Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera omówienie sposobu użycia szyfrowania na platformie Microsoft Azure. Obejmuje ona główne obszary szyfrowania, w tym szyfrowanie magazynowane, szyfrowanie w locie i zarządzanie kluczami za pomocą usługi Azure Key Vault.
Szyfrowanie danych w stanie spoczynku
Dane magazynowane zawierają informacje przechowywane w magazynie trwałym na nośnikach fizycznych w dowolnym formacie cyfrowym. Platforma Microsoft Azure oferuje różne rozwiązania do magazynowania danych, które spełniają różne potrzeby, w tym pliki, dysk, obiekt blob i magazyn tabel. Firma Microsoft zapewnia również szyfrowanie w celu ochrony usług Azure SQL Database, Azure Cosmos DB i Azure Data Lake.
Szyfrowanie AES 256 umożliwia ochronę danych magazynowanych dla usług w ramach oprogramowania jako usługi (SaaS), platformy jako usługi (PaaS) i modeli chmury infrastruktury jako usługi (IaaS).
Aby zapoznać się z bardziej szczegółowym omówieniem sposobu szyfrowania danych magazynowanych przez platformę Azure, zobacz Azure Data Encryption at Rest (Szyfrowanie danych w spoczynku na platformie Azure).
Modele szyfrowania platformy Azure
pomoc techniczna platformy Azure różne modele szyfrowania, w tym szyfrowanie po stronie serwera, które używa kluczy zarządzanych przez usługę, kluczy zarządzanych przez klienta w usłudze Key Vault lub kluczy zarządzanych przez klienta na sprzęcie kontrolowanym przez klienta. Za pomocą szyfrowania po stronie klienta można zarządzać kluczami lokalnie lub w innej bezpiecznej lokalizacji oraz przechowywać je w innej bezpiecznej lokalizacji.
Szyfrowanie po stronie klienta
Szyfrowanie po stronie klienta jest wykonywane poza platformą Azure. Zawartość:
- Dane zaszyfrowane przez aplikację działającą w centrum danych lub przez aplikację usługi
- Dane, które są już szyfrowane po odebraniu przez platformę Azure
Korzystając z szyfrowania po stronie klienta, dostawcy usług w chmurze nie mają dostępu do kluczy szyfrowania i nie mogą odszyfrować tych danych. Zachowasz pełną kontrolę nad kluczami.
Szyfrowanie po stronie serwera
Trzy modele szyfrowania po stronie serwera oferują różne cechy zarządzania kluczami:
- Klucze zarządzane przez usługę: zapewnia kombinację kontroli i wygody z niskim obciążeniem.
- Klucze zarządzane przez klienta: zapewnia kontrolę nad kluczami, w tym obsługę byOK (Bring Your Own Keys) lub umożliwia generowanie nowych.
- Klucze zarządzane przez usługę w kontrolowanym przez klienta sprzęcie: umożliwia zarządzanie kluczami w własnym repozytorium poza kontrolą firmy Microsoft (nazywaną również hostem własnego klucza lub HYOK).
Azure Disk Encryption
Ważne
Usługa Azure Disk Encryption ma zostać wycofana 15 września 2028 r. Do tej pory można nadal korzystać z usługi Azure Disk Encryption bez zakłóceń. 15 września 2028 r. obciążenia z obsługą programu ADE będą nadal działać, ale zaszyfrowane dyski nie będą mogły zostać odblokowane po ponownym uruchomieniu maszyny wirtualnej, co spowoduje przerwy w działaniu usługi.
Użyj szyfrowania na hoście dla nowych maszyn wirtualnych. Wszystkie maszyny wirtualne z obsługą programu ADE (w tym kopie zapasowe) muszą migrować do szyfrowania na hoście przed datą wycofania, aby uniknąć przerw w działaniu usługi. Aby uzyskać szczegółowe informacje, zobacz Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście .
Wszystkie dyski zarządzane, migawki i obrazy są domyślnie szyfrowane przy użyciu szyfrowania usługi Storage z kluczem zarządzanym przez usługę. W przypadku maszyn wirtualnych szyfrowanie na hoście zapewnia kompleksowe szyfrowanie danych maszyny wirtualnej, w tym dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Platforma Azure oferuje również opcje zarządzania kluczami w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zobacz Omówienie opcji szyfrowania dysków zarządzanych.
Szyfrowanie usługi Azure Storage
Dane w spoczynku można szyfrować w usłudze Azure Blob Storage i Azure File Shares w scenariuszach po stronie serwera i po stronie klienta.
