إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يستخدم تخزين Azure تشفير جانب الخدمة (SSE) لتشفير بياناتك تلقائيا عندما تكون محفوظة في السحابة. تحمي تخزين Azure التشفير بياناتك وتساعدك على الوفاء بالتزاماتك الأمنية والامتثال التنظيمية.
توصي Microsoft باستخدام التشفير من جانب الخدمة لحماية بياناتك في معظم السيناريوهات. ومع ذلك، توفر مكتبات عملاء تخزين Azure ل مخزن البيانات الثنائية الكبيرة وQueue Storage أيضا تشفيرا على جانب العميل للعملاء الذين يحتاجون إلى تشفير البيانات على العميل. لمزيد من المعلومات، راجع التشفير من جانب العميل للنقاط الكبيرة وقوائم الانتظار.
حول تخزين Azure service-side encryption
يتم تشفير البيانات في تخزين Azure وفك تشفيرها بشفافية باستخدام تشفير 256 بت AES، وهو من أقوى الشفرات الكتلية المتاحة، وهو متوافق مع FIPS 140-2. تشفير تخزين Azure مشابه لتشفير BitLocker على Windows.
يستخدم تخزين Azure التشفير على جانب الخادم نظام AES Galois/Counter Mode (AES-GCM) بتردد 256 بت لتشفير الكائنات المرفوعة. يتم تفعيل تشفير تخزين Azure لجميع حسابات التخزين، بما في ذلك حسابات Resource Manager وحسابات التخزين الكلاسيكية. لا يمكن تعطيل تشفير تخزين Azure. نظرا لأن بياناتك مؤمنة افتراضيا، لا تحتاج إلى تعديل الكود أو التطبيقات للاستفادة من تشفير تخزين Azure.
البيانات في حساب التخزين مشفرة بغض النظر عن مستوى الأداء (قياسي أو مميز)، أو مستوى الوصول (ساخن أو بارد)، أو نموذج النشر (Azure Resource Manager أو الكلاسيكي). يتم تشفير كافة الكائنات الثنائية كبيرة الحجم للكتلة الجديدة والحالية، والكائنات الثنائية كبيرة الحجم للإلحاق، والكائنات الثنائية كبيرة الحجم للصفحة، بما في ذلك الكائنات الثنائية كبيرة الحجم في طبقة الأرشيف. جميع خيارات التكرار في تخزين Azure تدعم التشفير، وجميع البيانات في كل من المناطق الأساسية والثانوية مشفرة عند تفعيل التكرار الجغرافي. جميع موارد تخزين Azure مشفرة، بما في ذلك الكتل، والأقراص، والملفات، وقوائم الانتظار، والجداول. كما تُشفر جميع بيانات تعريف الكائن.
لا توجد تكلفة إضافية لتشفير تخزين Azure.
لمزيد من المعلومات حول الوحدات التشفيرية التي تقوم عليها تخزين Azure التشفير، راجع Cryptoography API: Next Generation.
للحصول على معلومات حول التشفير وإدارة المفاتيح للأقراص المدارة Azure، راجع تشفير الخادم لأقراص Azure المدارة.
حول إدارة مفاتيح التشفير
البيانات في حساب تخزين جديد مشفرة بمفاتيح تديرها Microsoft بشكل افتراضي. يمكنك الاستمرار في الاعتماد على مفاتيح Microsoft المدارة لتشفير بياناتك، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، فلديك خياران. يمكنك استخدام أي من نوعي إدارة المفاتيح، أو كليهما:
- يمكنك تحديد مفتاح customer-managed handle لاستخدامه لتشفير وفك تشفير البيانات في مخزن البيانات الثنائية الكبيرة وفي ملفات Azure.1,2 يجب تخزين المفاتيح المدارة من قبل العميل في Azure Key Vault أو Azure Key Vault وحدة أمان الأجهزة المدارة (HSM). لمزيد من المعلومات حول المفاتيح التي يديرها العميل، راجع استخدم المفاتيح المدارة من قبل العملاء لتشفير تخزين Azure.
