Server-side encryption of Azure Disk Storage

ينطبق على: ✔️ أجهزة ✔️ لينكس الافتراضية Windows الأجهزة الافتراضية ✔️ مجموعات ✔️ مقياس مرنة مجموعات مقياس موحدة

معظم أقراص Azure المدارة مشفرة بتشفير تخزين Azure، الذي يستخدم تشفير الخادم (SSE) لحماية بياناتك ولمساعدتك على الوفاء بالتزاماتك الأمنية والامتثال التنظيمية. تشفير تخزين Azure يقوم تلقائيا بتشفير بياناتك المخزنة على أقراص Azure المدارة (نظام التشغيل وأقراص البيانات) في حالة راحة بشكل افتراضي عند تثبيتها على السحابة. أما الأقراص التي تحتوي على تشفير عند المضيف فهي مفعلة، فهي غير مشفرة عبر تخزين Azure. بالنسبة للأقراص التي تحتوي على تشفير مفعل عند المضيف، يوفر الخادم الذي يستضيف جهازك الافتراضي التشفير لبياناتك، وتتدفق البيانات المشفرة إلى تخزين Azure.

يتم تشفير البيانات في Azure الأقراص المدارة بشفافية باستخدام تشفير 256 بت AES، وهو من أقوى الشيفرات الكتلية المتاحة، وهو متوافق مع معيار FIPS 140-2. لمزيد من المعلومات حول الوحدات التشفيرية التي تقوم عليها Azure الأقراص المدارة، راجع Cryptography API : Next Generation

تشفير تخزين Azure لا يؤثر على أداء الأقراص المدارة ولا يوجد تكلفة إضافية. لمزيد من المعلومات حول تشفير تخزين Azure، انظر تخزين Azure التشفير.

هام

الأقراص المؤقتة ليست أقراصًا مدارة ولا يتم تشفيرها بواسطة SSE، إلا إذا قمت بتمكين التشفير في المضيف.

أجهزة Azure الافتراضية من الإصدار 5 وما فوق (مثل Dsv5 أو Dsv6) تقوم تلقائيا بتشفير أقراصها المؤقتة و(إذا كانت قيد الاستخدام) أقراص نظام التشغيل المؤقتة مع التشفير في حالة راحة.

حول إدارة مفاتيح التشفير

يمكنك الاعتماد على المفاتيح المدارة من خلال النظام الأساسي لتشفير القرص المدار، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، يمكنك تحديد مفتاح يديره العميل لاستخدامه في تشفير وفك تشفير كل البيانات الموجودة في أقراصك المدارة.

تصف الأقسام التالية كل خيار من خيارات إدارة المفاتيح بمزيد من التفصيل.

المفاتيح المدارة من قِبل النظام الأساسي

بشكل افتراضي، تستخدم الأقراص المدارة مفاتيح التشفير المدارة بواسطة النظام الأساسي. يتم تشفير جميع الأقراص المدارة واللقطات والصور والبيانات المكتوبة على الأقراص المدارة الموجودة تلقائيًا باستخدام المفاتيح المُدارة بواسطة النظام الأساسي. تدار المفاتيح المدارة على المنصة بواسطة Microsoft.

المفاتيح التي يديرها العميل

يمكنك اختيار إدارة التشفير على مستوى كل قرص مُدار، باستخدام مفاتيحك الخاصة. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. تُوفر المفاتيح المُدارة بواسطة العميل مزيدًا من المرونة في إدارة عناصر التحكم في الوصول.

يجب عليك استخدام أحد مخازن مفاتيح Azure التالية لتخزين مفاتيحك المدارة من قبل العملاء:

• Azure Key Vault (يوصى بالمستوى المميز لحماية المفاتيح المدعومة ب HSM)
• Azure Key Vault وحدة أمن الأجهزة المدارة (HSM)

