Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera omówienie sposobu użycia szyfrowania na platformie Microsoft Azure. Obejmuje ona główne obszary szyfrowania, w tym szyfrowanie magazynowane, szyfrowanie w locie i zarządzanie kluczami za pomocą usługi Azure Key Vault.
Szyfrowanie danych w stanie spoczynku
Dane magazynowane zawierają informacje przechowywane w magazynie trwałym na nośnikach fizycznych w dowolnym formacie cyfrowym. Platforma Microsoft Azure oferuje różne rozwiązania do magazynowania danych, które spełniają różne potrzeby, w tym pliki, dysk, obiekt blob i magazyn tabel. Firma Microsoft zapewnia również szyfrowanie w celu ochrony usług Azure SQL Database, Azure Cosmos DB i Azure Data Lake.
Szyfrowanie danych w spoczynku przy użyciu szyfrowania AES 256 jest dostępne dla usług w modelach chmury oprogramowanie jako usługa (SaaS), platforma jako usługa (PaaS) i infrastruktura jako usługa (IaaS).
Aby zapoznać się ze szczegółowym omówieniem sposobu szyfrowania danych magazynowanych na platformie Azure, zobacz Azure Data Encryption-at-Rest.
Modele szyfrowania platformy Azure
pomoc techniczna platformy Azure różne modele szyfrowania, w tym szyfrowanie po stronie serwera, które używa kluczy zarządzanych przez usługę, kluczy zarządzanych przez klienta w usłudze Key Vault lub kluczy zarządzanych przez klienta na sprzęcie kontrolowanym przez klienta. W przypadku szyfrowania po stronie klienta można zarządzać kluczami i przechowywać je lokalnie lub w innej bezpiecznej lokalizacji.
Szyfrowanie po stronie klienta
Szyfrowanie po stronie klienta odbywa się poza platformą Azure. Zawartość:
- Dane zaszyfrowane przez aplikację działającą w centrum danych klienta lub przez aplikację usługi
- Dane, które są już szyfrowane po odebraniu ich przez platformę Azure
W przypadku szyfrowania po stronie klienta dostawcy usług w chmurze nie mają dostępu do kluczy szyfrowania i nie mogą odszyfrować tych danych. Zachowasz pełną kontrolę nad kluczami.
Szyfrowanie po stronie serwera
Trzy modele szyfrowania po stronie serwera oferują różne cechy zarządzania kluczami:
- Klucze zarządzane przez usługę: zapewnia kombinację kontroli i wygody z niskim obciążeniem
- Klucze zarządzane przez klienta: zapewnia kontrolę nad kluczami, w tym obsługę funkcji Bring Your Own Keys (BYOK) lub umożliwia generowanie nowych kluczy
- Klucze zarządzane przez usługę na sprzęcie kontrolowanym przez klienta: umożliwia zarządzanie kluczami w własnym repozytorium poza kontrolą firmy Microsoft (nazywanym również hostem własnego klucza lub HYOK)
Azure Disk Encryption
Ważne
Usługa Azure Disk Encryption ma zostać wycofana 15 września 2028 r. Do tej pory można nadal korzystać z usługi Azure Disk Encryption bez zakłóceń. 15 września 2028 r. obciążenia z obsługą programu ADE będą nadal działać, ale zaszyfrowane dyski nie będą mogły zostać odblokowane po ponownym uruchomieniu maszyny wirtualnej, co spowoduje przerwy w działaniu usługi.
Użyj szyfrowania na hoście dla nowych maszyn wirtualnych. Wszystkie maszyny wirtualne z obsługą programu ADE (w tym kopie zapasowe) muszą migrować do szyfrowania na hoście przed datą wycofania, aby uniknąć przerw w działaniu usługi. Aby uzyskać szczegółowe informacje, zobacz Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście .
Wszystkie Dyski zarządzane, migawki i obrazy są szyfrowane przy użyciu szyfrowania usługi Storage przy użyciu klucza zarządzanego przez usługę. Platforma Azure oferuje również opcje ochrony dysków tymczasowych, pamięci podręcznych i zarządzania kluczami w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zobacz Omówienie opcji szyfrowania dysków zarządzanych.
Szyfrowanie usługi Azure Storage
Dane magazynowane w usłudze Azure Blob Storage i udziałach plików platformy Azure można szyfrować zarówno w scenariuszach po stronie serwera, jak i po stronie klienta.
