Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk áttekintést nyújt arról, hogyan használják a titkosítást a Microsoft Azure-ban. Ismerteti a titkosítás főbb területeit, beleértve a inaktív titkosítást, a repülés közbeni titkosítást és az Azure Key Vault kulcskezelését.
A tárolt adatok titkosítása
A inaktív adatok olyan információkat tartalmaznak, amelyek állandó tárolóban találhatók fizikai adathordozón, bármilyen digitális formátumban. A Microsoft Azure különféle adattárolási megoldásokat kínál a különböző igények kielégítésére, beleértve a fájl-, lemez-, blob- és táblatárolót. A Microsoft titkosítást is biztosít az Azure SQL Database, az Azure Cosmos DB és az Azure Data Lake védelméhez.
Az inaktív állapotban lévő adattitkosítás az AES 256-os titkosítással érhető el a szolgáltatásként nyújtott szoftverek (SaaS), a szolgáltatásként nyújtott platform (PaaS) és a szolgáltatásként nyújtott infrastruktúra (IaaS) felhőmodelljei számára.
A inaktív adatok Azure-beli titkosításának részletes ismertetését az Azure Data Encryption-at-Rest című témakörben találja.
Azure-titkosítási modellek
Azure-támogatás különböző titkosítási modelleket használ, beleértve a kiszolgálóoldali titkosítást, amely szolgáltatás által felügyelt kulcsokat, ügyfél által felügyelt kulcsokat használ a Key Vaultban, vagy ügyfél által felügyelt kulcsokat az ügyfél által vezérelt hardveren. Ügyféloldali titkosítás esetén a kulcsok a helyszínen vagy más biztonságos helyen kezelhetők és tárolhatók.
Ügyféloldali titkosítás
Az ügyféloldali titkosítás az Azure-on kívül történik. Tartalma:
- Az ügyfél adatközpontjában vagy egy szolgáltatásalkalmazásban futó alkalmazás által titkosított adatok
- Az Azure-ból való fogadáskor már titkosított adatok
Ügyféloldali titkosítás esetén a felhőszolgáltatók nem férnek hozzá a titkosítási kulcsokhoz, és nem tudják visszafejteni ezeket az adatokat. A kulcsok teljes körű vezérlését fenntartja.
Kiszolgálóoldali titkosítás
A három kiszolgálóoldali titkosítási modell különböző kulcskezelési jellemzőket kínál:
- Szolgáltatás által felügyelt kulcsok: A vezérlés és a kényelem kombinációját biztosítja alacsony terheléssel
- Ügyfél által kezelt kulcsok: Szabályozhatja a kulcsokat, beleértve a Saját kulcsok (BYOK) támogatását, vagy lehetővé teszi új kulcsok létrehozására
- Szolgáltatás által felügyelt kulcsok az ügyfél által vezérelt hardverben: Lehetővé teszi a kulcsok kezelését a saját adattárában, a Microsoft-vezérlőn kívül (más néven saját kulcs vagy HYOK üzemeltetése)
Azure Disk Encryption
Fontos
Az Azure Disk Encryption a tervek szerint 2028. szeptember 15-én megszűnik. Addig a napig zavartalanul használhatja az Azure Disk Encryptiont. 2028. szeptember 15-én az ADE-kompatibilis számítási feladatok továbbra is futnak, a titkosított lemezek azonban nem fognak feloldani a virtuális gép újraindítása után, ami szolgáltatáskimaradást eredményez.
Használjon titkosítást a gazdagépen az új virtuális gépekhez. A szolgáltatáskimaradás elkerülése érdekében az összes ADE által támogatott virtuális gépet (beleértve a biztonsági mentéseket is) át kell állítani a gazdagépen végzett titkosításra a nyugdíjazási dátum előtt. Részletekért lásd: Migrálás az Azure Disk Encryptionről a gazda általi titkosításra.
A felügyelt lemezek, pillanatképek és rendszerképek a Storage Service Encryption szolgáltatás által felügyelt kulccsal vannak titkosítva. Az Azure emellett az ideiglenes lemezek, a gyorsítótárak és a kulcsok Azure Key Vaultban való kezelésére is kínál lehetőségeket. További információ: A felügyelt lemeztitkosítási lehetőségek áttekintése.
