تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات
مقالة
يقوم Azure Storage تلقائيا بتشفير جميع البيانات في حساب تخزين على مستوى الخدمة باستخدام AES 256 بت مع تشفير وضع GCM، وهو أحد أقوى شفرات الكتلة المتوفرة، وهو متوافق مع FIPS 140-2. يمكن للعملاء الذين يحتاجون إلى مستويات أعلى من التأكيد على أن بياناتهم آمنة أيضا تمكين AES 256 بت مع تشفير CBC على مستوى البنية الأساسية ل Azure Storage للتشفير المزدوج. يحمي التشفير المزدوج لبيانات Azure Storage من سيناريو قد تتعرض فيه إحدى خوارزميات التشفير أو المفاتيح للخطر. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات الخاصة بك.
يمكن تمكين تشفير البنية الأساسية لحساب التخزين بأكمله، أو لنطاق تشفير داخل الحساب. عند تمكين تشفير البنية التحتية لحساب تخزين أو نطاق تشفير، يتم تشفير البيانات في حساب التخزين مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام نوعين من خوارزمية التشفير ومفتاحين مختلفين.
يدعم التشفير على مستوى الخدمة استخدام المفاتيح المدارة من قبل Microsoft أو المفاتيح المدارة من قبل العميل مع Azure Key Vault أو Key Vault Managed Hardware Security Model (HSM). يعتمد التشفير على مستوى البنية التحتية على المفاتيح التي تديرها Microsoft ويستخدم دائمًا مفتاحًا منفصلاً. لمزيد من المعلومات حول إدارة المفاتيح باستخدام تشفير تخزين Azure، راجع حول إدارة مفاتيح التشفير.
لتشفير بياناتك بشكل مضاعف، يجب عليك أولًا إنشاء حساب تخزين أو نطاق تشفير تم تكوينه لتشفير البنية الأساسية. توضح هذه المقالة كيفية تمكين تشفير البنية الأساسية.
هام
يوصى بتشفير البنية الأساسية للسيناريوهات التي يكون فيها تشفير البيانات بشكل مختلط ضروريا لمتطلبات التوافق. بالنسبة لمعظم السيناريوهات الأخرى، يوفر تشفير Azure Storage خوارزمية تشفير قوية بما يكفي، ومن غير المحتمل أن تكون هناك فائدة لاستخدام تشفير البنية الأساسية.
إنشاء حساب مع تمكين تشفير البنية الأساسية
لتمكين تشفير البنية الأساسية لحساب تخزين، يجب تكوين حساب تخزين لاستخدام تشفير البنية الأساسية في وقت إنشاء الحساب. لا يمكن تمكين تشفير البنية الأساسية أو تعطيله بعد إنشاء الحساب. يجب أن يكون حساب التخزين من النوع v2 للأغراض العامة أو كائن ثنائي كبير الحجم لكتلة متميزة.
بعد ذلك، قم بإنشاء حساب تخزين v2 للأغراض العامة أو حساب تخزين كتلة متميز عن طريق استدعاء أمر New-AzStorageAccount. قم بتضمين الخيار -RequireInfrastructureEncryption لتمكين تشفير البنية التحتية.
يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) وتم تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:
للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين، اتصل بالأمر Get-AzStorageAccount. يُرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. استرداد الحقل RequireInfrastructureEncryption داخل الخاصية Encryption والتحقق من تعيينه إلى True.
يقوم المثال التالي باسترداد قيمة الخاصية RequireInfrastructureEncryption. تذكَّر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك:
لاستخدام Azure CLI لإنشاء حساب تخزين يحتوي على تشفير البنية الأساسية تمكين تأكد من تثبيت الإصدار 2.8.0 من Azure CLI أو أحدث. لمزيد من المعلومات، اطلع على تثبيت Azure CLI.
بعد ذلك، قم بإنشاء حساب تخزين v2 للأغراض العامة أو حساب تخزين blob متميز عن طريق استدعاء الأمر az storage account create وتضمين --require-infrastructure-encryption option لتمكين تشفير البنية التحتية.
يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) وتم تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:
للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين، اتصل بالأمر az storage account show. يُرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. ابحث عن الحقل requireInfrastructureEncryption داخل الخاصية encryption وتحقق من تعيينه إلى true.
يقوم المثال التالي باسترداد قيمة الخاصية requireInfrastructureEncryption. تذكَّر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
ينشئ مثال JSON التالي حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيًا للوصول إلى القراءة (RA-GRS) ولديه تشفير البنية الأساسية ممكن للتشفير المزدوج للبيانات. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:
يوفر Azure Policy سياسة مضمنة لطلب تمكين تشفير البنية الأساسية لحساب تخزين. لمزيد من المعلومات، راجع قسم التخزين المتعلق بـتعريفات النهج المضمنة الخاصة بنهج Azure .
إنشاء نطاق تشفير مع تمكين تشفير البنية التحتية
إذا تم تمكين تشفير البنية الأساسية لحساب ما، فإن أي نطاق تشفير يتم إنشاؤه على هذا الحساب يستخدم تلقائيًا تشفير البنية التحتية. إذا لم يتم تمكين تشفير البنية الأساسية على مستوى الحساب، فسيكون لديك خيار تمكينه لنطاق التشفير في الوقت الذي تقوم فيه بإنشاء النطاق. لا يمكن تغيير إعداد تشفير البنية الأساسية لنطاق التشفير بعد إنشاء النطاق. لمزيد من المعلومات، راجع إنشاء نطاق تشفير.