Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk áttekintést nyújt arról, hogyan használják a titkosítást a Microsoft Azure-ban. Ismerteti a titkosítás főbb területeit, beleértve a inaktív titkosítást, a repülés közbeni titkosítást és az Azure Key Vault kulcskezelését.
A tárolt adatok titkosítása
A inaktív adatok olyan információkat tartalmaznak, amelyek állandó tárolóban találhatók fizikai adathordozón, bármilyen digitális formátumban. A Microsoft Azure különféle adattárolási megoldásokat kínál a különböző igények kielégítésére, beleértve a fájl-, lemez-, blob- és táblatárolót. A Microsoft titkosítást is biztosít az Azure SQL Database, az Azure Cosmos DB és az Azure Data Lake védelméhez.
Az AES 256 titkosítással megvédheti az inaktív adatokat a szolgáltatásként nyújtott szolgáltatások (SaaS), a szolgáltatásként nyújtott platform (PaaS) és az infrastruktúra szolgáltatásként (IaaS) felhőmodelljei számára.
Az Azure inaktív adatok titkosításának részletesebb ismertetését lásd: Azure Data Encryption at Rest.
Azure-titkosítási modellek
Azure-támogatás különböző titkosítási modelleket használ, beleértve a kiszolgálóoldali titkosítást, amely szolgáltatás által felügyelt kulcsokat, ügyfél által felügyelt kulcsokat használ a Key Vaultban, vagy ügyfél által felügyelt kulcsokat az ügyfél által vezérelt hardveren. Az ügyféloldali titkosítással a kulcsokat a helyszínen vagy más biztonságos helyen kezelheti és tárolhatja.
Ügyféloldali titkosítás
Ügyféloldali titkosítást hajt végre az Azure-on kívül. Ez magába foglalja:
- Az adatközpontban vagy egy szolgáltatásalkalmazásban futó alkalmazás által titkosított adatok
- Az Azure fogadásakor már titkosított adatok
Ügyféloldali titkosítással a felhőszolgáltatók nem férnek hozzá a titkosítási kulcsokhoz, és nem tudják visszafejteni ezeket az adatokat. Ön tartja kézben a kulcsokat.
Kiszolgálóoldali titkosítás
A három kiszolgálóoldali titkosítási modell különböző kulcskezelési jellemzőket kínál:
- Szolgáltatás által felügyelt kulcsok: A vezérlés és a kényelem kombinációját biztosítja alacsony terheléssel.
- Ügyfél által kezelt kulcsok: Szabályozhatja a kulcsokat, beleértve a Saját kulcsok (BYOK) támogatását, vagy lehetővé teszi új kulcsok létrehozására.
- Szolgáltatás által felügyelt kulcsok az ügyfél által vezérelt hardverben: Lehetővé teszi a kulcsok kezelését a saját adattárában, a Microsoft-vezérlőn kívül (más néven saját kulcs vagy HYOK üzemeltetése).
Azure Disk Encryption
Fontos
Az Azure Disk Encryption a tervek szerint 2028. szeptember 15-én megszűnik. Addig a napig zavartalanul használhatja az Azure Disk Encryptiont. 2028. szeptember 15-én az ADE-kompatibilis számítási feladatok továbbra is futnak, a titkosított lemezek azonban nem fognak feloldani a virtuális gép újraindítása után, ami szolgáltatáskimaradást eredményez.
Használjon hostoldali titkosítást új virtuális gépekhez, vagy fontolja meg bizalmas VM-méreteket operációs rendszer lemeztitkosítással a bizalmas számítási feladatokhoz. A szolgáltatáskimaradás elkerülése érdekében az összes ADE által támogatott virtuális gépet (beleértve a biztonsági mentéseket is) át kell állítani a gazdagépen végzett titkosításra a nyugdíjazási dátum előtt. Részletekért lásd: Migrálás az Azure Disk Encryptionről a gazda általi titkosításra.
A felügyelt lemezek, pillanatképek és képek alapértelmezés szerint a Storage Service Encryption szolgáltatás által felügyelt kulccsal vannak titkosítva. A virtuális gépek esetében a gazdagép titkosítása végpontok közötti titkosítást biztosít a virtuális gép adataihoz, beleértve az ideiglenes lemezeket és az operációsrendszer-/adatlemez-gyorsítótárakat. Az Azure a kulcsok Azure Key Vaultban való kezelésére is kínál lehetőségeket. További információ: A felügyelt lemeztitkosítási lehetőségek áttekintése.
