Översikt över Azure-kryptering

Den här artikeln innehåller en översikt över hur kryptering används i Microsoft Azure. Den omfattar de viktigaste områdena kryptering, inklusive kryptering i vila, kryptering under flygning och nyckelhantering med Azure Key Vault.

Data i paus och kryptering

Vilande data innehåller information som finns i beständig lagring på fysiska medier, i valfritt digitalt format. Microsoft Azure erbjuder en mängd olika datalagringslösningar för att uppfylla olika behov, inklusive fil-, disk-, blob- och tabelllagring. Microsoft tillhandahåller även kryptering för att skydda Azure SQL Database, Azure Cosmos DB och Azure Data Lake.

Datakryptering i vila med AES 256-kryptering är tillgängligt för tjänster i molnmodellerna programvara som en tjänst (SaaS), plattform som en tjänst (PaaS) och infrastruktur som en tjänst (IaaS).

En detaljerad beskrivning av hur vilande data krypteras i Azure finns i Azure Data Encryption-at-Rest.

Azure-krypteringsmodeller

Azure Support olika krypteringsmodeller, inklusive kryptering på serversidan som använder tjänsthanterade nycklar, kundhanterade nycklar i Key Vault eller kundhanterade nycklar på kundkontrollerad maskinvara. Med kryptering på klientsidan kan du hantera och lagra nycklar lokalt eller på en annan säker plats.

Kryptering på klientsidan

Kryptering på klientsidan utförs utanför Azure. Den innehåller:

• Data krypterade av ett program som körs i kundens datacenter eller av ett tjänstprogram
• Data som redan är krypterade när de tas emot av Azure

Med kryptering på klientsidan har molntjänstleverantörer inte åtkomst till krypteringsnycklarna och kan inte dekryptera dessa data. Du har fullständig kontroll över nycklarna.

Kryptering på serversidan

De tre krypteringsmodellerna på serversidan har olika egenskaper för nyckelhantering:

• Tjänsthanterade nycklar: Ger en kombination av kontroll och bekvämlighet med låga omkostnader
• Kundhanterade nycklar: Ger dig kontroll över nycklarna, inklusive BYOK-stöd (Bring Your Own Keys) eller låter dig generera nya
• Tjänsthanterade nycklar i kundkontrollerad maskinvara: Gör att du kan hantera nycklar på din egen lagringsplats, utanför Microsofts kontroll (kallas även Värd för din egen nyckel eller HYOK)

Azure Disk Encryption

Viktigt!

Azure Disk Encryption är planerat att tas bort den 15 september 2028. Fram till det datumet kan du fortsätta att använda Azure Disk Encryption utan avbrott. Den 15 september 2028 fortsätter ADE-aktiverade arbetsbelastningar att köras, men krypterade diskar kan inte låsas upp efter omstarter av virtuella datorer, vilket resulterar i avbrott i tjänsten.

Använd kryptering på värden för nya virtuella datorer. Alla ADE-aktiverade virtuella datorer (inklusive säkerhetskopior) måste migreras till kryptering hos värden före pensionsdatumet för att undvika serviceavbrott. Se Migrera från Azure Disk Encryption till värdkryptering för detaljer.

Alla hanterade diskar, ögonblicksbilder och avbildningar krypteras med hjälp av kryptering av lagringstjänst med hjälp av en tjänsthanterad nyckel. Azure erbjuder även alternativ för att skydda temporära diskar, cacheminnen och hantera nycklar i Azure Key Vault. Mer information finns i Översikt över krypteringsalternativ för hanterade diskar.

Kryptering av Azure-lagringstjänst

Vilande data i Azure Blob Storage och Azure-filresurser kan krypteras i både scenarier på serversidan och på klientsidan.

Azure Storage Service Encryption (SSE) kan automatiskt kryptera data innan de lagras och dekrypterar automatiskt data när du hämtar dem. Kryptering för lagringstjänst använder 256-bitars AES-kryptering, en av de starkaste blockkrypteringarna som är tillgängliga.

Azure SQL Database-kryptering

Azure SQL Database är en relationsdatabastjänst för generell användning som stöder strukturer som relationsdata, JSON, spatial och XML. SQL Database stöder både kryptering på serversidan via funktionen transparent datakryptering (TDE) och kryptering på klientsidan via funktionen Always Encrypted.

Transparent datakryptering

TDE krypterar SQL Server-, Azure SQL Database- och Azure Synapse Analytics-datafiler i realtid med hjälp av en databaskrypteringsnyckel (DEK). TDE är aktiverat som standard på nyligen skapade Azure SQL-databaser.

