تشفير Azure
توفر هذه الوحدة نظرة عامة حول كيفية استخدام التشفير في Microsoft Azure. كما تتناول المجالات الرئيسة للتشفير، بما في ذلك التشفير الثابت، والتشفير أثناء الطيران، وإدارة المفاتيح باستخدام Azure Key Vault. يتضمن كل قسم ارتباطات تشمل معلومات أكثر تفصيلًا.
تشفير البيانات الثابتة
تتضمن البيانات الثابتة معلومات موجودة في التخزين المستمر على الوسائط الفعلية، بأي تنسيق رقمي. يمكن أن تتضمن الوسائط ملفات على الوسائط المغناطيسية أو البصرية والبيانات المؤرشفة والنسخ الاحتياطية للبيانات. يقدم Microsoft Azure مجموعة متنوعة من حلول تخزين البيانات لتلبية احتياجات مختلفة، بما في ذلك الملفات والقرص والكائنات الثنائية كبيرة الحجم وتخزين الجدول. توفر Microsoft أيضاً التشفير لحماية قاعدة بيانات Azure SQL وAzure Cosmos DB وAzure Data Lake.
يتوفر تشفير البيانات الثابتة باستخدام تشفير بيانات AES 256 للخدمات عبر البرامج كخدمة (SaaS) والنظام الأساسي كخدمة (PaaS) ونماذج سحابة البنية التحتية كخدمة (IaaS). تلخص هذه المقالة الموارد وتوفرها لمساعدتك في استخدام خيارات تشفير Azure.
للحصول على مناقشة أكثر تفصيلًا حول كيفية تشفير البيانات الثابتة في Azure، راجع تشفير بيانات Azure الثابتة.
نماذج تشفير Azure
يدعم Azure نماذج تشفير مختلفة، بما في ذلك التشفير من جانب الخادم الذي يستخدم المفاتيح المدارة بواسطة الخدمة أو المفاتيح المدارة بواسطة العميل في Key Vault أو المفاتيح التي يديرها العميل على الأجهزة التي يتحكم فيها العميل. باستخدام التشفير من جانب العميل، يمكنك إدارة المفاتيح وتخزينها محليا أو في موقع آمن آخر.
التشفير من جانب العميل
يتم تنفيذ التشفير من جانب العميل خارج Azure. وهي تشمل:
- البيانات المشفرة بواسطة تطبيق يعمل في مركز بيانات العميل أو بواسطة تطبيق خدمة.
- البيانات التي تم تشفيرها بالفعل عند تلقيها بواسطة Azure.
باستخدام التشفير من جانب العميل، لا يملك موفرو خدمات السحابة حق الوصول إلى مفاتيح التشفير ولا يمكنهم فك تشفير هذه البيانات. يمكنك الحفاظ على التحكم الكامل في المفاتيح.
التشفير من جانب الخادم
توفر نماذج التشفير الثلاثة من جانب الخادم خصائص مختلفة لإدارة المفاتيح، والتي يمكنك اختيارها وفقا لمتطلباتك:
- المفاتيح المدارة بواسطة الخدمة: توفر مزيجا من التحكم والراحة مع النفقات العامة المنخفضة.
- المفاتيح التي يديرها العميل: تمنحك التحكم في المفاتيح، بما في ذلك دعم إحضار المفاتيح الخاصة بك (BYOK)، أو يسمح لك بإنشاء مفاتيح جديدة.
- المفاتيح المدارة بواسطة الخدمة في الأجهزة التي يتحكم فيها العميل: تمكنك من إدارة المفاتيح في مستودعك الخاص، خارج نطاق تحكم Microsoft. تسمى هذه الخاصية Host Your Own Key (HYOK). ومع ذلك، التكوين معقد، ومعظم خدمات Azure لا تدعم هذا النموذج.
تشفير قرص Azure
يتم تشفير جميع الأقراص المدارة واللقطات والصور باستخدام تشفير خدمة التخزين باستخدام مفتاح مدار بواسطة الخدمة. يوفر Azure أيضا خيارات لحماية الأقراص المؤقتة وذاكرة التخزين المؤقت وإدارة المفاتيح في Azure Key Vault. لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة.
تشفير خدمة تخزين Azure
يمكن تشفير البيانات الثابتة في تخزين Azure Blob ومشاركات ملفات Azure في كل من السيناريوهات من جانب الخادم والعميل.
