تشفير Azure Storage للبيانات الثابتة
يستخدم تخزين Azure التشفير من جانب الخدمة (SSE) لتشفير بياناتك تلقائيًا عند استمرارها في السحابة. يحمي تشفير Azure Storage بياناتك ويساعدك على الوفاء بالتزاماتك الأمنية والامتثالات التنظيمية.
توصي Microsoft باستخدام التشفير من جانب الخدمة لحماية بياناتك في معظم السيناريوهات. ومع ذلك، فإن مكتبات عميل Azure Storage لتخزين Blob وتخزين قائمة الانتظار توفر أيضًا تشفيرًا من جانب العميل للعملاء الذين يحتاجون إلى تشفير البيانات على العميل. لمزيد من المعلومات، راجع التشفير من جانب العميل للنقاط الكبيرة وقوائم الانتظار.
حول التشفير من جانب خدمة التخزين في Azure
يتم تشفير البيانات في Azure Storage وفك تشفيرها بشفافية باستخدام تشفير AES 256 بت، وهو أحد أقوى شفرات الكتلة المتوفرة، وهو متوافق مع FIPS 140-2. يُشبه تشفير تخزين Azure تشفير BitLocker على Windows.
تخزين Azure متاح لجميع حسابات التخزين، بما في ذلك كل من إدارة الموارد وحسابات التخزين الكلاسيكية. لا يمكن تعطيل تشفيرAzure Storage. نظراً لأن بياناتك مؤمنة بشكل افتراضي، فلن تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من تشفير Azure Storage.
تُشفر البيانات في حساب التخزين بغض النظر عن مستوى الأداء (القياسي أو الممتاز) أو مستوى الوصول (الساخن أو البارد) أو نموذج النشر (Azure Resource Manager أو Classic). يتم تشفير كافة الكائنات الثنائية كبيرة الحجم للكتلة الجديدة والحالية، والكائنات الثنائية كبيرة الحجم للإلحاق، والكائنات الثنائية كبيرة الحجم للصفحة، بما في ذلك الكائنات الثنائية كبيرة الحجم في طبقة الأرشيف. تدعم جميع خيارات التكرار في Azure Storage التشفير، وتُشفر جميع البيانات في كل من المنطقتين الرئيسية والثانوية عند تمكين النسخ المتماثل الجغرافي. يتم تشفير موارد Azure Storage، بما في ذلك الكائن الثنائي كبير الحجم والأقراص والملفات وقوائم الانتظار والجداول. كما تُشفر جميع بيانات تعريف الكائن.
لا توجد تكلفة إضافية لميزة تشفير Azure Storage.
لمزيد من المعلومات حول وحدات التشفير الأساسية لتشفير Azure Storage، راجع واجهة برمجة تطبيقات التشفير: الجيل التالي.
للحصول على معلومات حول التشفير وإدارة المفاتيح للأقراص المدارة من Azure، راجع التشفير من جانب الخادم للأقراص المدارة من Azure.
حول إدارة مفاتيح التشفير
يتم تشفير البيانات في حساب تخزين جديد باستخدام مفاتيح Microsoft المدارة بشكل افتراضي. يمكنك الاستمرار في الاعتماد على المفاتيح التي تديرها Microsoft لتشفير بياناتك، أو يمكنك إدارة التشفير باستخدام المفاتيح الخاصة بك. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، فلديك خياران. يمكنك استخدام أي من نوعي إدارة المفاتيح، أو كليهما:
- يمكنك تحديد مفتاح مدار من قبل العميل لاستخدامه لتشفير البيانات وفك تشفيرها في Blob Storage وفي Azure Files.يجب تخزين 1,2 مفاتيح يديرها العميل في Azure Key Vault أو Azure Key Vault Managed Hardware Security Model (HSM). لمزيد من المعلومات حول المفاتيح التي يديرها العميل، راجع استخدام المفاتيح المدارة من قبل العميل لتشفير Azure Storage.
- يمكنك تحديد مفتاح يوفره العميل في عمليات تخزين كائن ثنائي كبير الحجم. يمكن للعميل الذي يقدم طلبًا للقراءة أو الكتابة ضد تخزين كائن ثنائي كبير الحجم أن يتضمن مفتاح تشفير على طلب التحكم الحبيبي في كيفية تشفير بيانات كائن ثنائي كبير الحجم وفك تشفيرها. للحصول على مزيدٍ من المعلومات عن المفاتيح التي يوفرها العملاء، راجع توفير مفتاح تشفير على طلب لتخزين كائن ثنائي كبير الحجم.
