Přehled šifrování Azure

Tento článek obsahuje přehled o tom, jak se šifrování používá v Microsoft Azure. Zahrnuje hlavní oblasti šifrování, včetně šifrování neaktivních uložených dat, šifrování v letu a správy klíčů pomocí služby Azure Key Vault.

Šifrování neaktivních uložených dat

Neaktivní uložená data obsahují informace, které se nacházejí v trvalém úložišti na fyzickém médiu v libovolném digitálním formátu. Microsoft Azure nabízí celou řadu řešení úložiště dat, která vyhovují různým potřebám, včetně souborů, disků, objektů blob a úložiště tabulek. Microsoft také poskytuje šifrování pro ochranu služby Azure SQL Database, Azure Cosmos DB a Azure Data Lake.

Šifrování AES 256 můžete použít k ochraně neaktivních uložených dat pro služby v rámci softwaru jako služby (SaaS), platformy jako služby (PaaS) a cloudových modelů IaaS (infrastruktura jako služba).

Podrobnější informace o tom, jak Azure šifruje neaktivní uložená data, najdete v tématu Azure Data Encryption v klidovém stavu.

Modely šifrování Azure

Azure podporuje různé šifrovací modely, včetně šifrování na straně serveru, používajících klíče spravované službou, klíče řízené zákazníkem ve službě Key Vault nebo klíče řízené zákazníkem na zákazníkem řízeném hardwaru. Pomocí šifrování na straně klienta můžete spravovat a ukládat klíče místně nebo v jiném zabezpečeném umístění.

Šifrování na straně klienta

Šifrování na straně klienta provádíte mimo Azure. Patří mezi ně:

• Data zašifrovaná aplikací spuštěnou ve vašem datacentru nebo aplikací služby
• Data, která jsou už zašifrovaná, když je Azure obdrží

Pomocí šifrování na straně klienta nemají poskytovatelé cloudových služeb přístup k šifrovacím klíčům a nemůžou tato data dešifrovat. Udržujete úplnou kontrolu nad klíči.

Šifrování na straně serveru

Tři modely šifrování na straně serveru nabízejí různé charakteristiky správy klíčů:

• Klíče spravované službou: Poskytuje kombinaci řízení a pohodlí s nízkou režií.
• Klíče spravované zákazníkem: Poskytuje kontrolu nad klíči, včetně podpory ByOK (Bring Your Own Keys), nebo umožňuje vygenerovat nové klíče.
• Klíče spravované službou v hardwaru řízeném zákazníkem: Umožňuje spravovat klíče ve vašem vlastním úložišti mimo kontrolu Microsoftu (označuje se také jako hostování vlastního klíče nebo HYOK).

Azure Disk Encryption

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli nebo zvažte velikosti důvěrných virtuálních počítačů s šifrováním disku s operačním systémem pro důvěrné výpočetní úlohy. Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Všechny spravované disky, snímky a image se ve výchozím nastavení šifrují pomocí šifrování služby Storage pomocí klíče spravovaného službou. U virtuálních počítačů poskytuje šifrování na hostiteli komplexní šifrování dat virtuálních počítačů, včetně dočasných disků a mezipamětí disku s operačním systémem nebo datovým diskem. Azure také nabízí možnosti správy klíčů ve službě Azure Key Vault. Další informace najdete v tématu Přehled možností šifrování spravovaných disků.

Šifrování služby Azure Storage

Neaktivní uložená data můžete zašifrovat ve službě Azure Blob Storage a sdílených složkách Azure pro scénáře na straně serveru i na straně klienta.

Šifrování služby Azure Storage (SSE) automaticky šifruje data před uložením a automaticky dešifruje data při jejich načtení. Šifrování služby Storage používá 256bitové šifrování AES, jedno z nejsilnějších dostupných šifrování bloků.

Šifrování služby Azure SQL Database

Azure SQL Database je služba relačních databází pro obecné účely, která podporuje struktury, jako jsou relační data, JSON, prostorové a XML. SQL Database podporuje šifrování na straně serveru prostřednictvím funkce transparentního šifrování dat a šifrování na straně klienta prostřednictvím funkce Always Encrypted.

transparentní šifrování dat

TDE šifruje SQL Server datové soubory, Azure SQL Database a Azure Synapse Analytics v reálném čase pomocí Database Encryption Key (DEK). TDE (Transparentní šifrování dat) je ve výchozím nastavení povoleno u nově vytvořených databází Azure SQL.

Trvale šifrováno

Funkce Always Encrypted v Azure SQL umožňuje šifrovat data v klientských aplikacích před jejich uložením ve službě Azure SQL Database. Delegování místní správy databáze můžete povolit třetím stranám a zároveň zachovat oddělení mezi těmi, kdo vlastní, a zobrazit data a ty, kteří je spravují.

Šifrování na úrovni buněk nebo sloupce

Azure SQL Database umožňuje použít symetrické šifrování u sloupce dat pomocí jazyka Transact-SQL. Tento přístup se nazývá šifrování na úrovni buněk nebo šifrování na úrovni sloupců (CLE), protože ho můžete použít k šifrování konkrétních sloupců nebo buněk s různými šifrovacími klíči. Tento přístup poskytuje granulárnější možnosti šifrování než transparentní šifrování dat.

Šifrování databáze Azure Cosmos DB

Azure Cosmos DB je globálně distribuovaná databáze Microsoftu s více modely. Uživatelská data uložená ve službě Azure Cosmos DB v nestálém úložišti (jednotky SSD) se ve výchozím nastavení šifrují pomocí klíčů spravovaných službou. Druhou vrstvu šifrování s vlastními klíči můžete přidat pomocí funkce klíče spravované zákazníkem (CMK ).

