Přehled šifrování Azure

Tento článek obsahuje přehled o tom, jak se šifrování používá v Microsoft Azure. Zahrnuje hlavní oblasti šifrování, včetně šifrování neaktivních uložených dat, šifrování v letu a správy klíčů pomocí služby Azure Key Vault.

Šifrování neaktivních uložených dat

Neaktivní uložená data obsahují informace, které se nacházejí v trvalém úložišti na fyzickém médiu v libovolném digitálním formátu. Microsoft Azure nabízí celou řadu řešení úložiště dat, která vyhovují různým potřebám, včetně souborů, disků, objektů blob a úložiště tabulek. Microsoft také poskytuje šifrování pro ochranu služby Azure SQL Database, Azure Cosmos DB a Azure Data Lake.

Šifrování neaktivních uložených dat pomocí šifrování AES 256 je k dispozici pro služby v rámci softwaru jako služby (SaaS), platformy jako služby (PaaS) a cloudových modelů IaaS (infrastruktura jako služba).

Podrobnou diskuzi o šifrování neaktivních uložených dat v Azure najdete v tématu Šifrování neaktivních uložených dat Azure.

Modely šifrování Azure

podpora Azure různé modely šifrování, včetně šifrování na straně serveru, které používá klíče spravované službou, klíče spravované zákazníkem ve službě Key Vault nebo klíče spravované zákazníkem na hardwaru řízeném zákazníkem. Pomocí šifrování na straně klienta můžete spravovat a ukládat klíče místně nebo v jiném zabezpečeném umístění.

Šifrování na straně klienta

Šifrování na straně klienta se provádí mimo Azure. Patří mezi ně:

• Data zašifrovaná aplikací spuštěnou v datacentru zákazníka nebo aplikací služby
• Data, která jsou už při přijetí službou Azure šifrovaná

S šifrováním na straně klienta nemají poskytovatelé cloudových služeb přístup k šifrovacím klíčům a nemůžou tato data dešifrovat. Udržujete úplnou kontrolu nad klíči.

Šifrování na straně serveru

Tři modely šifrování na straně serveru nabízejí různé charakteristiky správy klíčů:

• Klíče spravované službou: Poskytuje kombinaci řízení a pohodlí s nízkou režií.
• Klíče spravované zákazníkem: Poskytuje kontrolu nad klíči, včetně podpory BYOK (Bring Your Own Keys), nebo umožňuje vygenerovat nové klíče.
• Klíče spravované službou v hardwaru řízeném zákazníkem: Umožňuje spravovat klíče ve vašem vlastním úložišti mimo řízení Microsoftu (označuje se také jako hostování vlastního klíče nebo HYOK).

Azure Disk Encryption

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli . Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Všechny Spravované disky, snímky a image se šifrují pomocí šifrování služby Storage pomocí klíče spravovaného službou. Azure také nabízí možnosti ochrany dočasných disků, mezipamětí a správy klíčů ve službě Azure Key Vault. Další informace najdete v tématu Přehled možností šifrování spravovaných disků.

Šifrování služby Azure Storage

Neaktivní uložená data ve službě Azure Blob Storage a sdílených složkách Azure se dají zašifrovat ve scénářích na straně serveru i na straně klienta.

Šifrování služby Azure Storage (SSE) může automaticky šifrovat data před jejich uložením a automaticky dešifruje data při jejich načtení. Šifrování služby Storage používá 256bitové šifrování AES, jedno z nejsilnějších dostupných šifrování bloků.

Šifrování služby Azure SQL Database

Azure SQL Database je služba relačních databází pro obecné účely, která podporuje struktury, jako jsou relační data, JSON, prostorové a XML. SQL Database podporuje šifrování na straně serveru prostřednictvím funkce transparentní šifrování dat (TDE) i šifrování na straně klienta prostřednictvím funkce Always Encrypted.

transparentní šifrování dat

TDE (Transparentní šifrování dat) šifruje SQL Server, Azure SQL Database a datové soubory Azure Synapse Analytics v reálném čase pomocí šifrovacího klíče databáze (DEK). TDE (Transparentní šifrování dat) je ve výchozím nastavení povoleno u nově vytvořených databází Azure SQL.

Trvale šifrováno

Funkce Always Encrypted v Azure SQL umožňuje šifrovat data v klientských aplikacích před jejich uložením ve službě Azure SQL Database. Delegování místní správy databází můžete povolit třetím stranám a zachovat oddělení mezi těmi, kdo vlastní, a zobrazit data a ty, kteří je spravují.

Šifrování na úrovni buněk nebo sloupce

Azure SQL Database umožňuje použít symetrické šifrování u sloupce dat pomocí jazyka Transact-SQL. Tento přístup se označuje jako šifrování na úrovni buněk nebo šifrování na úrovni sloupců (CLE), protože ho můžete použít k šifrování konkrétních sloupců nebo buněk s různými šifrovacími klíči a poskytuje podrobnější možnosti šifrování než transparentní šifrování dat.

Šifrování databáze Azure Cosmos DB

Azure Cosmos DB je globálně distribuovaná databáze Microsoftu s více modely. Uživatelská data uložená ve službě Azure Cosmos DB v nestálém úložišti (jednotky SSD) se ve výchozím nastavení šifrují pomocí klíčů spravovaných službou. Druhou vrstvu šifrování můžete přidat vlastními klíči pomocí funkce CMK (Customer-Managed Keys).