افتراضياً، يتم تشفير حساب التخزين بمفتاح يتم تحديد نطاقه لحساب التخزين بأكمله. تمكنك نطاقات التشفير من إدارة التشفير باستخدام مفتاح يتم تحديد نطاقه إلى حاوية أو كائن ثنائي كبير الحجم فردي. يمكنك استخدام نطاقات التشفير لإنشاء حدود آمنة بين البيانات الموجودة في حساب التخزين نفسه ولكنها تنتمي إلى عملاء مختلفين. يمكن أن تستخدم نطاقات التشفير مفاتيح مُدارة من Microsoft أو مفاتيح مُدارة بواسطة العميل. لمزيد من المعلومات حول نطاقات التشفير، يرجى مراجعةنطاقات التشفير لتخزين كائن ثنائي كبير.
يقارن الجدول التالي خيارات إدارة المفاتيح لـ Azure Storage encryption.
| ضابط إدارة المفاتيح | مفاتيح تديرها Microsoft | المفاتيح التي يديرها العميل | مفاتيح يوفرها العميل |
|---|---|---|---|
| عمليات التشفير/فك التشفير | Azure | Azure | Azure |
| خدمات Azure Storage المدعومة | الكل | تخزين كائن ثنائي كبير الحجم، ملفات Azure 1،2 | مخزن البيانات الثنائية الكبيرة |
| مخزن المفاتيح | مخزن مفاتيح Microsoft | Azure Key Vault أو Key Vault HSM | متجر المفاتيح الخاص بالعميل |
| مسؤولية التناوب الرئيسية | Microsoft | العميل | العميل |
| عنصر تحكم المفتاح | Microsoft | العميل | العميل |
| النطاق الرئيسي | الحساب (الافتراضي) أو الحاوية أو الكائن الثنائي كبير الحجم | الحساب (الافتراضي) أو الحاوية أو الكائن الثنائي كبير الحجم | غير متوفر |
1 للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العميل مع تخزين قائمة الانتظار، راجع إنشاء حساب يدعم المفاتيح التي يديرها العميل لقوائم الانتظار.
2 للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العميل مع تخزين الجدول، راجع إنشاء حساب يدعم المفاتيح التي يديرها العميل للجداول.
إشعار
يتم تدوير المفاتيح المدارة من Microsoft بشكل مناسب وفقًا لمتطلبات التوافق. إذا كانت لديك متطلبات محددة لتدوير المفاتيح، توصي Microsoft بالانتقال إلى المفاتيح التي يديرها العميل حتى تتمكن من إدارة التدوير وتدقيقه بنفسك.
ضاعف تشفير البيانات مع تشفير البنية التحتية
يمكن للعملاء الذين يحتاجون إلى مستويات عالية من التأكيد على أن بياناتهم آمنة تمكين تشفير AES 256 بت على مستوى البنية التحتية لتخزين Azure. عند تمكين تشفير البنية التحتية، يتم تشفير البيانات في حساب التخزين مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام نوعين من خوارزمية التشفير ومفتاحين مختلفين. التشفير المزدوج لبيانات التخزين Azure يحمي ضد سيناريو حيث قد يتعرض أحد خوارزميات التشفير أو المفاتيح للخطر. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات الخاصة بك.
يدعم تشفير مستوى الخدمة استخدام المفاتيح التي تديرها Microsoft أو المفاتيح التي يديرها العملاء مع Azure Key Vault. يعتمد التشفير على مستوى البنية التحتية على المفاتيح التي تديرها Microsoft ويستخدم دائمًا مفتاحًا منفصلاً.
لمزيد من المعلومات حول كيفية إنشاء حساب تخزين يمكن تشفير البنية الأساسية، راجع إنشاء حساب تخزين مع تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات.
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم وقوائم الانتظار
تدعم مكتبات عميل Azure Blob Storage لـ .NET وJava وPython تشفير البيانات داخل تطبيقات العميل قبل التحميل إلى Azure Storage، وفك تشفير البيانات أثناء التنزيل إلى العميل. تدعم مكتبات عميل Queue Storage لـ .NET وPython أيضًا التشفير من جانب العميل.
