تشفير تخزين Azure للبيانات الثابتة
يستخدم تخزين Azure التشفير من جانب الخدمة (SSE) لتشفير بياناتك تلقائيًا عند استمرارها في السحابة. يحمي تشفير Azure Storage بياناتك ويساعدك على الوفاء بالتزاماتك الأمنية والامتثالات التنظيمية.
توصي Microsoft باستخدام التشفير من جانب الخدمة لحماية بياناتك في معظم السيناريوهات. ومع ذلك، فإن مكتبات عميل Azure Storage لتخزين Blob وتخزين قائمة الانتظار توفر أيضًا تشفيرًا من جانب العميل للعملاء الذين يحتاجون إلى تشفير البيانات على العميل. لمزيد من المعلومات، راجع التشفير من جانب العميل للنقاط الكبيرة وقوائم الانتظار.
حول التشفير من جانب خدمة التخزين في Azure
تُشفر البيانات الموجودة في تخزين Azure ويُفك تشفيرها بشفافية باستخدام تشفير AES,256 بت، وهو أحد أقوى شفرات الكتل المتاحة، وهو متوافق مع FIPS 140-2. يشبه تشفيرتخزين Azure تشفير BitLocker على Windows.
تخزين Azure متاح لجميع حسابات التخزين، بما في ذلك كل من إدارة الموارد وحسابات التخزين الكلاسيكية. لا يمكن تعطيل تشفيرAzure Storage. نظراً لأن بياناتك مُؤَمنة افتراضياً، فلن تحتاج إلى تعديل الكود أو التطبيقات خاصتك للاستفادة من تشفير تخزين Azure.
تُشفر البيانات في حساب التخزين بغض النظر عن مستوى الأداء (القياسي أو الممتاز) أو مستوى الوصول (الساخن أو البارد) أو نموذج النشر (Azure Resource Manager أو Classic). يتم تشفير جميع الكائنات الثنائية كبيرة الحجم للكتلة الجديدة والحالية، والكائنات الثنائية كبيرة الحجم للإلحاق، والكائنات الثنائية كبيرة الحجم للصفحة، بما في ذلك الكائنات الثنائية كبيرة الحجم في طبقة الأرشيف. تدعم جميع خيارات التكرار في Azure Storage التشفير، وتُشفر جميع البيانات في كل من المنطقتين الرئيسية والثانوية عند تمكين النسخ المتماثل الجغرافي. تُشفر جميع موارد تخزين Azure، بما في ذلك الكائنات الثنائية كبيرة الحجم والأقراص والملفات وقوائم الانتظار والجداول. جميع بيانات التعريف للعنصر مُشفرة أيضاً.
لا توجد تكلفة إضافية لتشفير Azure Storage.
لمزيد من المعلومات حول وحدات التشفير الكامنة وراء تشفير Azure Storage، راجع واجهة برمجة تطبيقات التشفير: الجيل التالي.
للحصول على معلومات حول التشفير وإدارة المفاتيح للأقراص التي تديرها Azure، راجع تشفير الأقراص التي تديرها Azure على جانب الخادم.
حول إدارة مفتاح التشفير
تُشفر البيانات في حساب تخزين جديد باستخدام المفاتيح التي تديرها Microsoft افتراضياً. يمكنك الاستمرار في الاعتماد على المفاتيح التي تديرها Microsoft لتشفير بياناتك، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، فلديك خياران. يمكنك استخدام أي من نوعي إدارة المفاتيح، أو كليهما:
- يمكنك تحديد مفتاح يديره العميل لاستخدامه لتشفير البيانات وفك تشفيرها في Blob Storage وفي ملفات Azure. يجب تخزين 1,2 مفاتيح يديرها العميل في Azure Key Vault أو Azure Key Vault نموذج أمان الأجهزة المدارة (HSM). لمزيد من المعلومات حول المفاتيح التي يديرها العملاء، راجع استخدام المفاتيح التي يديرها العملاء لتشفير Azure Storage .