- يمكنك تحديد <مفتاح >مقدم من العميل على عمليات مخزن البيانات الثنائية الكبيرة. يمكن للعميل الذي يقدم طلب قراءة أو كتابة ضد مخزن البيانات الثنائية الكبيرة تضمين مفتاح تشفير على طلب التحكم الدقيق في كيفية تشفير وفك تشفير بيانات الblob. لمزيد من المعلومات حول المفاتيح المقدمة من العملاء، راجع توفير مفتاح تشفير عند طلب إلى مخزن البيانات الثنائية الكبيرة.
افتراضياً، يتم تشفير حساب التخزين بمفتاح يتم تحديد نطاقه لحساب التخزين بأكمله. تمكنك نطاقات التشفير من إدارة التشفير باستخدام مفتاح يتم تحديد نطاقه إلى حاوية أو كائن ثنائي كبير الحجم فردي. يمكنك استخدام نطاقات التشفير لإنشاء حدود آمنة بين البيانات الموجودة في حساب التخزين نفسه ولكنها تنتمي إلى عملاء مختلفين. يمكن لأجهزة التشفير استخدام مفاتيح تديرها Microsoft أو مفاتيح تديرها العملاء. لمزيد من المعلومات حول نطاقات التشفير، يرجى مراجعةنطاقات التشفير لتخزين كائن ثنائي كبير.
يقارن الجدول التالي خيارات إدارة المفاتيح لتشفير تخزين Azure.
| ضابط إدارة المفاتيح | مفاتيح Microsoft المدارة | المفاتيح التي يديرها العميل | مفاتيح يوفرها العميل |
|---|---|---|---|
| عمليات التشفير/فك التشفير | Azure | Azure | Azure |
| تخزين Azure services supported | الكل | مخزن البيانات الثنائية الكبيرة، ملفات Azure1,2 | مخزن البيانات الثنائية الكبيرة |
| مخزن المفاتيح | مخزن مفاتيح Microsoft | Azure Key Vault or Key Vault HSM | متجر المفاتيح الخاص بالعميل |
| مسؤولية التناوب الرئيسية | Microsoft | العميل | العميل |
| عنصر تحكم المفتاح | Microsoft | العميل | العميل |
| النطاق الرئيسي | الحساب (الافتراضي) أو الحاوية أو الكائن الثنائي كبير الحجم | الحساب (الافتراضي) أو الحاوية أو الكائن الثنائي كبير الحجم | غير متوفر |
1 للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العميل مع تخزين قائمة الانتظار، راجع إنشاء حساب يدعم المفاتيح التي يديرها العميل لقوائم الانتظار.
2 للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العميل مع تخزين الجدول، راجع إنشاء حساب يدعم المفاتيح التي يديرها العميل للجداول.
إشعار
يتم تدوير المفاتيح المدارة من Microsoft بشكل مناسب وفقا لمتطلبات الامتثال. إذا كانت لديك متطلبات محددة لتدوير المفاتيح، توصي Microsoft بالانتقال إلى المفاتيح التي يديرها العملاء حتى تتمكن من إدارة وتدقيق التدوير بنفسك.
ضاعف تشفير البيانات مع تشفير البنية التحتية
يمكن للعملاء الذين يحتاجون إلى مستويات عالية من الضمان بأن بياناتهم آمنة أيضا تمكين تشفير AES بتردد 256 بت على مستوى بنية تخزين Azure التحتية. عند تمكين تشفير البنية التحتية، يتم تشفير البيانات في حساب التخزين مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام نوعين من خوارزمية التشفير ومفتاحين مختلفين. التشفير المزدوج لبيانات تخزين Azure يحمي من سيناريو قد يتم فيه اختراق أحد خوارزميات التشفير أو المفاتيح. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات الخاصة بك.
يدعم التشفير على مستوى الخدمة استخدام المفاتيح المدارة من Microsoft أو المفاتيح المدارة من قبل العملاء مع Azure Key Vault. يعتمد التشفير على مستوى البنية التحتية على مفاتيح مدارة من Microsoft ويستخدم دائما مفتاحا منفصلا.
لمزيد من المعلومات حول كيفية إنشاء حساب تخزين يمكن تشفير البنية الأساسية، راجع إنشاء حساب تخزين مع تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات.
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم وقوائم الانتظار
تدعم مكتبات عملاء مساحة تخزين Azure Blob لأنظمة .NET وJava وPython تشفير البيانات داخل تطبيقات العميل قبل رفعها إلى تخزين Azure، وفك تشفير البيانات أثناء التحميل إلى العميل. تدعم مكتبات عملاء Queue Storage ل .NET و Python أيضا التشفير من جهة العميل.