Azure Storage-szolgáltatás titkosítása
Az Azure Blob Storage-ban és az Azure-fájlmegosztásokban inaktív adatok kiszolgálóoldali és ügyféloldali forgatókönyvekben is titkosíthatók.
Az Azure Storage Service Encryption (SSE) automatikusan titkosítja az adatokat a tárolás előtt, és a lekéréskor automatikusan visszafejti az adatokat. A Storage Service Encryption 256 bites AES-titkosítást használ, amely az elérhető legerősebb blokk-titkosítások egyike.
Azure SQL Database-titkosítás
Az Azure SQL Database egy általános célú relációs adatbázis-szolgáltatás, amely olyan struktúrákat támogat, mint a relációs adatok, a JSON, a térbeli és az XML. Az SQL Database támogatja a kiszolgálóoldali titkosítást a transzparens adattitkosítás (TDE) funkcióval, valamint az ügyféloldali titkosítást az Always Encrypted szolgáltatáson keresztül.
transzparens adattitkosítás
A TDE valós időben titkosítja az SQL Server, az Azure SQL Database és az Azure Synapse Analytics adatfájljait adatbázis-titkosítási kulcs (DEK) használatával. A TDE alapértelmezés szerint engedélyezve van az újonnan létrehozott Azure SQL-adatbázisokon.
Always Encrypted (mindig titkosítva)
Az Azure SQL Always Encrypted funkciója lehetővé teszi az adatok titkosítását az ügyfélalkalmazásokban az Azure SQL Database-ben való tárolás előtt. Engedélyezheti a helyszíni adatbázis-felügyelet harmadik felek számára történő delegálását, és különválaszthatja a tulajdonosokat, és megtekintheti az adatokat és azokat kezelőket.
Cellaszintű vagy oszlopszintű titkosítás
Az Azure SQL Database használatával szimmetrikus titkosítást alkalmazhat egy adatoszlopra a Transact-SQL használatával. Ezt a módszert cellaszintű titkosításnak vagy oszlopszintű titkosításnak (CLE) nevezzük, mivel használatával különböző titkosítási kulcsokkal titkosíthat bizonyos oszlopokat vagy cellákat, így részletesebb titkosítási képességet biztosít, mint a TDE.
Azure Cosmos DB-adatbázis titkosítása
Az Azure Cosmos DB a Microsoft globálisan elosztott, többmodelles adatbázisa. Az Azure Cosmos DB-ben nem felejtő tárolóban (szilárd állapotú meghajtókon) tárolt felhasználói adatok alapértelmezés szerint szolgáltatás által felügyelt kulcsokkal titkosítva lesznek. Az ügyfél által felügyelt kulcsok (CMK) funkcióval hozzáadhat egy második titkosítási réteget saját kulcsokkal.
Azure Data Lake-titkosítás
Az Azure Data Lake az adatok nagyvállalati szintű adattára. A Data Lake Store támogatja az inaktív adatok "alapértelmezés szerint" transzparens titkosítását, amely a fiók létrehozásakor van beállítva. Alapértelmezés szerint az Azure Data Lake Store kezeli a kulcsokat, de ön is kezelheti őket.
Az átvitel alatt álló adatok titkosítása
Az Azure számos mechanizmust kínál az adatok bizalmasan tartására, miközben az egyik helyről a másikra kerül.
Adatkapcsolati réteg titkosítása
Amikor az Azure-ügyfélforgalom az adatközpontok között – a Microsoft által nem szabályozott fizikai határokon kívül – az IEEE 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazza a rendszer pontról pontra a mögöttes hálózati hardveren. A csomagok titkosítva vannak az eszközökön az elküldésük előtt, hogy megakadályozzuk a fizikai "közbeékelődő" vagy lehallgatási és lehúzott vonalas támadásokat. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között utazó összes Azure-forgalom esetében.
TLS-titkosítás
A Microsoft lehetővé teszi az ügyfelek számára a Transport Layer Security (TLS) protokoll használatát az adatok védelmére a felhőszolgáltatások és az ügyfelek közötti utazás során. A Microsoft adatközpontjai TLS-kapcsolatot egyeztetnek az Azure-szolgáltatásokhoz csatlakozó ügyfélrendszerekkel. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít.