- يمكنك تحديد مفتاح يوفره العميل في عمليات تخزين كائن ثنائي كبير الحجم. يمكن للعميل الذي يقدم طلبًا للقراءة أو الكتابة ضد تخزين كائن ثنائي كبير الحجم أن يتضمن مفتاح تشفير على طلب التحكم الحبيبي في كيفية تشفير بيانات كائن ثنائي كبير الحجم وفك تشفيرها. للحصول على مزيدٍ من المعلومات عن المفاتيح التي يوفرها العملاء، راجع توفير مفتاح تشفير على طلب لتخزين كائن ثنائي كبير الحجم.
افتراضياً، يتم تشفير حساب التخزين بمفتاح يتم تحديد نطاقه لحساب التخزين بأكمله. تمكنك نطاقات التشفير من إدارة التشفير باستخدام مفتاح يتم تحديد نطاقه إلى حاوية أو كائن ثنائي كبير الحجم فردي. يمكنك استخدام نطاقات التشفير لإنشاء حدود آمنة بين البيانات الموجودة في نفس حساب التخزين ولكنها تنتمي إلى عملاء مختلفين. يمكن أن تستخدم نطاقات التشفير مفاتيح مُدارة من Microsoft أو مفاتيح مُدارة بواسطة العميل. لمزيد من المعلومات حول نطاقات التشفير، يرجى مراجعةنطاقات التشفير لتخزين كائن ثنائي كبير.
يقارن الجدول التالي خيارات الإدارة الرئيسية لتشفير Azure Storage.
| ضابط إدارة المفاتيح | المفاتيح التي تديرها Microsoft | المفاتيح التي يديرها العميل | المفاتيح المقدمة من العميل |
|---|---|---|---|
| عمليات التشفير/فك التشفير | Azure | Azure | Azure |
| خدمات Azure Storage المدعومة | الكل | تخزين كائن ثنائي كبير الحجم، ملفات Azure 1،2 | مخزن البيانات الثنائية الكبيرة |
| مخزن المفاتيح | مخزن مفاتيح Microsoft | Azure Key Vault أو Key Vault HSM | متجر المفاتيح الخاص بالعميل |
| مسؤولية تدوير المفتاح | Microsoft | العميل | العميل |
| عنصر تحكم المفتاح | Microsoft | العميل | العميل |
| النطاق الرئيسي | الحساب (الافتراضي) أو الحاوية أو الكائن الثنائي كبير الحجم | الحساب (الافتراضي) أو الحاوية أو الكائن الثنائي كبير الحجم | غير متوفر |
1 للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العملاء مع تخزين قائمة الانتظار، راجع إنشاء حساب يدعم المفاتيح التي يديرها العملاء لقوائم الانتظار.
2 للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العملاء مع تخزين الجدول، راجع إنشاء حساب يدعم المفاتيح التي يديرها العملاء للجداول.
ملاحظة
يتم تدوير المفاتيح المدارة من Microsoft بشكل مناسب وفقاً لمتطلبات التوافق. إذا كانت لديك متطلبات محددة لتدوير المفاتيح، توصي Microsoft بالانتقال إلى المفاتيح التي يديرها العميل حتى تتمكن من إدارة التدوير وتدقيقه بنفسك.
ضاعف تشفير البيانات مع تشفير البنية الأساسية
يمكن للعملاء الذين يحتاجون إلى مستويات عالية من التأكيد على أن بياناتهم آمنة تمكين تشفير AES 256 بت على مستوى البنية الأساسية لتخزين Azure. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب التخزين مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية الأساسية — باستخدام نوعين من خوارزمية التشفير ومفتاحين مختلفين. يحمي التشفير المزدوج بيانات Azure Storage من السيناريو الذي قد تتعرض فيه إحدى خوارزميات أو مفاتيح التشفير للخطر. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات خاصتك.
يدعم تشفير مستوى الخدمة استخدام المفاتيح التي تديرها Microsoft أو المفاتيح التي يديرها العملاء مع Azure Key Vault. يعتمد التشفير على مستوى البنية الأساسية على المفاتيح التي تديرها Microsoft ويستخدم دائماً مفتاحاً منفصلاً.
لمزيد من المعلومات حول كيفية إنشاء حساب تخزين يتيح تشفير البنية الأساسية، راجع إنشاء حساب تخزين مع تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات.
