التشفير من جانب الخادم ل Azure Disk Storage

ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة

يتم تشفير معظم الأقراص المُدارة من Azure باستخدام تشفير Azure Storage، والذي يستخدم التشفير من جانب الخادم (SSE) لحماية بياناتك ولمساعدتك في الوفاء بالتزامات الأمان والتوافق المؤسسية. يقوم تشفير Azure Storage تلقائيًا بتشفير بياناتك المخزنة على الأقراص المدارة من Azure (نظام التشغيل وأقراص البيانات) في حالة السكون بشكل افتراضي عند استمرارها في السحابة. ومع ذلك، لا يتم تشفير الأقراص مع تمكين التشفير عند المضيف من خلال Azure Storage. بالنسبة للأقراص التي تم تمكين التشفير بها في المضيف، يوفر الخادم الذي يستضيف جهازك الظاهري التشفير لبياناتك، وتتدفق تلك البيانات المشفرة إلى Azure Storage.

يتم تشفير البيانات في أقراص Azure المُدارة بشفافية باستخدام تشفير AES 256-بت، وهو أحد أقوى تشفير الكتل المتوفرة، ويتوافق مع FIPS 140-2. لمزيد من المعلومات حول وحدات التشفير الكامنة في أقراص Azure المُدارة، راجع واجهة برمجة تطبيقات التشفير: الجيل التالي

لا يؤثر تشفير Azure Storage على أداء الأقراص المدارة ولا توجد تكلفة إضافية. لمزيد من المعلومات حول تشفير Azure Storage، راجع تشفير Azure Storage.

إشعار

الأقراص المؤقتة ليست أقراصًا مدارة ولا يتم تشفيرها بواسطة SSE، إلا إذا قمت بتمكين التشفير في المضيف.

حول إدارة مفاتيح التشفير

يمكنك الاعتماد على المفاتيح المدارة من خلال النظام الأساسي لتشفير القرص المدار، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، يمكنك تحديد مفتاح يديره العميل لاستخدامه في تشفير وفك تشفير كل البيانات الموجودة في أقراصك المدارة.

تصف الأقسام التالية كل خيار من خيارات إدارة المفاتيح بمزيد من التفصيل.

المفاتيح المدارة من قِبل النظام الأساسي

بشكل افتراضي، تستخدم الأقراص المدارة مفاتيح التشفير المدارة بواسطة النظام الأساسي. يتم تشفير جميع الأقراص المدارة واللقطات والصور والبيانات المكتوبة على الأقراص المدارة الموجودة تلقائيًا باستخدام المفاتيح المُدارة بواسطة النظام الأساسي. تتم إدارة المفاتيح المدارة بواسطة النظام الأساسي بواسطة Microsoft.

المفاتيح التي يديرها العميل

يمكنك اختيار إدارة التشفير على مستوى كل قرص مُدار، باستخدام مفاتيحك الخاصة. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. تُوفر المفاتيح المُدارة بواسطة العميل مزيدًا من المرونة في إدارة عناصر التحكم في الوصول.

يجب عليك استخدام أحد مخازن مفاتيح Azure التالية لتخزين المفاتيح التي يديرها العميل:

• Azure Key Vault
• وحدة أمان الأجهزة المُدارة لـ Azure Key Vault (HSM)

يمكنك إما استيراد مفاتيح RSA إلى Key Vault أو إنشاء مفاتيح RSA جديدة في Azure Key Vault. تتعامل الأقراص المُدارة من Azure مع التشفير وفك التشفير بطريقة شفافة تمامًا باستخدام تشفير المغلف. تتم حماية البيانات باستخدام مفتاح تشفير البيانات المستند إلى AES 256 (DEK)، والذي هو بدوره محمٍ باستخدام مفاتيحك. تقوم خدمة «Storage» بإنشاء مفاتيح تشفير البيانات وتشفيرها باستخدام المفاتيح التي يديرها العميل باستخدام تشفير RSA. يسمح لك تشفير المغلف بتدوير (تغيير) مفاتيحك بشكل دوري وفقًا لنُهُج التوافق المتوفرة لديك دون التأثير على أجهزتك الظاهرية. عند تدوير المفاتيح، تقوم خدمة التخزين بإعادة تشفير مفاتيح تشفير البيانات باستخدام المفاتيح الجديدة التي يديرها العميل.