إشعار
فكر في استخدام ميزات التشفير على جانب الخدمة التي يوفرها تخزين Azure لحماية بياناتك، بدلا من التشفير من جانب العميل.
تستخدم مكتبات عملاء مخزن البيانات الثنائية الكبيرة وQueue Storage AES لتشفير بيانات المستخدم. هناك إصداران من التشفير من جانب العميل متوفران في مكاتب العميل:
- يستخدم الإصدار 2 وضع Galois/Counter Mode (GCM) مع AES. تدعم مجموعات تطوير البرمجيات مخزن البيانات الثنائية الكبيرة وQueue Storage تشفير جانب العميل باستخدام الإصدار الثاني.
- يستخدم الإصدار 1 وضع تسلسل كتلة التشفير (CBC) مع AES. تدعم مجموعات تطوير البرمجيات مخزن البيانات الثنائية الكبيرة وQueue Storage وTable Storage التشفير من جانب العميل مع الإصدار 1.
تحذير
لم نعد نوصي باستخدام التشفير من جانب العميل v1 نظرًا إلى وجود ثغرة أمنية في تطبيق مكتبة العميل لوضع CBC. لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع تخزين Azure تحديث التشفير من جانب العميل في SDK لمعالجة ثغرة الأمان . إذا كنت تستخدم حاليًا v1، فإننا نوصيك بتحديث تطبيقك لتتمكّن من استخدام التشفير من جانب العميل v2 وترحيل بياناتك.
يدعم مساحة تخزين Azure Table SDK فقط التشفير على جانب العميل v1. لا يوصى باستخدام التشفير من جانب العميل مع Table Storage.
يوضح الجدول التالي مكتبات العميل التي تدعم إصدارات التشفير من جانب العميل ويوفر إرشادات للترحيل إلى التشفير من جانب العميل الإصدار 2.
| مكتبة العميل | دعم إصدار التشفير من جانب العميل | الترحيل الموصى به | إرشادات إضافية |
|---|---|---|---|
| مكتبات عملاء مخزن البيانات الثنائية الكبيرة ل .NET (الإصدار 12.13.0 وما فوق)، Java (الإصدار 12.18.0 وما فوق)، وPython (الإصدار 12.13.0 وما فوق) | 2.0 1.0 (للتوافق مع الإصدارات السابقة فقط) |
تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. قم بتنزيل أي بيانات مشفرة لفك تشفيرها، ثم أعد تشفيرها باستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم |
| مكتبة عملاء مخزن البيانات الثنائية الكبيرة لإصدارات .NET (الإصدار 12.12.0 وما دونه)، Java (الإصدار 12.17.0 وما دونه)، وPython (الإصدار 12.12.0 وما دونه) | 1.0 (غير مستحسن) | قم بتحديث تطبيقك ليستخدم نسخة من حزمة تطوير البرمجيات مخزن البيانات الثنائية الكبيرة التي تدعم تشفير العميل v2. راجع مصفوفة دعم SDK للتشفير من جانب العميل للحصول على التفاصيل. تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. قم بتنزيل أي بيانات مشفرة لفك تشفيرها، ثم أعد تشفيرها باستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم |
| مكتبة عملاء تخزين الطابور ل .NET (الإصدار 12.11.0 وما فوق) وPython (الإصدار 12.4 وما فوق) | 2.0 1.0 (للتوافق مع الإصدارات السابقة فقط) |
تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. | التشفير من جانب العميل لقوائم الانتظار |
| مكتبة عملاء تخزين الطابور ل .NET (الإصدار 12.10.0 وما دونه) وPython (الإصدار 12.3.0 وما دونه) | 1.0 (غير مستحسن) | قم بتحديث التطبيق الخاص بك لاستخدام إصدار من إصدار Queue Storage SDK الذي يدعم التشفير من جانب العميل v2. راجع مصفوفة دعم SDK للتشفير من جانب العميل تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل لقوائم الانتظار |
| مكتبة عملاء تخزين الجدول للغات .NET وJava وPython | 1.0 (غير مستحسن) | غير متوفر. | غير متوفر |