إشعار
ضع في اعتبارك استخدام ميزات التشفير من جانب الخدمة التي يوفرها Azure Storage لحماية بياناتك، بدلاً من التشفير من جانب العميل.
تستخدم مكتبات عميل Blob Storage وتخزين قائمة الانتظار AES لتشفير بيانات المستخدم. هناك إصداران من التشفير من جانب العميل متوفران في مكاتب العميل:
- يستخدم الإصدار 2 وضع Galois/Counter Mode (GCM) مع AES. يدعم تخزين الكائن الثنائي كبير الحجم وحزم SDK لتخزين قائمة الانتظار التشفير من جانب العميل مع v2.
- يستخدم الإصدار 1 وضع تسلسل كتلة التشفير (CBC) مع AES. يدعم تخزين الكائن الثنائي كبير الحجم وحزم SDK لتخزين الجداول الانتظار التشفير من جانب العميل مع v1.
تحذير
لم نعد نوصي باستخدام التشفير من جانب العميل v1 نظرًا إلى وجود ثغرة أمنية في تطبيق مكتبة العميل لوضع CBC. لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع Azure Storage تحديث التشفير من جانب العميل في SDK لمعالجة الثغرة الأمنية. إذا كنت تستخدم حاليًا v1، فإننا نوصيك بتحديث تطبيقك لتتمكّن من استخدام التشفير من جانب العميل v2 وترحيل بياناتك.
تدعم حزمة تخزين الجدول Azure Table Storage التشفير من جانب العميل v1 فقط. لا يوصى باستخدام التشفير من جانب العميل مع Table Storage.
يوضح الجدول التالي مكتبات العميل التي تدعم إصدارات التشفير من جانب العميل ويوفر إرشادات للترحيل إلى التشفير من جانب العميل الإصدار 2.
| مكتبة العميل | دعم إصدار التشفير من جانب العميل | الترحيل الموصى به | إرشادات إضافية |
|---|---|---|---|
| مكتبات عميل Blob Storage لـ .NET (الإصدار 12.13.0 والإصدارات الأحدث)، وJava (الإصدار 12.18.0 والإصدارات الأحدث)، وPython (الإصدار 12.13.0 والإصدارات الأحدث) | 2.0 1.0 (للتوافق مع الإصدارات السابقة فقط) |
تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. قم بتنزيل أي بيانات مشفرة لفك تشفيرها، ثم أعد تشفيرها باستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم |
| مكتبة عميل Blob Storage لـ .NET (الإصدار 12.12.0 والإصدارات الأقدم)، وJava (الإصدار 12.17.0 وما بعده)، وPython (الإصدار 12.12.0 والإصدارات الأقدم) | 1.0 (غير مستحسن) | قم بتحديث التطبيق الخاص بك لاستخدام إصدار من Blob Storage SDK الذي يدعم التشفير من جانب العميل v2. راجع مصفوفة دعم SDK للتشفير من جانب العميل للحصول على التفاصيل. تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. قم بتنزيل أي بيانات مشفرة لفك تشفيرها، ثم أعد تشفيرها باستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل للكائنات الثنائية كبيرة الحجم |
| مكتبة عميل Queue Storage لـ .NET (الإصدار 12.11.0 وما فوق) وPython (الإصدار 12.4 وما فوق) | 2.0 1.0 (للتوافق مع الإصدارات السابقة فقط) |
تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. | التشفير من جانب العميل لقوائم الانتظار |
| مكتبة عميل Queue Storage لـ .NET (الإصدار 12.10.0 والإصدارات الأقدم) وPython (الإصدار 12.3.0 وما دونه) | 1.0 (غير مستحسن) | قم بتحديث التطبيق الخاص بك لاستخدام إصدار من إصدار Queue Storage SDK الذي يدعم التشفير من جانب العميل v2. راجع مصفوفة دعم SDK للتشفير من جانب العميل تحديث التعليمات البرمجية لاستخدام التشفير من جانب العميل للإصدار 2. |
التشفير من جانب العميل لقوائم الانتظار |
| مكتبة عميل Table Storage لـ .NET وJava وPython | 1.0 (غير مستحسن) | غير متوفر. | غير متوفر |