يمكنك إما استيراد مفاتيح RSA الخاصة بك إلى Key Vault أو توليد مفاتيح RSA جديدة في Azure Key Vault. تتعامل أقراص Azure المدارة مع التشفير وفك التشفير بطريقة شفافة تماما باستخدام تشفير المغلف. تتم حماية البيانات باستخدام مفتاح تشفير البيانات المستند إلى AES 256 (DEK)، والذي هو بدوره محمٍ باستخدام مفاتيحك. تقوم خدمة «Storage» بإنشاء مفاتيح تشفير البيانات وتشفيرها باستخدام المفاتيح التي يديرها العميل باستخدام تشفير RSA. يسمح لك تشفير المغلف بتدوير (تغيير) مفاتيحك بشكل دوري وفقًا لنُهُج التوافق المتوفرة لديك دون التأثير على أجهزتك الظاهرية. عندما تدور مفاتيحك، تعيد خدمة التخزين تغليف مفاتيح تشفير البيانات مع النسخة الجديدة التي يديرها العميل. البيانات الأساسية للقرص نفسها لا تعاد تشفيرها. يجب أن تبقى نسخ المفاتيح القديمة والجديدة مفعلة حتى اكتمال إعادة التغليف.

يجب أن تكون الأقراص المدارة وKey Vault أو HSM المدارة في نفس منطقة Azure، لكن يمكن أن تكون في اشتراكات مختلفة. يجب أن تكون أيضا في نفس المستأجر Microsoft Entra، إلا إذا كنت تستخدم أقراص مدارة Encrypt مع مفاتيح تديرها العملاء عبر المستأجرين.

التحكم الكامل في مفاتيحك

يجب أن تمنح الوصول إلى الأقراص المدارة في Key Vault أو إدارة HSM لاستخدام مفاتيحك لتشفير وفك تشفير DEK. يتيح لك ذلك التحكم الكامل في بياناتك ومفاتيحك. يمكنك تعطيل مفاتيحك أو إبطال الوصول إلى الأقراص المُدارة في أي وقت. يمكنك أيضا تدقيق استخدام مفاتيح التشفير باستخدام مراقبة Azure Key Vault للتأكد من أن الأقراص المدارة أو خدمات Azure الموثوقة الأخرى فقط هي التي تصل إلى مفاتيحك.

هام

عند تعطيل مفتاح أو حذفه أو انتهاء صلاحيته، سيتم إيقاف تشغيل أي أجهزة ظاهرية مع نظام التشغيل أو أقراص البيانات التي تستخدم هذا المفتاح تلقائيا. بعد إيقاف التشغيل التلقائي، لن يتم تشغيل الأجهزة الظاهرية حتى يتم تمكين المفتاح مرة أخرى، أو تقوم بتعيين مفتاح جديد.

بشكل عام، يبدأ فشل إدخال/إخراج القرص (عمليات القراءة أو الكتابة) بعد ساعة واحدة من تعطيل المفتاح أو حذفه أو انتهاء صلاحيته.

يوضح المخطط التالي كيف تستخدم الأقراص المدارة Microsoft Entra ID و Azure Key Vault لإجراء الطلبات باستخدام المفتاح المدار من قبل العميل:

تشرح القائمة التالية الرسم البياني بمزيد من التفصيل:

1. يقوم مسؤول Azure Key Vault بإنشاء موارد Key Vault.
2. يقوم مسؤول key vault إما باستيراد مفاتيح RSA الخاصة به إلى Key Vault أو توليد مفاتيح RSA جديدة في Key Vault.
3. يقوم هذا المسؤول بإنشاء نسخة من مورد مجموعة تشفير الأقراص، ويحدد معرف Azure Key Vault ورابط مفتاح. مجموعة تشفير القرص عبارة عن مورد جديد تم تقديمه لتبسيط إدارة المفاتيح للأقراص المُدارة.
4. عند إنشاء مجموعة تشفير القرص، يتم إنشاء هو<ية مدارة systemc0> في Microsoft Entra ID وترتبط بمجموعة تشفير القرص.
5. ثم يمنح مسؤول خزنة مفاتيح Azure إذنا للهوية المدارة لإجراء العمليات داخل خزنة المفاتيح.
6. يقوم مستخدم الجهاز الظاهري بإنشاء أقراص عن طريق إقرانها بمجموعة تشفير القرص. يمكن لمستخدم الجهاز الظاهري أيضًا تمكين التشفير من جانب الخادم باستخدام المفاتيح التي يديرها العميل للموارد الموجودة عن طريق ربطها بمجموعة تشفير القرص.
7. تستخدم الأقراص المدارة الهوية المدارة لإرسال الطلبات إلى Azure Key Vault.
8. لقراءة أو كتابة البيانات، ترسل الأقراص المدارة طلبات إلى Azure Key Vault لتشفير (لف) وفك تشفير (فتح) مفتاح تشفير البيانات من أجل إجراء التشفير وفك تشفير البيانات.