Szyfrowanie usługi Azure Storage (SSE) może automatycznie szyfrować dane przed ich zapisaniem i automatycznie odszyfrowywać dane podczas ich pobierania. Szyfrowanie usługi Storage używa 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych.
Szyfrowanie usługi Azure SQL Database
Azure SQL Database to usługa relacyjnej bazy danych ogólnego przeznaczenia, która obsługuje struktury, takie jak dane relacyjne, JSON, przestrzenne i XML. Usługa SQL Database obsługuje szyfrowanie po stronie serwera za pośrednictwem funkcji Transparent Data Encryption (TDE) i szyfrowania po stronie klienta za pośrednictwem funkcji Always Encrypted.
Transparent Data Encryption
Funkcja TDE szyfruje pliki danych sql Server, Azure SQL Database i Azure Synapse Analytics w czasie rzeczywistym przy użyciu klucza szyfrowania bazy danych (DEK). Funkcja TDE jest domyślnie włączona w nowo utworzonych bazach danych Azure SQL Database.
Zawsze szyfrowane
Funkcja Always Encrypted w usłudze Azure SQL umożliwia szyfrowanie danych w aplikacjach klienckich przed zapisaniem ich w usłudze Azure SQL Database. Możesz włączyć delegowanie administracji lokalnej bazy danych do innych firm i zachować separację między tymi, którzy są właścicielami i mogą wyświetlać dane i tych, którzy zarządzają nimi.
Szyfrowanie na poziomie komórki lub na poziomie kolumny
Usługa Azure SQL Database umożliwia zastosowanie szyfrowania symetrycznego do kolumny danych przy użyciu języka Transact-SQL. Takie podejście jest nazywane szyfrowaniem na poziomie komórki lub szyfrowaniem na poziomie kolumny, ponieważ można go użyć do szyfrowania określonych kolumn lub komórek przy użyciu różnych kluczy szyfrowania, co zapewnia bardziej szczegółową funkcję szyfrowania niż funkcja TDE.
Szyfrowanie bazy danych usługi Azure Cosmos DB
Azure Cosmos DB to globalnie rozproszona, wielomodelowa baza danych firmy Microsoft. Dane użytkownika przechowywane w usłudze Azure Cosmos DB w magazynie nietrwałym (dyskach półprzewodnikowych) są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez usługę. Możesz dodać drugą warstwę szyfrowania przy użyciu własnych kluczy przy użyciu funkcji kluczy zarządzanych przez klienta (CMK ).
Szyfrowanie usługi Azure Data Lake
Usługa Azure Data Lake to repozytorium danych w całym przedsiębiorstwie. Usługa Data Lake Store obsługuje "domyślnie" przezroczyste szyfrowanie danych magazynowanych, które jest konfigurowane podczas tworzenia konta. Domyślnie usługa Azure Data Lake Store zarządza kluczami, ale masz możliwość samodzielnego zarządzania nimi.
Szyfrowanie danych w tranzycie
Platforma Azure oferuje wiele mechanizmów utrzymywania prywatności danych w miarę przemieszczania się z jednej lokalizacji do innej.
Szyfrowanie warstwy łącza danych
Za każdym razem, gdy ruch klientów platformy Azure przemieszcza się między centrami danych—przekracza fizyczne granice niekontrolowane przez firmę Microsoft—metoda szyfrowania warstwy łącza danych, wykorzystująca standardy zabezpieczeń IEEE 802.1AE MAC (znane również jako MACsec), stosuje się od punktu do punktu w podstawowym sprzęcie sieciowym. Pakiety są szyfrowane na urządzeniach przed wysłaniem, uniemożliwiając fizyczne ataki typu "man-in-the-middle" lub podsłuchiwanie. To szyfrowanie MACsec jest domyślnie włączone dla całego ruchu platformy Azure podróżującego w regionie lub między regionami.
Szyfrowanie TLS
Firma Microsoft zapewnia klientom możliwość korzystania z protokołu Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługami w chmurze a klientami. Centra danych firmy Microsoft negocjują połączenie TLS z systemami klienckimi, które łączą się z usługami platformy Azure. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność.