يجب أن تكون الأقراص المدارة وKey Vault أو HSM المدارة في نفس منطقة Azure، ولكن يمكن أن تكون في اشتراكات مختلفة. يجب أن تكون أيضا في نفس مستأجر Microsoft Entra، إلا إذا كنت تستخدم تشفير الأقراص المدارة مع مفاتيح مدارة من قبل العملاء عبر المستأجرين (معاينة).

التحكم الكامل في مفاتيحك

يجب عليك منح حق الوصول إلى الأقراص المدارة في Key Vault أو HSM المدارة لاستخدام مفاتيحك لتشفير DEK وفك تشفيره. يتيح لك ذلك التحكم الكامل في بياناتك ومفاتيحك. يمكنك تعطيل مفاتيحك أو إبطال الوصول إلى الأقراص المُدارة في أي وقت. يمكنك أيضًا تدقيق استخدام مفتاح التشفير باستخدام مراقبة Azure Key Vault للتأكد من أن الأقراص المدارة أو خدمات Azure الأخرى الموثوق بها فقط هي التي تصل إلى مفاتيحك.

هام

عند تعطيل مفتاح أو حذفه أو انتهاء صلاحيته، سيتم إيقاف تشغيل أي أجهزة ظاهرية مع نظام التشغيل أو أقراص البيانات التي تستخدم هذا المفتاح تلقائيا. بعد إيقاف التشغيل التلقائي، لن يتم تشغيل الأجهزة الظاهرية حتى يتم تمكين المفتاح مرة أخرى، أو تقوم بتعيين مفتاح جديد.

بشكل عام، يبدأ فشل إدخال/إخراج القرص (عمليات القراءة أو الكتابة) بعد ساعة واحدة من تعطيل المفتاح أو حذفه أو انتهاء صلاحيته.

يوضح الرسم التخطيطي التالي كيفية استخدام الأقراص المدارة لمعرف Microsoft Entra وAzure Key Vault لتقديم الطلبات باستخدام المفتاح المدار من قبل العميل:

تشرح القائمة التالية الرسم البياني بمزيد من التفصيل:

1. يقوم مسؤول Azure Key Vault بإنشاء موارد المخزن الرئيسية.
2. يقوم مسؤول مخزن المفاتيح إما باستيراد مفاتيح RSA الخاصة به إلى Key Vault أو إنشاء مفاتيح RSA جديدة في Key Vault.
3. يقوم هذا المسؤول بإنشاء مثيل من مورد "مجموعة تشفير القرص"، مع تحديد معرف Azure Key Vault وعنوان URL رئيسي. مجموعة تشفير القرص عبارة عن مورد جديد تم تقديمه لتبسيط إدارة المفاتيح للأقراص المُدارة.
4. عند إنشاء مجموعة تشفير قرص، يتم إنشاء هوية مدارة معينة من قبل النظام في معرف Microsoft Entra وتقترن بمجموعة تشفير القرص.
5. ثم يمنح مسؤول مخزن مفاتيح Azure إذن الهوية المدارة لتنفيذ العمليات في مخزن المفاتيح.
6. يقوم مستخدم الجهاز الظاهري بإنشاء أقراص عن طريق إقرانها بمجموعة تشفير القرص. يمكن لمستخدم الجهاز الظاهري أيضًا تمكين التشفير من جانب الخادم باستخدام المفاتيح التي يديرها العميل للموارد الموجودة عن طريق ربطها بمجموعة تشفير القرص.
7. تستخدم الأقراص المُدارة الهوية المُدارة لإرسال الطلبات إلى Azure Key Vault.
8. لقراءة البيانات أو كتابتها، ترسل الأقراص المدارة طلبات إلى Azure Key Vault لتشفير (التفاف) مفتاح تشفير البيانات وفك تشفيره (فك التفافه) من أجل إجراء تشفير البيانات وفك تشفيرها.