يمكن لتقنية تشفير خدمة التخزين (SSE) في Azure أن تشفر البيانات تلقائيًا قبل تخزينها، وتفك تشفير البيانات تلقائيًا عند استردادها. العملية شفافة تماما للمستخدمين. يستخدم تشفير خدمة التخزين تشفير مقاييس التشفير المتقدمة (AES) لحجم 256 بت، وهو أحد أقوى تشفيرات الكتلة المتوفرة. يعالج AES التشفير وفك التشفير وإدارة المفاتيح بشفافية.
التشفير من جانب العميل ل Azure blobs
يمكنك إجراء تشفير من جانب العميل ل Azure blobs بطرق مختلفة.
يمكنك استخدام مكتبة عميل تخزين Azure لحزمة .NET NuGet لتشفير البيانات داخل تطبيقات العميل قبل تحميلها إلى تخزين Azure الخاص بك.
لمعرفة المزيد حول مكتبة Azure Storage Client Library وتنزيلها لحزمة .NET NuGet، راجع Windows Azure Storage 8.3.0.
عند استخدام التشفير من جانب العميل مع Key Vault، يتم تشفير بياناتك باستخدام مفتاح تشفير محتوى متماثل لمرة واحدة (CEK) يتم إنشاؤه بواسطة SDK لعميل Azure Storage. يتم تشفير CEK باستخدام مفتاح تشفير المفتاح (KEK)، والذي يمكن أن يكون إما مفتاحا متماثلا أو زوج مفاتيح غير متماثل. يمكنك إدارته محليا أو تخزينه في Key Vault. ثم يتم تحميل البيانات المشفرة إلى Azure Storage.
لمعرفة المزيد حول التشفير من جانب العميل باستخدام Key Vault والبدء في التعليمات حول الطريقة، راجع البرنامج التعليمي: تشفير الكائنات الثنائية كبيرة الحجم وفك تشفيرها في Azure Storage باستخدام Key Vault.
وأخيرا، يمكنك أيضا استخدام مكتبة عميل تخزين Azure ل Java لإجراء تشفير من جانب العميل قبل تحميل البيانات إلى Azure Storage، وفك تشفير البيانات عند تنزيلها إلى العميل. تدعم المكتبة أيضًا إجراء التكامل باستخدام Key Vault لإدارة مفاتيح حساب التخزين.
تشفير البيانات الثابتة باستخدام قاعدة بيانات Azure SQL
Azure SQL Database هي خدمة مدارة بواسطة قاعدة بيانات ارتباطية للأغراض العامة في Azure، إذ تدعم بنيات مثل البيانات الارتباطية وJSON والموضع المكاني وXML. تدعم قاعدة بيانات SQL كلا من التشفير من جانب الخادم عبر ميزة تشفير البيانات الشفافة (TDE) والتشفير من جانب العميل عبر ميزة Always Encrypted.
تشفير البيانات الشفاف
تستخدَم TDE في تشفير ملفات بيانات خادم SQL Server وقاعدة بيانات Azure SQL وAzure Synapse Analytics في الوقت الفعلي، باستخدام مفتاح تشفير قاعدة البيانات (DEK) المخزن في سجل تهيئة قاعدة البيانات للتوفر أثناء عملية الاسترداد.
يحمي TDE البيانات وملفات السجل، باستخدام خوارزميات تشفير معيار تشفير البيانات الثلاثية (3DES) AES. يتم تنفيذ تشفير ملف قاعدة البيانات على مستوى الصفحة. يتم تشفير الصفحات في قاعدة بيانات مشفرة قبل كتابتها على القرص وفك تشفيرها عند قراءتها في الذاكرة. يتم الآن تمكين TDE بشكل افتراضي على قواعد بيانات Azure SQL التي تم إنشاؤها حديثا.
ميزة Always Encrypted
باستخدام ميزة Always Encrypted في Azure SQL، يمكنك تشفير البيانات داخل تطبيقات العميل قبل تخزينها في قاعدة بيانات Azure SQL. يمكنك أيضا تمكين تفويض إدارة قاعدة البيانات المحلية إلى جهات خارجية والحفاظ على الفصل بين أولئك الذين يمتلكون البيانات ويمكنهم عرضها وأولئك الذين يديرونها ولكن لا ينبغي أن يكون لديهم حق الوصول إليها.