Ważne
Przejście na platformę Azure wymaga protokołu TLS 1.2 lub nowszego dla wszystkich połączeń z usługami platformy Azure. Większość usług platformy Azure zakończyła to przejście do 31 sierpnia 2025 r. Upewnij się, że aplikacje używają protokołu TLS 1.2 lub nowszego.
Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami firmy Microsoft w chmurze za pomocą unikatowych kluczy. Połączenia obsługują 2048-bitowe długości kluczy oparte na protokole RSA, długości 256-bitowych kluczy ECC, uwierzytelnianie komunikatów SHA-384 i szyfrowanie danych AES-256.
Transakcje usługi Azure Storage
W przypadku interakcji z usługą Azure Storage za pośrednictwem witryny Azure Portal wszystkie transakcje odbywają się za pośrednictwem protokołu HTTPS. Do interakcji z usługą Azure Storage można również użyć interfejsu API REST usługi Storage za pośrednictwem protokołu HTTPS. Wymusić użycie protokołu HTTPS można podczas wywoływania interfejsów API REST, włączając wymóg bezpiecznego transferu dla konta magazynowego.
Sygnatury dostępu współdzielonego (SAS), które mogą służyć do delegowania dostępu do obiektów usługi Azure Storage, zawierają opcję określenia, że można używać tylko protokołu HTTPS.
Szyfrowanie SMB
Protokół SMB 3.0 używany do uzyskiwania dostępu do udziałów usługi Azure Files, obsługuje szyfrowanie i jest dostępny w systemach Windows Server 2012 R2, Windows 8, Windows 8.1 i Windows 10. Umożliwia dostęp między regionami i dostęp na pulpicie.
Szyfrowanie sieci VPN
Połączenie z platformą Azure można nawiązać za pośrednictwem wirtualnej sieci prywatnej, która tworzy bezpieczny tunel w celu ochrony prywatności przesyłanych danych w sieci.
Bramy sieci VPN platformy Azure
Brama sieci VPN platformy Azure może wysyłać zaszyfrowany ruch między siecią wirtualną a lokalizacją lokalną za pośrednictwem połączenia publicznego lub między sieciami wirtualnymi. Sieci VPN typu lokacja-lokacja używają protokołu IPsec do szyfrowania transportu.
Sieci VPN typu punkt-lokacja
Sieci VPN typu punkt-lokacja umożliwiają poszczególnym komputerom klienckim dostęp do sieci wirtualnej platformy Azure. Protokół SSTP (Secure Socket Tunneling Protocol) służy do tworzenia tunelu SIECI VPN. Aby uzyskać więcej informacji, zobacz Konfigurowanie połączenia punkt-lokacja z siecią wirtualną.
Sieci VPN typu lokacja-lokacja
Połączenie bramy VPN typu site-to-site łączy sieć lokalną na miejscu z siecią wirtualną platformy Azure za pośrednictwem tunelu VPN wykorzystującego protokół IPsec/IKE. Aby uzyskać więcej informacji, zobacz Tworzenie połączenia typu lokacja-lokacja.
Zarządzanie kluczami za pomocą usługi Key Vault
Bez odpowiedniej ochrony oraz zarządzania kluczami, szyfrowanie staje się bezużyteczne. Usługa Azure Key Vault to zalecane przez firmę Microsoft rozwiązanie do zarządzania i kontrolowania dostępu do kluczy szyfrowania używanych przez usługi w chmurze.
Usługa Key Vault pozwala organizacjom zrezygnować z konfigurowania, poprawiania oraz utrzymywania modułów HSM i oprogramowania do zarządzania kluczami. Dzięki usłudze Key Vault zachowasz kontrolę — firma Microsoft nigdy nie widzi kluczy, a aplikacje nie mają bezpośredniego dostępu do nich. Możesz również zaimportować lub wygenerować klucze w modułach HSM.
Aby uzyskać więcej informacji na temat zarządzania kluczami na platformie Azure, zobacz Zarządzanie kluczami na platformie Azure.
Następne kroki
- Omówienie zabezpieczeń platformy Azure
- Omówienie zabezpieczeń sieci na platformie Azure
- Omówienie zabezpieczeń bazy danych platformy Azure
- Omówienie zabezpieczeń maszyn wirtualnych platformy Azure
- Szyfrowanie danych w spoczynku
- Najlepsze rozwiązania z zakresu zabezpieczeń i szyfrowania danych
- Zarządzanie kluczami na platformie Azure