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم وقوائم الانتظار
تدعم مكتبات عميل Azure Blob Storage لـ .NET وJava وPython تشفير البيانات داخل تطبيقات العميل قبل التحميل إلى Azure Storage، وفك تشفير البيانات أثناء التنزيل إلى العميل. تدعم مكتبات عميل Queue Storage لـ .NET وPython أيضًا التشفير من جانب العميل.
ملاحظة
ضع في اعتبارك استخدام ميزات التشفير من جانب الخدمة التي يوفرها Azure Storage لحماية بياناتك، بدلاً من التشفير من جانب العميل.
تستخدم مكتبات عميل Blob Storage وتخزين قائمة الانتظار AES لتشفير بيانات المستخدم. هناك إصداران من التشفير من جانب العميل متوفران في مكاتب العميل:
- يستخدم الإصدار 2 وضع Galois/Counter Mode (GCM) مع AES. يدعم تخزين الكائن الثنائي كبير الحجم وحزم SDK لتخزين قائمة الانتظار التشفير من جانب العميل مع v2.
- يستخدم الإصدار 1 وضع تسلسل كتلة التشفير (CBC) مع AES. يدعم تخزين الكائن الثنائي كبير الحجم وحزم SDK لتخزين الجداول الانتظار التشفير من جانب العميل مع v1.
تحذير
لم نعد نوصي باستخدام التشفير من جانب العميل v1 نظرًا إلى وجود ثغرة أمنية في تطبيق مكتبة العميل لوضع CBC. لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع Azure Storage تحديث التشفير من جانب العميل في SDK لمعالجة الثغرة الأمنية. إذا كنت تستخدم حاليًا v1، فإننا نوصيك بتحديث تطبيقك لتتمكّن من استخدام التشفير من جانب العميل v2 وترحيل بياناتك.
تدعم حزمة تخزين الجدول Azure Table Storage التشفير من جانب العميل v1 فقط. لا يوصى باستخدام التشفير من جانب العميل مع Table Storage.
يوضح الجدول التالي مكتبات العميل التي تدعم إصدارات التشفير من جانب العميل ويوفر إرشادات للترحيل إلى التشفير من جانب العميل الإصدار 2.
| مكتبة العميل | دعم إصدار التشفير من جانب العميل | الترحيل الموصى به | إرشادات إضافية |
|---|---|---|---|
| مكتبات عميل Blob Storage لـ .NET (الإصدار 12.13.0 والإصدارات الأحدث)، وJava (الإصدار 12.18.0 والإصدارات الأحدث)، وPython (الإصدار 12.13.0 والإصدارات الأحدث) | 2.0 1.0 (للتوافق مع الإصدارات السابقة فقط) |
تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. قم بتنزيل أي بيانات مشفرة لفك تشفيرها، ثم أعد تشفيرها باستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم |
| مكتبة عميل Blob Storage لـ .NET (الإصدار 12.12.0 والإصدارات الأقدم)، وJava (الإصدار 12.17.0 وما بعده)، وPython (الإصدار 12.12.0 والإصدارات الأقدم) | 1.0 (غير مستحسن) | قم بتحديث التطبيق الخاص بك لاستخدام إصدار من Blob Storage SDK الذي يدعم التشفير من جانب العميل v2. راجع مصفوفة دعم SDK للتشفير من جانب العميل للحصول على التفاصيل. تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. قم بتنزيل أي بيانات مشفرة لفك تشفيرها، ثم أعد تشفيرها باستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم |
| مكتبة عميل Queue Storage لـ .NET (الإصدار 12.11.0 وما فوق) وPython (الإصدار 12.4 وما فوق) | 2.0 1.0 (للتوافق مع الإصدارات السابقة فقط) |
تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. | التشفير من جانب العميل لقوائم الانتظار |
| مكتبة عميل Queue Storage لـ .NET (الإصدار 12.10.0 والإصدارات الأقدم) وPython (الإصدار 12.3.0 وما دونه) | 1.0 (غير مستحسن) | قم بتحديث التطبيق الخاص بك لاستخدام إصدار من إصدار Queue Storage SDK الذي يدعم التشفير من جانب العميل v2. راجع مصفوفة دعم SDK للتشفير من جانب العميل تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل لقوائم الانتظار |
| مكتبة عميل Table Storage لـ .NET وJava وPython | 1.0 (غير مستحسن) | غير متوفر. | غير متوفر |