Azure Storage-szolgáltatás titkosítása
Az Azure Blob Storage-ban és az Azure-fájlmegosztásokban inaktív adatok titkosíthatók kiszolgálóoldali és ügyféloldali forgatókönyvek esetén is.
Az Azure Storage Service Encryption (SSE) automatikusan titkosítja az adatokat a tárolás előtt, és a lekéréskor automatikusan visszafejti az adatokat. A Storage Service Encryption 256 bites AES-titkosítást használ, amely az elérhető legerősebb blokk-titkosítások egyike.
Azure SQL Database-titkosítás
Az Azure SQL Database egy általános célú relációs adatbázis-szolgáltatás, amely olyan struktúrákat támogat, mint a relációs adatok, a JSON, a térbeli és az XML. Az SQL Database támogatja a kiszolgálóoldali titkosítást az Átlátszó adattitkosítás (TDE) szolgáltatáson keresztül, valamint az ügyféloldali titkosítást az Always Encrypted szolgáltatáson keresztül.
transzparens adattitkosítás
A TDE valós időben titkosítja az SQL Server, az Azure SQL Database és az Azure Synapse Analytics adatfájljait egy adatbázistitkosítási kulcs (DEK) használatával. A TDE alapértelmezés szerint engedélyezve van az újonnan létrehozott Azure SQL-adatbázisokon.
Always Encrypted (mindig titkosítva)
Az Azure SQL Always Encrypted funkciója lehetővé teszi az ügyfélalkalmazásokban lévő adatok titkosítását az Azure SQL Database-ben való tárolás előtt. Engedélyezheti a helyszíni adatbázis-felügyelet harmadik felek részére történő delegálását, miközben fenntarthatja a különválasztást az adatok tulajdonosai és megtekintői, valamint az azokat kezelők között.
Cellaszintű vagy oszlopszintű titkosítás
Az Azure SQL Database használatával szimmetrikus titkosítást alkalmazhat egy adatoszlopra a Transact-SQL használatával. Ezt a módszert cellaszintű titkosításnak vagy oszlopszintű titkosításnak (CLE) nevezzük, mivel használatával különböző titkosítási kulcsokkal titkosíthat bizonyos oszlopokat vagy cellákat. Ez a megközelítés részletesebb titkosítási képességet biztosít, mint a TDE.
Azure Cosmos DB-adatbázis titkosítása
Az Azure Cosmos DB a Microsoft globálisan elosztott, többmodelles adatbázisa. Az Azure Cosmos DB-ben nem felejtő tárolóban (szilárd állapotú meghajtókon) tárolt felhasználói adatok alapértelmezés szerint szolgáltatás által felügyelt kulcsok használatával titkosítva lesznek. Az ügyfél által felügyelt kulcsok (CMK) funkcióval hozzáadhat egy második titkosítási réteget a saját kulcsaival.
Adatok nyugalmi állapotban történő titkosítása az Azure Data Lake-ben
Az Azure Data Lake egy nagyvállalati szintű adattár, amely minden olyan adattípust egyetlen helyen gyűjt, amely a követelmények vagy sémák bármilyen formális meghatározása előtt van összegyűjtve. A Data Lake Store támogatja a inaktív adatok transzparens titkosítását, amely alapértelmezés szerint be van kapcsolva, és a fiók létrehozásakor van beállítva. Alapértelmezés szerint az Azure Data Lake Store kezeli a kulcsokat, de ön is kezelheti őket.
Az adatok titkosításához és visszafejtéséhez három kulcstípus használható: a főtitkosítási kulcs (MEK), az adattitkosítási kulcs (DEK) és a blokktitkosítási kulcs (BEK). A MEK titkosítja az állandó adathordozón tárolt DEK-t, a BEK pedig a DEK-ból és az adatblokkból származik. Ha a saját kulcsait kezeli, elforgathatja a MEK-et.
Az átvitel alatt álló adatok titkosítása
Az Azure számos mechanizmust biztosít az adatok bizalmasan tartására, miközben az egyik helyről a másikra kerül.
Adatkapcsolati réteg titkosítása
Amikor az Azure-ügyfélforgalom az adatközpontok között – a Microsoft által nem ellenőrzött fizikai határokon kívül – az IEEE 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazza a rendszer pontról pontra az alapul szolgáló hálózati hardveren. Az eszközök a küldés előtt titkosítják a csomagokat, ami megakadályozza a fizikai "középen belüli" vagy a snooping/wiretapping támadásokat. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között utazó összes Azure-forgalom esetében.