Šifrování neaktivních uložených dat v Azure Data Lake

Azure Data Lake je podnikové úložiště všech typů dat shromážděných na jednom místě před formální definicí požadavků nebo schématu. Data Lake Store podporuje transparentní šifrování neaktivních uložených dat, které je ve výchozím nastavení zapnuté a nastavené při vytváření účtu. Azure Data Lake Store ve výchozím nastavení spravuje klíče za vás, ale můžete se rozhodnout, že je budete spravovat sami.

Při šifrování a dešifrování dat se používají tři typy klíčů: hlavní šifrovací klíč (MEK), šifrovací klíč dat (DEK) a blokový šifrovací klíč (BEK). Klíč MEK zašifruje klíč DEK, který je uložený na trvalém médiu, a BEK je odvozen z DEK a datového bloku. Pokud spravujete vlastní klíče, můžete klíč MEK otočit.

Šifrování dat při přenosu

Azure nabízí mnoho mechanismů pro zachování soukromí dat při přesunu z jednoho umístění do jiného.

Šifrování vrstvy datového propojení

Kdykoli se zákaznický provoz Azure přesune mezi datovými centry – mimo fyzické hranice, které neřídí Microsoft – je použita metoda šifrování na vrstvě datového propojení pomocí standardu IEEE 802.1AE MAC Security Standard (označovaného také jako MACsec) z bodu do bodu napříč základním síťovým hardwarem. Zařízení pakety před jejich odesláním zašifrují, což brání fyzickým útokům jako je "útoky typu člověk-ve-středu" nebo odposlech. Toto šifrování MACsec je ve výchozím nastavení zapnuté pro veškerý provoz Azure, který cestuje v rámci oblasti nebo mezi oblastmi.

Šifrování TLS

Microsoft poskytuje zákazníkům možnost používat protokol TLS (Transport Layer Security) k ochraně dat při cestě mezi cloudovými službami a zákazníky. Datacentra Microsoftu vyjednávají připojení TLS s klientskými systémy, které se připojují ke službám Azure. Protokol TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv.

Důležité

Azure přechází tak, aby pro všechna připojení ke službám Azure vyžadovala protokol TLS 1.2 nebo novější. Většina služeb Azure tento přechod dokončila do 31. srpna 2025. Ujistěte se, že vaše aplikace používají protokol TLS 1.2 nebo novější.

Perfect Forward Secrecy (PFS) chrání propojení mezi klientskými systémy zákazníků a cloudovými službami Microsoftu jedinečnými klíči. Připojení podporují 2 048bitové délky klíčů založené na RSA, délky 256bitových klíčů ECC, ověřování zpráv SHA-384 a šifrování dat AES-256.

Transakce Azure Storage

Když komunikujete se službou Azure Storage prostřednictvím webu Azure Portal, probíhají všechny transakce přes PROTOKOL HTTPS. K interakci se službou Azure Storage můžete také použít rozhraní REST API služby Storage přes HTTPS. Použití PROTOKOLU HTTPS můžete vynutit při volání rozhraní REST API povolením požadavku na zabezpečený přenos pro účet úložiště.

Sdílené přístupové podpisy (SAS), které můžete použít k delegování přístupu k objektům Azure Storage, zahrnují možnost určit, že se dá použít jenom protokol HTTPS.

Šifrování SMB

PROTOKOL SMB 3.0, který se používá pro přístup ke sdíleným složkám Azure, podporuje šifrování a je k dispozici ve Windows Serveru 2012 R2, Windows 8, Windows 8.1 a Windows 10. Podporuje přístup napříč regiony a přístup přes desktop.

Šifrování SÍTĚ VPN

K Azure se můžete připojit prostřednictvím virtuální privátní sítě, která vytvoří zabezpečený tunel pro ochranu soukromí dat odesílaných přes síť.

Brány VPN Azure

Azure VPN Gateway odesílá šifrovaný provoz mezi vaší virtuální sítí a místním umístěním přes veřejné připojení nebo mezi virtuálními sítěmi. Sítě VPN typu Site-to-Site používají protokol IPsec k šifrování přenosu.

Sítě VPN typu Point-to-Site

Sítě VPN typu Point-to-Site umožňují jednotlivým klientským počítačům přístup k virtuální síti Azure. Protokol SSTP (Secure Socket Tunneling Protocol) vytvoří tunel VPN. Další informace najdete v tématu Konfigurace připojení typu point-to-site k virtuální síti.

Sítě VPN typu Site-to-Site

Připojení brány VPN typu site-to-site propojuje vaši místní síť k virtuální síti Azure přes tunel VPN IPsec/IKE. Další informace najdete v tématu Vytvoření připojení typu site-to-site.

Správa klíčů pomocí služby Key Vault

Bez správné ochrany a správy klíčů je šifrování zbytečné. Azure nabízí několik řešení pro správu klíčů, včetně Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM a Azure Payment HSM.

Key Vault eliminuje potřebu konfigurace, opravy a údržby modulů hardwarového zabezpečení (HSM) a softwaru pro správu klíčů. Pomocí služby Key Vault udržujete kontrolu – aplikace nemají přímý přístup k vašim klíčům. V modulech HSM můžete také importovat nebo generovat klíče. Pro nejsilnější záruku izolace klíčů poskytuje azure Managed HSM doménu zabezpečení vlastněnou zákazníkem, kde Microsoft nemá přístup k vašemu klíčovému materiálu.

Další informace o správě klíčů v Azure najdete v tématu Správa klíčů v Azure.

Další kroky

• Přehled zabezpečení Azure
• Přehled zabezpečení sítě Azure
• Přehled zabezpečení databází Azure
• Přehled zabezpečení virtuálních počítačů Azure
• Šifrování neaktivních uložených dat
• Osvědčené postupy zabezpečení a šifrování dat
• Správa klíčů v Azure