التشفير على مستوى الخلية أو مستوى العمود
باستخدام قاعدة بيانات Azure SQL، يمكنك تطبيق تشفير متماثل على عمود من البيانات باستخدام Transact-SQL. يسمى هذا الأسلوب بالتشفير على مستوى الخلية أو التشفير على مستوى العمود (CLE)، إذ يمكنك استخدامه لتشفير أعمدة معينة أو حتى خلايا معينة من البيانات باستخدام مفاتيح تشفير مختلفة. يمنحك القيام بذلك إمكانية تشفير أكثر دقة من TDE، والتي تقوم بتشفير البيانات في الصفحات.
يحتوي CLE على وظائف مضمنة يمكنك استخدامها لتشفير البيانات باستخدام مفاتيح متماثلة أو غير متماثلة أو المفتاح العام للشهادة أو عبارة مرور باستخدام 3DES.
تشفير قاعدة بيانات Azure Cosmos DB
Azure Cosmos DB هي قاعدة بيانات متعددة النماذج موزعة عالميًا من Microsoft. يتم تشفير بيانات المستخدم المخزنة في Azure Cosmos DB في التخزين غير المتطاير (محركات الأقراص ذات الحالة الصلبة) بشكل افتراضي. لا توجد عناصر تحكم لتشغيلها أو إيقاف تشغيلها. يتم تنفيذ التشفير الثابت باستخدام عدد من تقنيات الأمان، بما في ذلك أنظمة تخزين المفاتيح الآمنة والشبكات المشفرة وواجهات برمجة تطبيقات التشفير. تتم إدارة مفاتيح التشفير بواسطة Microsoft ويتم تدويرها وفقا لإرشادات Microsoft الداخلية. اختياريا، يمكنك اختيار إضافة طبقة ثانية من التشفير باستخدام المفاتيح التي تديرها لاستخدام المفاتيح التي يديرها العميل أو ميزة CMK .
التشفير الثابت في Data Lake
Azure Data Lake هو مستودع على مستوى المؤسسة مخصص لكل نوع من البيانات المجمّعة في موقع واحد قبل فرض أي تعريفات رسمية للمتطلبات أو المخططات. يدعم Data Lake Store التشفير الشفاف للبيانات الثابتة "قيد التشغيل بشكل افتراضي"، والذي يتم إعداده في أثناء إنشاء الحساب. بشكل افتراضي، يدير Azure Data Lake Store المفاتيح نيابة عنك، ولكن لديك خيار إدارتها بنفسك.
يتم استخدام ثلاثة أنواع من المفاتيح في تشفير البيانات وفك تشفيرها: مفتاح التشفير الرئيسي (MEK)، ومفتاح تشفير البيانات (DEK)، ومفتاح تشفير الكتلة (BEK). يتم استخدام MEK لتشفير DEK، المخزن على الوسائط المستمرة، ويتم اشتقاق BEK من DEK و كتلة البيانات. إذا كنت تدير المفاتيح الخاصة بك، يمكنك تدوير MEK.
تشفير البيانات قيد النقل
يقدم Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء انتقالها من موقع إلى آخر.
تشفير طبقة ارتباط البيانات في Azure
كلما انتقلت نسبة استخدام الشبكة الخاصة بعميل Azure بين مراكز البيانات -خارج الحدود المادية التي لا تتحكم بها Microsoft (أو نيابة عن Microsoft)- يطبَّق أسلوب تشفير مستوى ارتباط البيانات باستخدام معايير الأمان IEEE 802.1AE MAC Security (المعروفة أيضًا باسم MACsec) من نقطة إلى نقطة عبر أجهزة الشبكة الأساس. يتم تشفير الحزم على الأجهزة قبل إرسالها، مما يمنع هجمات "الدخيل" الفعلية أو التطفل/التنصت. نظرا لأن هذه التقنية متكاملة على أجهزة الشبكة نفسها، فإنها توفر تشفير معدل الخط على أجهزة الشبكة مع عدم زيادة زمن انتقال الارتباط القابل للقياس. يكون تشفير MACsec هذا قيد التشغيل بشكل افتراضي لجميع حركة مرور Azure التي تنتقل داخل منطقة أو بين المناطق، ولا يلزم اتخاذ أي إجراء من جانب العملاء لتمكينه.
تشفير TLS في Azure
تمنح Microsoft العملاء القدرة على استخدام بروتوكول أمان طبقة النقل (TLS) لحماية البيانات عند التنقل بين الخدمات السحابية والعملاء. تتفاوض مراكز بيانات Microsoft على اتصال TLS مع أنظمة العميل التي تتصل بخدمات Azure. يوفر بروتوكول TLS مصادقة قوية وخصوصية الرسائل وسلامتها (مما يتيح اكتشاف التلاعب بالرسائل والاعتراض والتزوير) وإمكانية التشغيل البيني ومرونة الخوارزمية وسهولة التوزيع والاستخدام.
