمكن تشفير البيانات أثناء النقل من وإلى وبين الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows بعدة طرق، اعتمادًا على طبيعة الاتصال.

جلسات RDP

يمكنك الاتصال بأحد الأجهزة الظاهرية وتسجيل الدخول إليه باستخدام بروتوكول سطح المكتب البعيد (RDP) من كمبيوتر عميل يعمل بنظام Windows، أو من جهاز Mac مثبت عليه عميل RDP. يمكن حماية البيانات أثناء النقل عبر الشبكة في جلسات RDP باستخدم TLS.

يمكنك أيضًا استخدام سطح المكتب البعيد للاتصال بجهاز Linux الظاهري في Azure.

الوصول الآمن إلى أجهزة Linux الظاهرية باستخدام SSH

للإدارة عن بعد، يمكنك استخدام Secure Shell (SSH) للاتصال بأجهزة Linux الظاهرية التي تعمل في Azure. SSH هو بروتوكول اتصال مُشفّر يسمح بعمليات تسجيل الدخول الآمنة عبر الاتصالات غير الآمنة. يمثل بروتوكول الاتصال الافتراضي لأجهزة Linux الظاهرية المستضافة في Azure. باستخدام مفاتيح SSH للمصادقة، فإنك تلغي الحاجة إلى توفير كلمات المرور لتسجيل الدخول. يستخدم SSH مفتاح مزدوج عام/خاص (تشفير غير متماثل) للمصادقة.

تشفير Azure VPN

يمكنك الاتصال بـ Azure من خلال شبكة خاصة ظاهرية تنشئ نفقا آمنًا لحماية خصوصية البيانات التي يجري إرسالها عبر الشبكة.

بوابات Azure VPN

يمكنك استخدام بوابة Azure VPN لإرسال نسبة استخدام الشبكة المشفرة بين شبكتك الظاهرية وموقعك المحلي عبر أحد الاتصالات العامة، أو لإرسال نسبة استخدام الشبكة بين الشبكات الظاهرية.

يستخدم شبكات VPN من موقع إلى موقع أمان برتوكول الإنترنت IPsec لتشفير عملية النقل. تستخدم بوابات Azure VPN مجموعة من الاقتراحات الافتراضية. يمكنك تكوين بوابات Azure VPN لاستخدام نهج أمان IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط القوة للمفاتيح الرئيسة، بدلًا من مجموعات نهج Azure الافتراضية.

الشبكات الظاهرية الخاصة من نقطة إلى موقع

تسمح الشبكات الظاهرية الخاصة من نقطة إلى موقع لأجهزة كمبيوتر العميل الفردية بالوصول إلى شبكة Azure الظاهرية. يستخدَم بروتوكول نفق مأخذ التوصيل الآمن (SSTP) لإنشاء نفق VPN. يمكنه اجتياز جدران الحماية (يظهر النفق كاتصال HTTPS). يمكنك استخدام المرجع المصدق الجذر للبنية الأساسية للمفتاح العام الداخلي (PKI) للاتصال من نقطة إلى موقع.

يمكنك تكوين اتصال VPN من نقطة إلى موقع بشبكة ظاهرية عن طريق استخدام مدخل Microsoft Azure مع مصادقة الشهادة الرقمية أو PowerShell.

لمعرفة المزيد حول اتصالات VPN من نقطة إلى موقع بشبكات Azure الظاهرية، راجع:

تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة الشهادة الرقمية: في مدخل Microsoft Azure

تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة الشهادة الرقمية: في Powershell

الشبكات الظاهرية الخاصة من موقع إلى موقع

يمكنك استخدام اتصال بوابة VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية عبر نفق VPN المؤمن ببروتوكول IPsec/IKE (IKEv1 أو IKEv2). يتطلب هذا النوع من الاتصال جهاز VPN محلياً يحتوي على عنوان IP عام خارجي تم تعيينه له.

يمكنك تكوين اتصال VPN من موقع إلى موقع بشبكة ظاهرية باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.

لمزيد من المعلومات، راجع:

إنشاء اتصال من موقع إلى موقع في مدخل Microsoft Azure

إنشاء اتصال من موقع إلى موقع في PowerShell

إنشاء شبكة ظاهرية مزودة باتصال VPN من موقع إلى موقع باستخدام CLI

تشفير رحلة النقل في Data Lake

تشفَّر البيانات المتنقلة (المعروفة أيضًا باسم البيانات قيد الحركة) دائما في Data Lake Store. بالإضافة إلى تشفير البيانات قبل تخزينها في الوسائط الثابتة، يتم أيضًا تأمين البيانات دائماً أثناء النقل باستخدام بروتوكول HTTPS. يعد HTTPS البروتوكول الوحيد المعتمد لواجهات REST في Data Lake Store.

لمعرفة المزيد حول تشفير البيانات أثناء النقل في Data Lake، راجع تشفير البيانات في Data Lake Store.

إدارة المفاتيح باستخدام Key Vault

دون الحماية السليمة والإدارة المناسبة للمفاتيح، يصبح التشفير عديم الفائدة. Key Vault هو الحل الذي توصي به Microsoft لإدارة الوصول إلى مفاتيح التشفير التي تستخدمها الخدمات السحابية والتحكم فيها. يمكن تعيين أذونات الوصول إلى مفاتيح الخدمات أو للمستخدمين من خلال حسابات Microsoft Entra.

يريح Key Vault المؤسسات من الحاجة إلى تكوين وحدات أمان الأجهزة (HSMs) وبرامج إدارة المفاتيح وتصحيحها وصيانتها. عند استخدام Key Vault، فإنك تحافظ على عنصر التحكم. لا ترى Microsoft مفاتيحك أبدًا، ولا تتمتع التطبيقات بإمكانية الوصول المباشر إليها. يمكنك أيضًا استيراد المفاتيح أو إنشاؤها في HSMs.

الخطوات التالية