Szyfrowanie usługi Azure Storage (SSE) automatycznie szyfruje dane przed ich zapisaną i automatycznie odszyfruje dane podczas ich pobierania. Szyfrowanie usługi Storage używa 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych.
Szyfrowanie usługi Azure SQL Database
Azure SQL Database to usługa relacyjnej bazy danych ogólnego przeznaczenia, która obsługuje struktury, takie jak dane relacyjne, JSON, przestrzenne i XML. Usługa SQL Database obsługuje szyfrowanie po stronie serwera za pośrednictwem funkcji Transparent Data Encryption (TDE) i szyfrowania po stronie klienta za pośrednictwem funkcji Always Encrypted.
Transparent Data Encryption
Funkcja TDE szyfruje pliki danych sql Server, Azure SQL Database i Azure Synapse Analytics w czasie rzeczywistym przy użyciu klucza szyfrowania bazy danych (DEK). Funkcja TDE jest domyślnie włączona w nowo utworzonych bazach danych Azure SQL Database.
Zawsze szyfrowane
Funkcja Always Encrypted w usłudze Azure SQL umożliwia szyfrowanie danych w aplikacjach klienckich przed zapisaniem ich w usłudze Azure SQL Database. Możesz włączyć delegowanie administracji lokalnej bazy danych do innych firm przy zachowaniu separacji między tymi, którzy są właścicielami i mogą wyświetlać dane i tych, którzy zarządzają nimi.
Szyfrowanie na poziomie komórki lub na poziomie kolumny
Usługa Azure SQL Database umożliwia zastosowanie szyfrowania symetrycznego do kolumny danych przy użyciu języka Transact-SQL. Takie podejście jest nazywane szyfrowaniem na poziomie komórki lub szyfrowaniem na poziomie kolumny, ponieważ można go użyć do szyfrowania określonych kolumn lub komórek przy użyciu różnych kluczy szyfrowania. Takie podejście zapewnia bardziej szczegółową funkcję szyfrowania niż funkcja TDE.
Szyfrowanie bazy danych usługi Azure Cosmos DB
Azure Cosmos DB to globalnie rozproszona, wielomodelowa baza danych firmy Microsoft. Dane użytkownika przechowywane w usłudze Azure Cosmos DB w magazynie nietrwałym (dyskach półprzewodnikowych) są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez usługę. Możesz dodać drugą warstwę szyfrowania przy użyciu własnych kluczy przy użyciu funkcji kluczy zarządzanych przez klienta (CMK ).
Szyfrowanie danych w spoczynku w usłudze Azure Data Lake
Usługa Azure Data Lake to repozytorium dla całego przedsiębiorstwa każdego typu danych zebranych w jednym miejscu przed formalną definicją wymagań lub schematu. Usługa Data Lake Store obsługuje szyfrowanie danych w stanie spoczynku, które jest domyślnie włączone i konfigurowane podczas tworzenia konta. Domyślnie usługa Azure Data Lake Store zarządza kluczami, ale możesz zarządzać nimi samodzielnie.
Trzy typy kluczy są używane do szyfrowania i odszyfrowywania danych: głównego klucza szyfrowania (MEK), klucza szyfrowania danych (DEK) i klucza szyfrowania blokowego (BEK). Klucz główny szyfruje klucz szyfrowania danych, który jest przechowywany na nośniku trwałym, a klucz pochodny jest uzyskiwany z klucza szyfrowania danych i bloku danych. Jeśli zarządzasz własnymi kluczami, możesz obrócić klucz szyfrowania wieloskładnikowego.
Szyfrowanie danych w tranzycie
Platforma Azure udostępnia wiele mechanizmów przechowywania danych prywatnych w miarę ich przemieszczania się z jednej lokalizacji do innej.
Szyfrowanie warstwy łącza danych
Za każdym razem, gdy ruch klientów platformy Azure przenosi się między centrami danych — poza fizycznymi granicami niekontrolowanymi przez firmę Microsoft — stosowana jest metoda szyfrowania warstwy łącza danych przy użyciu standardów zabezpieczeń IEEE 802.1AE MAC (znanych również jako MACsec), i to od punktu do punktu na podstawowym sprzęcie sieciowym. Urządzenia szyfrują pakiety przed ich wysłaniem, co zapobiega fizycznym atakom typu "man-in-the-middle" lub podsłuchiwaniu/przechwytywaniu. To szyfrowanie MACsec jest domyślnie włączone dla całego ruchu platformy Azure podróżującego w regionie lub między regionami.
Szyfrowanie TLS
Firma Microsoft zapewnia klientom możliwość korzystania z protokołu Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługami w chmurze a klientami. Centra danych firmy Microsoft negocjują połączenie TLS z systemami klienckimi, które łączą się z usługami platformy Azure. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność.