Perfect Forward Secrecy تحمي PFS الاتصالات بين أنظمة العملاء الخاصة بالعميل والخدمات السحابية من Microsoft بواسطة مفاتيح فريدة. تدعم الاتصالات أيضا أطوال المفاتيح 2048 بت المستندة إلى RSA، وأطوال مفاتيح ECC 256 بت، ومصادقة رسالة SHA-384، وتشفير البيانات AES-256. يجعل هذا المزيج من الصعب على أي شخص اعتراض البيانات التي يجري نقلها والوصول إليها.
معاملات Azure Storage
عند التفاعل مع Azure Storage من خلال مدخل Microsoft Azure، تتم جميع المعاملات عبر HTTPS. يمكنك أيضا استخدام Storage REST API عبر HTTPS للتفاعل مع Azure Storage. يمكنك فرض استخدام HTTPS عند استدعاء واجهات برمجة تطبيقات REST للوصول إلى الكائنات في حسابات التخزين عن طريق تمكين النقل الآمن المطلوب لحساب التخزين.
تشمل توقيعات الوصول المشترك (SAS) -التي يمكن استخدامها لتفويض الوصول إلى عناصر Azure Storage- خيارًا لتحديد إمكانية استخدام بروتوكول HTTPS فحسب عند استخدام توقيعات الوصول المشترك. يضمن هذا الأسلوب أن أي شخص يرسل ارتباطات مع رموز SAS المميزة يستخدم البروتوكول المناسب.
يدعم SMB 3.0، الذي يستخدم للوصول إلى مشاركات ملفات Azure، التشفير، ويتوفر في أنظمة Windows Server 2012 R2 وWindows 8 وWindows 8.1 وWindows 10. يسمح بالوصول عبر المناطق وحتى الوصول على سطح المكتب.
يقوم التشفير من جانب العميل بتشفير البيانات قبل إرسالها إلى مثيل Azure Storage، بحيث يتم تشفيرها أثناء انتقالها عبر الشبكة.
تشفير SMB عبر شبكات Azure الظاهرية
باستخدام SMB 3.0 في الأجهزة الظاهرية التي تعمل على Windows Server 2012 أو النسخ الأحدث، يمكنك جعل عمليات نقل البيانات آمنة عن طريق تشفير البيانات في أثناء النقل عبر شبكات Azure الظاهرية. من خلال تشفير البيانات، يمكنك المساعدة في الحماية من هجمات العبث والتنصت. يمكن للمسؤولين تمكين تشفير SMB للخادم بأكمله، أو مشاركات محددة فقط.
بشكل افتراضي، بعد تشغيل تشفير SMB للمشاركة أو الخادم، يسمح فقط لعملاء SMB 3.0 بالوصول إلى المشاركات المشفرة.
التشفير أثناء النقل في الأجهزة الظاهرية
يمكن تشفير البيانات أثناء النقل من وإلى وبين الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows بعدة طرق، اعتمادا على طبيعة الاتصال.
جلسات RDP
يمكنك الاتصال بأحد الأجهزة الظاهرية وتسجيل الدخول إليه باستخدام بروتوكول سطح المكتب البعيد (RDP) من كمبيوتر عميل يعمل بنظام Windows، أو من جهاز Mac مثبت عليه عميل RDP. يمكن حماية البيانات المتنقلة عبر الشبكة في جلسات RDP بواسطة TLS.
يمكنك أيضا استخدام سطح المكتب البعيد للاتصال بجهاز Linux الظاهري في Azure.
الوصول الآمن إلى أجهزة Linux الظاهرية باستخدام SSH
للإدارة عن بعد، يمكنك استخدام Secure Shell (SSH) للاتصال بأجهزة Linux الظاهرية التي تعمل في Azure. SSH هو بروتوكول اتصال مشفر يسمح بتسجيل الدخول الآمن عبر الاتصالات غير الآمنة. إنه بروتوكول الاتصال الافتراضي لأجهزة Linux الظاهرية المستضافة في Azure. باستخدام مفاتيح SSH للمصادقة، فإنك تلغي الحاجة إلى كلمات المرور لتسجيل الدخول. يستخدم SSH زوج مفاتيح عام/خاص (تشفير غير متماثل) للمصادقة.