TLS-titkosítás
A Microsoft lehetővé teszi az ügyfelek számára a Transport Layer Security (TLS) protokoll használatát az adatok védelmére a felhőszolgáltatások és az ügyfelek közötti utazás során. A Microsoft adatközpontjai TLS-kapcsolatot egyeztetnek az Azure-szolgáltatásokhoz csatlakozó ügyfélrendszerekkel. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít.
Fontos
Az Azure TLS 1.2-s vagy újabb verziót igényel az Azure-szolgáltatásokhoz való összes kapcsolathoz. A legtöbb Azure-szolgáltatás 2025. augusztus 31-ig teljesítette ezt az átmenetet. Győződjön meg arról, hogy az alkalmazások a TLS 1.2-s vagy újabb verzióját használják.
A Perfect Forward Secrecy (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. A kapcsolatok támogatják az RSA-alapú 2048 bites kulcshosszokat, az ECC 256 bites kulcshosszait, az SHA-384 üzenethitelesítést és az AES-256 adattitkosítást.
Azure Storage-tranzakciók
Amikor az Azure Portalon keresztül kommunikál az Azure Storage-ral, az összes tranzakció HTTPS-en keresztül történik. A Storage REST API-t HTTPS-en keresztül is használhatja az Azure Storage használatához. A REST API-k meghívásakor kényszerítheti a HTTPS használatát a tárfiók biztonságos átvitelére vonatkozó követelmény engedélyezésével.
Az Azure Storage-objektumokhoz való hozzáférés delegálásához használható közös hozzáférésű jogosultságkódok (SAS) közé tartozik egy beállítás, amellyel csak a HTTPS protokoll használható.
SMB-titkosítás
Az Azure Files-megosztások eléréséhez használt SMB 3.0 támogatja a titkosítást, és elérhető a Windows Server 2012 R2, a Windows 8, a Windows 8.1 és a Windows 10 rendszerben. Támogatja a régiók közötti hozzáférést és az asztali hozzáférést.
VPN-titkosítás
Az Azure-hoz egy olyan virtuális magánhálózaton keresztül csatlakozhat, amely biztonságos alagutat hoz létre a hálózaton keresztül küldött adatok adatvédettsége érdekében.
Azure VPN-átjárók
Az Azure VPN Gateway titkosított forgalmat küld a virtuális hálózat és a helyszíni hely között egy nyilvános kapcsolaton keresztül vagy virtuális hálózatok között. A helyek közötti VPN-ek az IPsec-et használják az átviteli titkosításhoz.
Pont–hely VPN-ek
A pont–hely VPN-ek lehetővé teszik az egyes ügyfélszámítógépek számára az Azure-beli virtuális hálózathoz való hozzáférést. A Secure Socket Tunneling Protocol (SSTP) létrehozza a VPN-alagutat. További információ: Pont–hely kapcsolat konfigurálása virtuális hálózathoz.
Helyek közötti VPN-ek
A helyek közötti VPN-átjárókapcsolat egy IPsec/IKE VPN-alagúton keresztül csatlakoztatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz. További információ: Helyek közötti kapcsolat létrehozása.
Kulcskezelés a Key Vaulttal
A kulcsok megfelelő védelme és kezelése nélkül a titkosítás haszontalan. Az Azure számos kulcskezelési megoldást kínál, például az Azure Key Vaultot, az Azure Key Vault felügyelt HSM-et, az Azure Cloud HSM-et és az Azure Payment HSM-et.
A Key Vault nem igényli a hardveres biztonsági modulok (HSM-ek) és a kulcskezelő szoftverek konfigurálását, javítását és karbantartását. A Key Vault használatával fenntarthatja az irányítást – az alkalmazások nem rendelkeznek közvetlen hozzáféréssel a kulcsokhoz. A HSM-ekben kulcsokat is importálhat vagy hozhat létre. A legerősebb kulcselkülönítési garanciák érdekében az Azure Managed HSM egy ügyfél által birtokolt biztonsági tartományt biztosít, ahol a Microsoftnak nincs hozzáférése a kulcsanyaghoz.
További információ az Azure-beli kulcskezelésről: Kulcskezelés az Azure-ban.
Következő lépések
- Az Azure biztonsági szolgáltatásainak áttekintése
- Az Azure-hálózat biztonsági áttekintése
- Az Azure Database biztonsági áttekintése
- Az Azure-beli virtuális gépek biztonsági áttekintése
- Adattitkosítás inaktív állapotban
- Az adatbiztonsággal és a titkosítással kapcsolatos ajánlott eljárások
- Kulcskezelés az Azure-ban