Ważne
Przejście na platformę Azure wymaga protokołu TLS 1.2 lub nowszego dla wszystkich połączeń z usługami platformy Azure. Większość usług platformy Azure zakończyła to przejście do 31 sierpnia 2025 r. Upewnij się, że aplikacje używają protokołu TLS 1.2 lub nowszego.
Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami firmy Microsoft w chmurze za pomocą unikatowych kluczy. Połączenia obsługują 2048-bitowe długości kluczy oparte na protokole RSA, długości 256-bitowych kluczy ECC, uwierzytelnianie komunikatów SHA-384 i szyfrowanie danych AES-256.
Transakcje usługi Azure Storage
W przypadku interakcji z usługą Azure Storage za pośrednictwem witryny Azure Portal wszystkie transakcje odbywają się za pośrednictwem protokołu HTTPS. Do interakcji z usługą Azure Storage można również użyć interfejsu API REST usługi Storage za pośrednictwem protokołu HTTPS. Wymusić użycie protokołu HTTPS można podczas wywoływania interfejsów API REST, włączając wymóg bezpiecznego transferu dla konta magazynowego.
Sygnatury dostępu współdzielonego (SAS), których można użyć do delegowania dostępu do obiektów usługi Azure Storage, zawierają opcję określenia, że można używać tylko protokołu HTTPS.
Szyfrowanie SMB
Protokół SMB 3.0 używany do uzyskiwania dostępu do udziałów usługi Azure Files, obsługuje szyfrowanie i jest dostępny w systemach Windows Server 2012 R2, Windows 8, Windows 8.1 i Windows 10. Obsługuje dostęp między regionami i dostęp na pulpicie.
Szyfrowanie sieci VPN
Połączenie z platformą Azure można nawiązać za pośrednictwem wirtualnej sieci prywatnej, która tworzy bezpieczny tunel w celu ochrony prywatności danych wysyłanych przez sieć.
Bramy sieci VPN platformy Azure
Brama sieci VPN platformy Azure wysyła zaszyfrowany ruch między siecią wirtualną a lokalizacją lokalną za pośrednictwem połączenia publicznego lub między sieciami wirtualnymi. Sieci VPN typu lokacja-lokacja używają protokołu IPsec do szyfrowania transportu.
Sieci VPN typu punkt-lokacja
Sieci VPN typu punkt-lokacja umożliwiają poszczególnym komputerom klienckim dostęp do sieci wirtualnej platformy Azure. Protokół SSTP (Secure Socket Tunneling Protocol) tworzy tunel VPN. Aby uzyskać więcej informacji, zobacz Konfigurowanie połączenia punkt-lokacja z siecią wirtualną.
Sieci VPN typu lokacja-lokacja
Połączenie bramy VPN typu site-to-site łączy sieć lokalną na miejscu z siecią wirtualną platformy Azure za pośrednictwem tunelu VPN wykorzystującego protokół IPsec/IKE. Aby uzyskać więcej informacji, zobacz Tworzenie połączenia typu lokacja-lokacja.
Zarządzanie kluczami za pomocą usługi Key Vault
Bez odpowiedniej ochrony i zarządzania kluczami szyfrowanie jest bezużyteczne. Platforma Azure oferuje kilka kluczowych rozwiązań do zarządzania, w tym usługę Azure Key Vault, zarządzany moduł HSM usługi Azure Key Vault, moduł HSM w chmurze platformy Azure i moduł HSM usługi Azure Payment.
Usługa Key Vault eliminuje konieczność konfigurowania, stosowania poprawek i obsługi sprzętowych modułów zabezpieczeń (HSM) i oprogramowania do zarządzania kluczami. Korzystając z usługi Key Vault, utrzymujesz kontrolę — firma Microsoft nigdy nie widzi kluczy, a aplikacje nie mają bezpośredniego dostępu do nich. Możesz również zaimportować lub wygenerować klucze w modułach HSM.
Aby uzyskać więcej informacji na temat zarządzania kluczami na platformie Azure, zobacz Zarządzanie kluczami na platformie Azure.
Następne kroki
- Omówienie zabezpieczeń platformy Azure
- Omówienie zabezpieczeń sieci na platformie Azure
- Omówienie zabezpieczeń bazy danych platformy Azure
- Omówienie zabezpieczeń maszyn wirtualnych platformy Azure
- Szyfrowanie danych w spoczynku
- Najlepsze rozwiązania z zakresu zabezpieczeń i szyfrowania danych
- Zarządzanie kluczami na platformie Azure