تشفير Azure VPN
يمكنك الاتصال بـ Azure من خلال شبكة خاصة ظاهرية تنشئ نفقا آمنًا لحماية خصوصية البيانات التي يجري إرسالها عبر الشبكة.
بوابات Azure VPN
يمكنك استخدام بوابة Azure VPN لإرسال نسبة استخدام الشبكة المشفرة بين شبكتك الظاهرية وموقعك المحلي عبر أحد الاتصالات العامة، أو لإرسال نسبة استخدام الشبكة بين الشبكات الظاهرية.
يستخدم شبكات VPN من موقع إلى موقع أمان برتوكول الإنترنت IPsec لتشفير عملية النقل. تستخدم بوابات Azure VPN مجموعة من المقترحات الافتراضية. يمكنك تكوين بوابات Azure VPN لاستخدام نهج IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط قوة رئيسية، بدلا من مجموعات نهج Azure الافتراضية.
الشبكات الظاهرية الخاصة من نقطة إلى موقع
تسمح الشبكات الظاهرية الخاصة من نقطة إلى موقع لأجهزة الكمبيوتر العميلة الفردية بالوصول إلى شبكة Azure الظاهرية. يستخدَم بروتوكول نفق مأخذ التوصيل الآمن (SSTP) لإنشاء نفق VPN. يمكنه اجتياز جدران الحماية (يظهر النفق كاتصال HTTPS). يمكنك استخدام المرجع المصدق الجذر للبنية الأساسية للمفتاح العام الداخلي (PKI) للاتصال من نقطة إلى موقع.
يمكنك تكوين اتصال VPN من نقطة إلى موقع بشبكة ظاهرية باستخدام مدخل Microsoft Azure مع مصادقة الشهادة أو PowerShell.
لمعرفة المزيد حول اتصالات VPN من نقطة إلى موقع بشبكات Azure الظاهرية، راجع:
تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة الشهادة الرقمية: في مدخل Microsoft Azure
تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة الشهادة الرقمية: في Powershell
الشبكات الظاهرية الخاصة من موقع إلى موقع
يمكنك استخدام اتصال بوابة VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية عبر نفق VPN المؤمن ببروتوكول IPsec/IKE (IKEv1 أو IKEv2). يتطلب هذا النوع من الاتصال جهاز VPN محلي يحتوي على عنوان IP عام خارجي مخصص له.
يمكنك تكوين اتصال VPN من موقع إلى موقع بشبكة ظاهرية باستخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI.
لمزيد من المعلومات، راجع:
إنشاء اتصال من موقع إلى موقع في مدخل Microsoft Azure
إنشاء اتصال من موقع إلى موقع في PowerShell
إنشاء شبكة ظاهرية مزودة باتصال VPN من موقع إلى موقع باستخدام CLI
التشفير أثناء النقل في Data Lake
يتم أيضا تشفير البيانات المتنقلة (المعروفة أيضا باسم البيانات قيد الحركة) دائما في Data Lake Store. بالإضافة إلى تشفير البيانات قبل تخزينها في الوسائط المستمرة، يتم أيضا تأمين البيانات دائما أثناء النقل باستخدام HTTPS. يعد HTTPS البروتوكول الوحيد المعتمد لواجهات REST في Data Lake Store.
لمعرفة المزيد حول تشفير البيانات أثناء النقل في Data Lake، راجع تشفير البيانات في Data Lake Store.
إدارة المفاتيح باستخدام Key Vault
بدون الحماية المناسبة والإدارة المناسبة للمفاتيح، يصبح التشفير عديم الفائدة. Key Vault هو الحل الموصى به من Microsoft لإدارة الوصول إلى مفاتيح التشفير المستخدمة من قبل الخدمات السحابية والتحكم فيها. يمكن تعيين أذونات الوصول إلى مفاتيح الخدمات أو للمستخدمين من خلال حسابات Microsoft Entra.
يخفف Key Vault المؤسسات من الحاجة إلى تكوين وحدات أمان الأجهزة (HSMs) وبرامج إدارة المفاتيح وتصحيحها وصيانتها. عند استخدام Key Vault، فإنك تحافظ على التحكم. لا ترى Microsoft مفاتيحك أبدا، ولا تتمتع التطبيقات بإمكانية الوصول المباشر إليها. يمكنك أيضا استيراد أو إنشاء مفاتيح في HSMs.