لسحب الوصول إلى المفاتيح التي يديرها العميل، انظر Azure Key Vault PowerShell و Azure Key Vault CLI. إلغاء الوصول فعليا يمنع الوصول إلى جميع البيانات في حساب التخزين، حيث أن مفتاح التشفير غير متاح من قبل تخزين Azure.

التدوير التلقائي للمفاتيح التي يديرها العميل

بشكل عام، إذا كنت تستخدم مفاتيح يديرها العميل، يجب تمكين التدوير التلقائي للمفتاح إلى أحدث إصدار مفتاح. يساعد التدوير التلقائي للمفتاح على ضمان أمان المفاتيح. يشير القرص إلى مفتاح عبر مجموعة تشفير القرص الخاصة به. عند تمكين التدوير التلقائي لمجموعة تشفير قرص، سيقوم النظام تلقائياً بتحديث جميع الأقراص واللقطات والصور المُدارة التي تشير إلى مجموعة تشفير القرص لاستخدام الإصدار الجديد من المفتاح في غضون ساعة واحدة. لمعرفة كيفية تمكين المفاتيح المدارة من قبل العميل مع تدوير المفاتيح تلقائيا، راجع إعداد Azure Key Vault وDiskEncryptionSet مع تدوير المفاتيح التلقائي.

إشعار

Virtual Machines لا تعاد تشغيلها أثناء تدوير المفاتيح التلقائي.

إذا لم تتمكن من تمكين التدوير التلقائي للمفتاح، يمكنك استخدام أساليب أخرى لتنبيهك قبل انتهاء صلاحية المفاتيح. بهذه الطريقة، يمكنك التأكد من تدوير المفاتيح قبل انتهاء الصلاحية والحفاظ على استمرارية الأعمال. يمكنك استخدام نهج Azure أو Azure Event Grid لإرسال إشعار عند انتهاء صلاحية المفتاح قريبا.

القيود

في الوقت الحالي، تخضع المفاتيح المُدارة بواسطة العميل للقيود التالية:

• إذا تم تمكين هذه الميزة لقرص مع لقطات تزايدية، فلا يمكن تعطيلها على هذا القرص أو لقطاته. للتغلب على ذلك، انسخ جميع البيانات إلى قرص مدار مختلف تماما لا يستخدم مفاتيح يديرها العميل. يمكنك فعل ذلك إما مع Azure CLI أو وحدة Azure PowerShell.
• يجب أن يكون للقرص وجميع اللقطات التزايدية المقترنة به نفس مجموعة تشفير القرص.
• يتم دعم برامج ومفاتيح HSM RSA بالأحجام 2048 بت و3072 بت و4096 بت فقط، دون أي مفاتيح أو أحجام أخرى.
  • مفاتيح HSM تتطلب مستوى premium من خزائن المفاتيح Azure.
• بالنسبة لأقراص Ultra وأقراص Premium SSD v2 فقط:
  • (معاينة) تتوفر الهويات المدارة المعينة من قبل المستخدم لأقراص Ultra وأقراص Premium SSD v2 المشفرة باستخدام مفاتيح يديرها العميل.
• يجب أن تكون معظم الموارد المتعلقة بالمفاتيح المُدارة بواسطة العميل (مجموعات تشفير الأقراص والأجهزة الظاهرية والأقراص والنسخ المطابقة) في نفس الاشتراك والمنطقة.
  • يمكن استخدام خزائن مفاتيح Azure من اشتراك مختلف ولكن يجب أن تكون في نفس المنطقة التي تحتوي على مجموعة تشفير القرص لديك. تدعم خزائن مفاتيح Azure في مستأجرين Microsoft Entra المختلفين للأقراص المدارة. للتفاصيل، راجع تشفير الأقراص المدارة مع مفاتيح تديرها عبر المستأجرين عبر المستأجرين.
• يمكن للأقراص المشفرة بالمفاتيح التي يديرها العميل الانتقال إلى مجموعة موارد أخرى فقط إذا تم إلغاء تخصيص الجهاز الظاهري المرفق به.
• لا يمكن نقل الأقراص واللقطات والصور المشفرة باستخدام مفاتيح يديرها العميل بين الاشتراكات.
• الأقراص المدارة التي تم تشفيرها حاليا أو سابقا باستخدام تشفير قرص Azure لا يمكن تشفيرها باستخدام مفاتيح يديرها العميل.
• يمكن فقط إنشاء ما يصل إلى 5000 مجموعة تشفير قرص لكل منطقة لكل اشتراك.
• للحصول على معلومات حول استخدام المفاتيح المُدارة بواسطة العميل مع معارض الصور المشتركة، راجع معاينة: استخدام المفاتيح المُدارة بواسطة العميل لتشفير الصور.