Fontos
Az Azure TLS 1.2-s vagy újabb verziót igényel az Azure-szolgáltatásokhoz való összes kapcsolathoz. A legtöbb Azure-szolgáltatás 2025. augusztus 31-ig teljesítette ezt az átmenetet. Győződjön meg arról, hogy az alkalmazások a TLS 1.2-s vagy újabb verzióját használják.
A Perfect Forward Secrecy (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. A kapcsolatok támogatják az RSA-alapú 2048 bites kulcshosszokat, az ECC 256 bites kulcshosszait, az SHA-384 üzenethitelesítést és az AES-256 adattitkosítást.
Azure Storage-tranzakciók
Amikor az Azure Portalon keresztül kommunikál az Azure Storage-ral, az összes tranzakció HTTPS-en keresztül történik. A Storage REST API-t HTTPS-en keresztül is használhatja az Azure Storage használatához. A REST API-k meghívásakor kényszerítheti a HTTPS használatát a tárfiók biztonságos átvitelére vonatkozó követelmény engedélyezésével.
Az Azure Storage-objektumokhoz való hozzáférés delegálására használható közös hozzáférésű jogosultságkódok (SAS) közé tartozik egy lehetőség, amely azt határozza meg, hogy csak a HTTPS protokoll használható.
SMB-titkosítás
Az Azure Files-megosztások eléréséhez használt SMB 3.0 támogatja a titkosítást, és elérhető a Windows Server 2012 R2, a Windows 8, a Windows 8.1 és a Windows 10 rendszerben. Lehetővé teszi a régiók közötti hozzáférést és hozzáférést az asztalon.
VPN-titkosítás
Az Azure-hoz egy virtuális magánhálózaton keresztül csatlakozhat, amely biztonságos alagutat hoz létre a hálózaton keresztül küldött adatok védelméhez.
Azure VPN-átjárók
Az Azure VPN Gateway képes titkosított forgalmat küldeni a virtuális hálózat és a helyszíni hely között egy nyilvános kapcsolaton keresztül vagy virtuális hálózatok között. A helyek közötti VPN-ek az IPsec-et használják az átviteli titkosításhoz.
Pont–hely VPN-ek
A pont–hely VPN-ek lehetővé teszik az egyes ügyfélszámítógépek számára az Azure-beli virtuális hálózathoz való hozzáférést. A Secure Socket Tunneling Protocol (SSTP) a VPN-alagút létrehozásához használható. További információ: Pont–hely kapcsolat konfigurálása virtuális hálózathoz.
Helyek közötti VPN-ek
A helyek közötti VPN-átjárókapcsolat egy IPsec/IKE VPN-alagúton keresztül csatlakoztatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz. További információ: Helyek közötti kapcsolat létrehozása.
Kulcskezelés a Key Vaulttal
A kulcsok megfelelő védelme és kezelése nélkül a titkosítás használhatatlanná válik. Az Azure Key Vault a Microsoft által ajánlott megoldás a felhőszolgáltatások által használt titkosítási kulcsokhoz való hozzáférés kezelésére és szabályozására.
A Key Vault leveszi a vállalatok válláról a hardveres biztonsági modulok (HSM-ek) és a kulcskezelő szoftverek konfigurálásának, frissítésének és karbantartásának terhét. A Key Vault segítségével ön felügyelheti a kulcsokat – a Microsoft soha nem látja a kulcsokat, és az alkalmazások nem férnek hozzá közvetlen hozzáféréssel hozzájuk. A HSM-ekben kulcsokat is importálhat vagy hozhat létre.
További információ az Azure-beli kulcskezelésről: Kulcskezelés az Azure-ban.
Következő lépések
- Az Azure biztonsági szolgáltatásainak áttekintése
- Az Azure-hálózat biztonsági áttekintése
- Az Azure Database biztonsági áttekintése
- Az Azure-beli virtuális gépek biztonsági áttekintése
- Adattitkosítás inaktív állapotban
- Az adatbiztonsággal és a titkosítással kapcsolatos ajánlott eljárások
- Kulcskezelés az Azure-ban