لإلغاء الوصول إلى المفاتيح التي يديرها العميل، راجع Azure Key Vault PowerShell وAzure Key Vault CLI. يؤدي إبطال الوصول إلى حظر الوصول بشكل فعال إلى جميع البيانات الموجودة في حساب التخزين، حيث يتعذر الوصول إلى مفتاح التشفير بواسطة Azure Storage.

التدوير التلقائي للمفاتيح التي يديرها العميل

بشكل عام، إذا كنت تستخدم مفاتيح يديرها العميل، يجب تمكين التدوير التلقائي للمفتاح إلى أحدث إصدار مفتاح. يساعد التدوير التلقائي للمفتاح على ضمان أمان المفاتيح. يشير القرص إلى مفتاح عبر مجموعة تشفير القرص الخاصة به. عند تمكين التدوير التلقائي لمجموعة تشفير قرص، سيقوم النظام تلقائياً بتحديث جميع الأقراص واللقطات والصور المُدارة التي تشير إلى مجموعة تشفير القرص لاستخدام الإصدار الجديد من المفتاح في غضون ساعة واحدة. لمعرفة كيفية تمكين المفاتيح التي يديرها العميل من خلال التدوير التلقائي للمفاتيح، راجع إعداد Azure Key Vault وDiskEncryptionSet مع التدوير التلقائي للمفاتيح.

إشعار

لا تتم إعادة تشغيل الأجهزة الظاهرية أثناء التدوير التلقائي للمفتاح.

إذا لم تتمكن من تمكين التدوير التلقائي للمفتاح، يمكنك استخدام أساليب أخرى لتنبيهك قبل انتهاء صلاحية المفاتيح. بهذه الطريقة، يمكنك التأكد من تدوير المفاتيح قبل انتهاء الصلاحية والحفاظ على استمرارية الأعمال. يمكنك استخدام نهج Azure أو Azure Event Grid لإرسال إشعار عند انتهاء صلاحية مفتاح قريبا.

القيود

في الوقت الحالي، تخضع المفاتيح المُدارة بواسطة العميل للقيود التالية:

• إذا تم تمكين هذه الميزة لقرص مع لقطات تزايدية، فلا يمكن تعطيلها على هذا القرص أو لقطاته. للتغلب على ذلك، انسخ جميع البيانات إلى قرص مدار مختلف تماما لا يستخدم مفاتيح يديرها العميل. يمكنك القيام بذلك إما باستخدام Azure CLI أو الوحدة النمطية Azure PowerShell.
• يتم دعم برامج ومفاتيح HSM RSA بالأحجام 2048 بت و3072 بت و4096 بت فقط، دون أي مفاتيح أو أحجام أخرى.
  • تتطلب مفاتيح HSMالمستوى المتميز من مخازن Azure Key.
• بالنسبة لأقراص Ultra وأقراص Premium SSD v2 فقط:
  • يجب تشفير النسخ المطابقة التي تم إنشاؤها من الأقراص المشفرة باستخدام تشفير من جانب الخادم والمفاتيح المُدارة بواسطة العميل بنفس المفاتيح المُدارة من قِبل العميل.
  • الهويات المدارة المعينة من قبل المستخدم غير مدعومة لأقراص Ultra Disks وأقراص Premium SSD v2 المشفرة باستخدام مفاتيح يديرها العميل.
• يجب أن تكون معظم الموارد المتعلقة بالمفاتيح المُدارة بواسطة العميل (مجموعات تشفير الأقراص والأجهزة الظاهرية والأقراص والنسخ المطابقة) في نفس الاشتراك والمنطقة.
  • يمكن استخدام Azure Key Vaults من اشتراك مختلف ولكن يجب أن تكون في نفس المنطقة مثل مجموعة تشفير القرص. كمعاينة، يمكنك استخدام Azure Key Vaults من مستأجري Microsoft Entra مختلفين.
• يمكن للأقراص المشفرة باستخدام مفاتيح يديرها العميل الانتقال إلى مجموعة موارد أخرى فقط إذا تم إلغاء تخصيص الجهاز الظاهري المرفق به.
• لا يمكن نقل الأقراص واللقطات والصور المشفرة باستخدام مفاتيح يديرها العميل بين الاشتراكات.
• لا يمكن تشفير الأقراص المدارة حاليا أو المشفرة مسبقا باستخدام تشفير قرص Azure باستخدام مفاتيح يديرها العميل.
• يمكن فقط إنشاء ما يصل إلى 5000 مجموعة تشفير قرص لكل منطقة لكل اشتراك.
• للحصول على معلومات حول استخدام المفاتيح المُدارة بواسطة العميل مع معارض الصور المشتركة، راجع معاينة: استخدام المفاتيح المُدارة بواسطة العميل لتشفير الصور.