المناطق المدعومة

تتوفر المفاتيح التي يديرها العميل في جميع المناطق التي تتوفر فيها الأقراص المُدارة.

هام

تعتمد المفاتيح المدارة من قبل العملاء على هويات مدارة لموارد Azure، وهي ميزة في Microsoft Entra ID. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل، يتم تعيين هوية مُدارة تلقائياً لمواردك ضمن الأغلفة. إذا قمت لاحقا بنقل الاشتراك أو مجموعة الموارد أو القرص المدار من مجلد Microsoft Entra إلى آخر، فإن الهوية المدارة المرتبطة بالأقراص المدارة لا تنقل إلى المستأجر الجديد، لذا قد لا تعمل المفاتيح المدارة من قبل العملاء. لمزيد من المعلومات، راجع نقل الاشتراك بين Microsoft Entra الدليل.

لتمكين المفاتيح المدارة من قبل العميل للأقراص المدارة، راجع مقالاتنا التي تغطي كيفية تفعيلها إما باستخدام Azure PowerShell module، أو Azure CLI أو بوابة Azure.

راجع إنشاء قرص مدار من لقطة باستخدام CLI للحصول على نموذج التعليمات البرمجية.

التشفير في المضيف - التشفير الشامل لبيانات جهازك الظاهري

عندما تفعل التشفير في المضيف، يبدأ هذا التشفير من خادم الجهاز الافتراضي نفسه، وهو خادم Azure الذي تخصص له جهازك الافتراضي. يتم تخزين بيانات القرص المؤقت وذاكرة التخزين المؤقت لنظام التشغيل/البيانات على مضيف الجهاز الظاهري هذا. بعد تمكين التشفير في المضيف، يتم تشفير جميع هذه البيانات الثابتة وتتدفق مشفرة إلى خدمة التخزين، حيث تستمر. بشكل أساسي، يقوم التشفير في المضيف بتشفير بياناتك بشكل كامل وشامل. لا يستخدم التشفير في المضيف وحدة المعالجة المركزية الخاصة بالجهاز الظاهري ولا يؤثر على أداء الجهاز الظاهري.

يتم تشفير الأقراص المؤقتة وأقراص نظام التشغيل سريعة الزوال في حالة السكون باستخدام المفاتيح المُدارة من قبل النظام الأساسي عند تمكين التشفير الشامل. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وأقراص البيانات في حالة السكون إما من خلال مفاتيح مدارة من قِبل العميل أو مُدارة من قِبل النظام الأساسي، اعتمادًا على نوع تشفير القرص المحدد. على سبيل المثال، إذا تم تشفير القرص بمفاتيح مدارة بواسطة العميل، فسيتم تشفير ذاكرة التخزين المؤقت للقرص بمفاتيح مدارة من جانب العميل، وإذا تم تشفير القرص بمفاتيح مدارة من النظام الأساسي، فسيتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مُدارة بواسطة النظام الأساسي.

القيود

• لا يمكن تفعيلها على الأجهزة الافتراضية (VMs) أو مجموعات مقياس الآلة الافتراضية التي كان فيها تشفير قرص Azure مفعلا أو حتى الآن.
• لا يمكن تفعيل تشفير قرص Azure على الأقراص التي يتم تفعيل التشفير عند المضيف.
• يمكن تمكين التشفير على مجموعات مقياس الجهاز الظاهري الموجودة. ومع ذلك، يتم تشفير الأجهزة الظاهرية الجديدة التي تم إنشاؤها بعد تمكين التشفير تلقائياً.
• يجب إلغاء تخصيص الأجهزة الظاهرية الحالية وإعادة تخصيصها من أجل تشفيرها.