Šifrování Azure Data Lake

Azure Data Lake je podnikové úložiště dat. Data Lake Store podporuje ve výchozím nastavení transparentní šifrování neaktivních uložených dat, které se nastavuje při vytváření účtu. Azure Data Lake Store ve výchozím nastavení spravuje klíče za vás, ale máte možnost je spravovat sami.

Šifrování dat při přenosu

Azure nabízí mnoho mechanismů pro zachování soukromí dat při přesunu z jednoho umístění do jiného.

Šifrování vrstvy datového propojení

Kdykoli se zákaznický provoz Azure přesune mezi datovými centry – mimo fyzické hranice, které neřídí Microsoft – metoda šifrování vrstvy datového propojení pomocí standardů zabezpečení IEEE 802.1AE MAC (označovaných také jako MACsec) se použije z bodu do bodu napříč základním síťovým hardwarem. Pakety se před odesláním zašifrují na zařízeních, což brání fyzickým útokům typu "man-in-the-middle" nebo snooping/wiretapping. Toto šifrování MACsec je ve výchozím nastavení zapnuté pro veškerý provoz Azure, který cestuje v rámci oblasti nebo mezi oblastmi.

Šifrování TLS

Microsoft poskytuje zákazníkům možnost používat protokol TLS (Transport Layer Security) k ochraně dat při cestě mezi cloudovými službami a zákazníky. Datacentra Microsoftu vyjednávají připojení TLS s klientskými systémy, které se připojují ke službám Azure. Protokol TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv.

Důležité

Azure přechází tak, aby pro všechna připojení ke službám Azure vyžadovala protokol TLS 1.2 nebo novější. Většina služeb Azure tento přechod dokončila do 31. srpna 2025. Ujistěte se, že vaše aplikace používají protokol TLS 1.2 nebo novější.

Perfect Forward Secrecy (PFS) chrání propojení mezi klientskými systémy zákazníků a cloudovými službami Microsoftu jedinečnými klíči. Připojení podporují 2 048bitové délky klíčů založené na RSA, délky 256bitových klíčů ECC, ověřování zpráv SHA-384 a šifrování dat AES-256.

Transakce Azure Storage

Když komunikujete se službou Azure Storage prostřednictvím webu Azure Portal, probíhají všechny transakce přes PROTOKOL HTTPS. K interakci se službou Azure Storage můžete také použít rozhraní REST API služby Storage přes HTTPS. Použití PROTOKOLU HTTPS můžete vynutit při volání rozhraní REST API povolením požadavku na zabezpečený přenos pro účet úložiště.

Sdílené přístupové podpisy (SAS), které je možné použít k delegování přístupu k objektům Azure Storage, zahrnují možnost určit, že se dá použít jenom protokol HTTPS.

Šifrování SMB

PROTOKOL SMB 3.0, který se používá pro přístup ke sdíleným složkám Azure, podporuje šifrování a je k dispozici ve Windows Serveru 2012 R2, Windows 8, Windows 8.1 a Windows 10. Umožňuje přístup napříč regiony a přístup z plochy.

Šifrování SÍTĚ VPN

K Azure se můžete připojit prostřednictvím virtuální privátní sítě, která vytvoří zabezpečený tunel pro ochranu soukromí dat odesílaných přes síť.

Brány VPN Azure

Azure VPN Gateway může posílat šifrovaný provoz mezi vaší virtuální sítí a místním umístěním přes veřejné připojení nebo mezi virtuálními sítěmi. Sítě VPN typu Site-to-Site používají protokol IPsec k šifrování přenosu.

Sítě VPN typu Point-to-Site

Sítě VPN typu Point-to-Site umožňují jednotlivým klientským počítačům přístup k virtuální síti Azure. K vytvoření tunelu VPN se používá protokol SSTP (Secure Socket Tunneling Protocol). Další informace najdete v tématu Konfigurace připojení typu point-to-site k virtuální síti.

Sítě VPN typu Site-to-Site

Připojení brány VPN typu site-to-site propojuje vaši místní síť k virtuální síti Azure přes tunel VPN IPsec/IKE. Další informace najdete v tématu Vytvoření připojení typu site-to-site.

Správa klíčů pomocí služby Key Vault

Bez správné ochrany a správy klíčů se šifrování stává zbytečným. Azure Key Vault je řešení doporučené Microsoftem pro správu a řízení přístupu k šifrovacím klíčům používaným cloudovými službami.

Díky Key Vaultu organizace nemusí konfigurovat, opravovat a udržovat moduly hardwarového zabezpečení (HSM) a software pro správu klíčů. Pomocí služby Key Vault udržujete kontrolu – Microsoft vaše klíče nikdy neuvidí a aplikace k nim nemají přímý přístup. V modulech HSM můžete také importovat nebo generovat klíče.

Další informace o správě klíčů v Azure najdete v tématu Správa klíčů v Azure.

Další kroky

• Přehled zabezpečení Azure
• Přehled zabezpečení sítě Azure
• Přehled zabezpečení databází Azure
• Přehled zabezpečení virtuálních počítačů Azure
• Šifrování neaktivních uložených dat
• Osvědčené postupy zabezpečení a šifrování dat
• Správa klíčů v Azure