المناطق المدعومة

تتوفر المفاتيح التي يديرها العميل في جميع المناطق التي تتوفر فيها الأقراص المُدارة.

هام

تعتمد المفاتيح التي يديرها العميل على الهويات المدارة لموارد Azure، وهي ميزة من ميزات معرف Microsoft Entra. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل، يتم تعيين هوية مُدارة تلقائياً لمواردك ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو القرص المدار من دليل Microsoft Entra إلى دليل آخر، فلن يتم نقل الهوية المدارة المقترنة بالأقراص المدارة إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح المدارة من قبل العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra.

لتمكين المفاتيح المُدارة من قبل العميل للأقراص المدارة، راجع مقالاتنا التي تغطي كيفية تمكينها إما باستخدام وحدة Azure PowerShell أو Azure CLI أو مدخل Azure.

راجع إنشاء قرص مدار من لقطة باستخدام CLI للحصول على نموذج التعليمات البرمجية.

التشفير في المضيف - التشفير الشامل لبيانات جهازك الظاهري

عند تمكين التشفير في المضيف، يبدأ هذا التشفير على مضيف الجهاز الظاهري نفسه، وهو خادم Azure الذي تم تخصيص الجهاز الظاهري له. يتم تخزين بيانات القرص المؤقت وذاكرة التخزين المؤقت لنظام التشغيل/البيانات على مضيف الجهاز الظاهري هذا. بعد تمكين التشفير في المضيف، يتم تشفير جميع هذه البيانات الثابتة وتتدفق مشفرة إلى خدمة التخزين، حيث تستمر. بشكل أساسي، يقوم التشفير في المضيف بتشفير بياناتك بشكل كامل وشامل. لا يستخدم التشفير في المضيف وحدة المعالجة المركزية الخاصة بالجهاز الظاهري ولا يؤثر على أداء الجهاز الظاهري.

يتم تشفير الأقراص المؤقتة وأقراص نظام التشغيل سريعة الزوال في حالة السكون باستخدام المفاتيح المُدارة من قبل النظام الأساسي عند تمكين التشفير الشامل. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وأقراص البيانات في حالة السكون إما من خلال مفاتيح مدارة من قِبل العميل أو مُدارة من قِبل النظام الأساسي، اعتمادًا على نوع تشفير القرص المحدد. على سبيل المثال، إذا تم تشفير القرص بمفاتيح مدارة بواسطة العميل، فسيتم تشفير ذاكرة التخزين المؤقت للقرص بمفاتيح مدارة من جانب العميل، وإذا تم تشفير القرص بمفاتيح مدارة من النظام الأساسي، فسيتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مُدارة بواسطة النظام الأساسي.