تنطبق القيود التالية فقط على Ultra Disks وPremium SSD v2:

• يجب إنشاء الأقراص التي تستخدم حجم قطاع 512e بعد 5/13/2023.
  • إذا تم إنشاء القرص قبل هذا التاريخ، فبادر بلقطة القرص الخاص بك، وأنشئ قرصا جديدا باستخدام اللقطة.

أحجام الأجهزة الظاهرية المدعمة

يمكن سحب القائمة الكاملة لأحجام الأجهزة الظاهرية المدعومة برمجياً. لتعلم كيفية استرجاعها برمجيا، راجع قسم أحجام الآلات الافتراضية المدعومة للعثور على المقالات إما في Azure PowerShell module أو Azure CLI.

لتمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف، راجع مقالاتنا التي تغطي كيفية تفعيله إما باستخدام Azure PowerShell module، أو Azure CLI، أو بوابة Azure.

التشفير المزدوج الثابت

يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يهتمون بالمخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية/وضع تشفير مختلف في طبقة البنية الأساسية باستخدام مفاتيح التشفير المدارة بواسطة النظام الأساسي. يمكن تطبيق هذه الطبقة الجديدة على أقراص نظام التشغيل والبيانات المستمرة واللقطات والصور، والتي سيتم تشفيرها جميعًا في حالة السكون باستخدام تشفير مزدوج.

القيود

التشفير المزدوج في حالة عدم التشغيل غير مدعوم حاليا مع أقراص Ultra Disks أو Premium SSD v2.

لتمكين التشفير المزدوج الثابت للأقراص المدارة، راجع تمكين التشفير المزدوج الثابت للأقراص المدارة.

التشفير عند المضيف مقابل تشفير قرص Azure

تشفير قرص Azure يستفيد إما من ميزة DM-Crypt في لينكس أو ميزة BitLocker في Windows لتشفير الأقراص المدارة باستخدام مفاتيح تدارها العملاء داخل الجهاز الضيف. يحسن التشفير من جانب الخادم مع التشفير لدى المضيف على ADE. مع التشفير في المضيف، يتم تخزين البيانات الخاصة بالقرص المؤقت وذاكرة التخزين المؤقت لأقراص نظام التشغيل/البيانات على مضيف الجهاز الظاهري هذا. بعد تمكين التشفير في المضيف، يتم تشفير جميع هذه البيانات الثابتة وتتدفق مشفرة إلى خدمة التخزين، حيث تستمر. بشكل أساسي، يقوم التشفير في المضيف بتشفير بياناتك بشكل كامل وشامل. لا يستخدم التشفير في المضيف وحدة المعالجة المركزية الخاصة بالجهاز الظاهري ولا يؤثر على أداء الجهاز الظاهري.

هام

تعتمد المفاتيح المدارة من قبل العملاء على هويات مدارة لموارد Azure، وهي ميزة في Microsoft Entra ID. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل، يتم تعيين هوية مُدارة تلقائياً لمواردك ضمن الأغلفة. إذا قمت لاحقا بنقل الاشتراك أو مجموعة الموارد أو القرص المدار من مجلد Microsoft Entra إلى آخر، فإن الهوية المدارة المرتبطة بالأقراص المدارة لا تنقل إلى المستأجر الجديد، لذا قد لا تعمل المفاتيح المدارة من قبل العميل بعد الآن. لمزيد من المعلومات، راجع نقل الاشتراك بين Microsoft Entra الدليل.

الخطوات التالية

• تفعيل التشفير من طرف إلى طرف باستخدام التشفير عند المضيف إما باستخدام Azure PowerShell module، أو Azure CLI، أو بوابة Azure.
• لتمكين التشفير المزدوج الثابت للأقراص المدارة، راجع تمكين التشفير المزدوج الثابت للأقراص المدارة.
• تمكين المفاتيح المدارة من قبل العميل للأقراص المدارة إما مع Azure PowerShell module، أو Azure CLI أو بوابة Azure.
• الترحيل من تشفير قرص Azure إلى تشفير على جانب الخادم
• استكشف القوالب Azure Resource Manager لإنشاء أقراص مشفرة باستخدام مفاتيح يديرها العميل
• ما هو Azure Key Vault؟