تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات

يقوم Azure Storage تلقائيا بتشفير جميع البيانات في حساب تخزين على مستوى الخدمة باستخدام AES 256 بت مع تشفير وضع GCM، وهو أحد أقوى شفرات الكتلة المتوفرة، وهو متوافق مع FIPS 140-2. يمكن للعملاء الذين يحتاجون إلى مستويات أعلى من التأكيد على أن بياناتهم آمنة أيضا تمكين AES 256 بت مع تشفير CBC على مستوى البنية الأساسية ل Azure Storage للتشفير المزدوج. يحمي التشفير المزدوج لبيانات Azure Storage من سيناريو قد تتعرض فيه إحدى خوارزميات التشفير أو المفاتيح للخطر. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات الخاصة بك.

يمكن تمكين تشفير البنية الأساسية لحساب التخزين بأكمله، أو لنطاق تشفير داخل الحساب. عند تمكين تشفير البنية التحتية لحساب تخزين أو نطاق تشفير، يتم تشفير البيانات في حساب التخزين مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام نوعين من خوارزمية التشفير ومفتاحين مختلفين.

يدعم التشفير على مستوى الخدمة استخدام المفاتيح المدارة من قبل Microsoft أو المفاتيح المدارة من قبل العميل مع Azure Key Vault أو Key Vault Managed Hardware Security Model (HSM). يعتمد التشفير على مستوى البنية التحتية على المفاتيح التي تديرها Microsoft ويستخدم دائمًا مفتاحًا منفصلاً. لمزيد من المعلومات حول إدارة المفاتيح باستخدام تشفير تخزين Azure، راجع حول إدارة مفاتيح التشفير.

لتشفير بياناتك بشكل مضاعف، يجب عليك أولًا إنشاء حساب تخزين أو نطاق تشفير تم تكوينه لتشفير البنية الأساسية. توضح هذه المقالة كيفية تمكين تشفير البنية الأساسية.

هام

يوصى بتشفير البنية الأساسية للسيناريوهات التي يكون فيها تشفير البيانات بشكل مختلط ضروريا لمتطلبات التوافق. بالنسبة لمعظم السيناريوهات الأخرى، يوفر تشفير Azure Storage خوارزمية تشفير قوية بما يكفي، ومن غير المحتمل أن تكون هناك فائدة لاستخدام تشفير البنية الأساسية.

إنشاء حساب مع تمكين تشفير البنية الأساسية

لتمكين تشفير البنية الأساسية لحساب تخزين، يجب تكوين حساب تخزين لاستخدام تشفير البنية الأساسية في وقت إنشاء الحساب. لا يمكن تمكين تشفير البنية الأساسية أو تعطيله بعد إنشاء الحساب. يجب أن يكون حساب التخزين من النوع v2 للأغراض العامة أو كائن ثنائي كبير الحجم لكتلة متميزة.

مدخل Microsoft Azure

لاستخدام مدخل Microsoft Azure لإنشاء حساب تخزين مع تمكين تشفير البنية الأساسية، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى صفحة حسابات التخزين.

2. اختر الزر إضافة لإضافة حساب تخزين جديد للأغراض العامة v2 أو حساب تخزين كتلة متميزة.

3. في علامة التبويب Encryption ، حدد موقع Enable infrastructure encryption، وحدد Enabled.

4. حدد مراجعة + إنشاء لإنهاء إنشاء المثيل الخاص بك.

   

للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين مع مدخل Microsoft Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.

2. ضمن Security + networking، اختر Encryption.

   

بوويرشيل

لاستخدام PowerShell لإنشاء حساب تخزين مع تمكين تشفير البنية الأساسية، تأكد من تثبيت الوحدة النمطية Az.Storage PowerShell، الإصدار 2.2.0 أو أحدث. لمزيد من المعلومات، راجع تثبيت Azure PowerShell.

بعد ذلك، قم بإنشاء حساب تخزين v2 للأغراض العامة أو حساب تخزين كتلة متميز عن طريق استدعاء أمر New-AzStorageAccount. قم بتضمين الخيار -RequireInfrastructureEncryption لتمكين تشفير البنية التحتية.

يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) وتم تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين، اتصل بالأمر Get-AzStorageAccount. يُرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. استرداد الحقل RequireInfrastructureEncryption داخل الخاصية Encryption والتحقق من تعيينه إلى True.

يقوم المثال التالي باسترداد قيمة الخاصية RequireInfrastructureEncryption. تذكَّر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure CLI

لاستخدام Azure CLI لإنشاء حساب تخزين يحتوي على تشفير البنية الأساسية تمكين تأكد من تثبيت الإصدار 2.8.0 من Azure CLI أو أحدث. لمزيد من المعلومات، اطلع على تثبيت Azure CLI.

بعد ذلك، قم بإنشاء حساب تخزين v2 للأغراض العامة أو حساب تخزين blob متميز عن طريق استدعاء الأمر az storage account create وتضمين --require-infrastructure-encryption option لتمكين تشفير البنية التحتية.

يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) وتم تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين، اتصل بالأمر az storage account show. يُرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. ابحث عن الحقل requireInfrastructureEncryption داخل الخاصية encryption وتحقق من تعيينه إلى true.

يقوم المثال التالي باسترداد قيمة الخاصية requireInfrastructureEncryption. تذكَّر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

القالب

ينشئ مثال JSON التالي حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) ولديه تشفير البنية الأساسية ممكن للتشفير المزدوج للبيانات. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

يوفر Azure Policy سياسة مضمنة لطلب تمكين تشفير البنية الأساسية لحساب تخزين. لمزيد من المعلومات، راجع قسم التخزين المتعلق بـتعريفات النهج المضمنة الخاصة بنهج Azure .

إنشاء نطاق تشفير مع تمكين تشفير البنية التحتية

إذا تم تمكين تشفير البنية الأساسية لحساب ما، فإن أي نطاق تشفير يتم إنشاؤه على هذا الحساب يستخدم تلقائيًا تشفير البنية التحتية. إذا لم يتم تمكين تشفير البنية الأساسية على مستوى الحساب، فسيكون لديك خيار تمكينه لنطاق التشفير في الوقت الذي تقوم فيه بإنشاء النطاق. لا يمكن تغيير إعداد تشفير البنية الأساسية لنطاق التشفير بعد إنشاء النطاق. لمزيد من المعلومات، راجع إنشاء نطاق تشفير.

الخطوات التالية

• تشفير Azure Storage للبيانات الثابتة
• مفاتيح مُدارة من قبل العملاء لتشفير Azure Storage
• نطاقات التشفير لتخزين كائن ثنائي كبير الحجم