القيود

• مدعوم لحجم قطاع 4k Ultra Disks وPremium SSD v2.
• مدعوم فقط على حجم قطاع 512e Ultra Disks وPremium SSD v2 إذا تم إنشاؤها بعد 5/13/2023.
  • بالنسبة للأقراص التي تم إنشاؤها قبل هذا التاريخ، قم بلقطة القرص الخاص بك وإنشاء قرص جديد باستخدام اللقطة.
• لا يمكن تمكينه على الأجهزة الظاهرية (VMs) أو مجموعات مقياس الجهاز الظاهري التي تم تمكينها حاليا أو من أي وقت مضى تشفير قرص Azure.
• لا يمكن تمكين تشفير قرص Azure على الأقراص التي تم تمكين التشفير عند المضيف.
• يمكن تمكين التشفير على مجموعات مقياس الجهاز الظاهري الموجودة. ومع ذلك، يتم تشفير الأجهزة الظاهرية الجديدة التي تم إنشاؤها بعد تمكين التشفير تلقائياً.
• يجب إلغاء تخصيص الأجهزة الظاهرية الحالية وإعادة تخصيصها من أجل تشفيرها.

التوفر الإقليمي

يتوفر التشفير في المضيف في جميع المناطق لجميع أنواع الأقراص.

أحجام الأجهزة الظاهرية المدعمة

يمكن سحب القائمة الكاملة لأحجام الأجهزة الظاهرية المدعومة برمجياً. لمعرفة كيفية استردادها برمجيًا، راجع قسم البحث عن أحجام الأجهزة الظاهرية المدعومة في مقالة وحدة Azure PowerShell أو Azure CLI.

لتمكين التشفير الشامل باستخدام التشفير في المضيف، راجع مقالاتنا التي تغطي كيفية تمكينه إما باستخدام وحدة Azure PowerShell أو Azure CLI أو مدخل Azure.

التشفير المزدوج الثابت

يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يهتمون بالمخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية/وضع تشفير مختلف في طبقة البنية الأساسية باستخدام مفاتيح التشفير المدارة بواسطة النظام الأساسي. يمكن تطبيق هذه الطبقة الجديدة على أقراص نظام التشغيل والبيانات المستمرة واللقطات والصور، والتي سيتم تشفيرها جميعًا في حالة السكون باستخدام تشفير مزدوج.

القيود

التشفير المزدوج في حالة عدم التشغيل غير مدعوم حاليا مع أقراص Ultra Disks أو Premium SSD v2.

المناطق المدعومة

يتوفر التشفير المزدوج في جميع المناطق التي تتوفر فيها الأقراص المدارة.

لتمكين التشفير المزدوج الثابت للأقراص المُدارة، راجع مقالاتنا التي تغطي كيفية تمكينها إما باستخدام وحدة Azure PowerShell أو Azure CLI أو مدخل Azure.

التشفير من جانب الخادم مقابل تشفير قرص Azure

تشفير قرص Azure يستفيد إما من ميزة DM-Crypt في Linux أو ميزة BitLocker في Windows لتشفير الأقراص المدارة باستخدام المفاتيح المُدارة من قبل العميل داخل الجهاز الظاهري الضيف. يعمل التشفير من جانب الخادم باستخدام المفاتيح المدارة من قبل العميل على تحسين تشفير قرص Azure من خلال تمكينك من استخدام أي أنواع وصور من أنظمة التشغيل لأجهزتك الظاهرية عن طريق تشفير البيانات في خدمة «Storage».

هام

تعتمد المفاتيح التي يديرها العميل على الهويات المدارة لموارد Azure، وهي ميزة من ميزات معرف Microsoft Entra. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل، يتم تعيين هوية مُدارة تلقائياً لمواردك ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو القرص المدار من دليل Microsoft Entra إلى دليل آخر، فلن يتم نقل الهوية المدارة المقترنة بالأقراص المدارة إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra.

الخطوات التالية

• قم بتمكين التشفير الشامل باستخدام التشفير في المضيف إما باستخدام وحدة Azure PowerShell أو Azure CLI أو مدخل Azure.
• قم بتمكين التشفير المزدوج الثابت للأقراص المدارة إما باستخدام وحدة Azure PowerShell أو Azure CLI أو مدخل Azure.
• قم بتمكين المفاتيح المدارة من قبل العميل للأقراص المدارة باستخدام وحدة Azure PowerShell أو Azure CLI أو مدخل Azure.
• استكشاف قوالب Azure Resource Manager لإنشاء أقراص مشفرة باستخدام مفاتيح مدارة من قبل العميل
• ما هو Azure Key Vault؟