Alltid Krypterad

Med funktionen Always Encrypted i Azure SQL kan du kryptera data i klientprogram innan du lagrar dem i Azure SQL Database. Du kan aktivera delegering av lokal databasadministration till tredje part och upprätthålla separation mellan dem som äger och kan visa data och de som hanterar dem.

Kryptering på cellnivå eller kolumnnivå

Med Azure SQL Database kan du tillämpa symmetrisk kryptering på en datakolumn med hjälp av Transact-SQL. Den här metoden kallas kryptering på cellnivå eller kryptering på kolumnnivå (CLE) eftersom du kan använda den för att kryptera specifika kolumner eller celler med olika krypteringsnycklar, vilket ger dig mer detaljerad krypteringskapacitet än TDE.

Azure Cosmos DB-databaskryptering

Azure Cosmos DB är Microsofts globalt distribuerade databas med flera modeller. Användardata som lagras i Azure Cosmos DB i icke-flyktig lagring (solid state-enheter) krypteras som standard med hjälp av tjänsthanterade nycklar. Du kan lägga till ett andra krypteringslager med dina egna nycklar med hjälp av funktionen kundhanterade nycklar (CMK).

Azure Data Lake-kryptering

Azure Data Lake är en företagsomfattande lagringsplats för data. Data Lake Store stöder "på som standard" transparent kryptering av vilande data, som konfigureras när kontot skapas. Som standard hanterar Azure Data Lake Store nycklarna åt dig, men du har möjlighet att hantera dem själv.

Kryptering av data internt

Azure erbjuder många mekanismer för att hålla data privata när de flyttas från en plats till en annan.

Datalänkskiktskryptering

När Azure-kundtrafik flyttas mellan datacenter – utanför fysiska gränser som inte kontrolleras av Microsoft – tillämpas en krypteringsmetod för datalänkskikt med IEEE 802.1AE MAC-säkerhetsstandarder (även kallat MACsec) från punkt till punkt över den underliggande nätverksmaskinvaran. Paketen krypteras på enheterna innan de skickas, vilket förhindrar fysiska "man-in-the-middle" eller snokande/avlyssningsattacker. Den här MACsec-krypteringen är aktiverad som standard för all Azure-trafik som färdas inom en region eller mellan regioner.

TLS-kryptering

Microsoft ger kunderna möjlighet att använda TLS-protokollet (Transport Layer Security) för att skydda data när de reser mellan molntjänster och kunder. Microsofts datacenter förhandlar om en TLS-anslutning med klientsystem som ansluter till Azure-tjänster. TLS ger stark autentisering, meddelandesekretess och integritet.

Viktigt!

Azure övergår till att kräva TLS 1.2 eller senare för alla anslutningar till Azure-tjänster. De flesta Azure-tjänster slutförde den här övergången senast den 31 augusti 2025. Se till att dina program använder TLS 1.2 eller senare.

Perfect Forward Secrecy (PFS) skyddar anslutningar mellan kundernas klientsystem och Microsofts molntjänster med unika nycklar. Anslutningar stöder RSA-baserade 2 048-bitars nyckellängder, ECC 256-bitars nyckellängder, SHA-384-meddelandeautentisering och AES-256-datakryptering.

Azure Storage-transaktioner

När du interagerar med Azure Storage via Azure Portal sker alla transaktioner via HTTPS. Du kan också använda STORAGE REST API via HTTPS för att interagera med Azure Storage. Du kan framtvinga användningen av HTTPS när du anropar REST-API:erna genom att aktivera kravet på säker överföring för lagringskontot.

Signaturer för delad åtkomst (SAS), som kan användas för att delegera åtkomst till Azure Storage-objekt, innehåller ett alternativ för att ange att endast HTTPS-protokollet kan användas.

SMB-kryptering

SMB 3.0, som används för att komma åt Azure Files-resurser, stöder kryptering och är tillgängligt i Windows Server 2012 R2, Windows 8, Windows 8.1 och Windows 10. Det möjliggör åtkomst över regioner och på skrivbordet.

VPN-kryptering

Du kan ansluta till Azure via ett virtuellt privat nätverk som skapar en säker tunnel för att skydda sekretessen för data som skickas över nätverket.

Azure VPN Gateway

Azure VPN-gateway kan skicka krypterad trafik mellan ditt virtuella nätverk och din lokala plats över en offentlig anslutning eller mellan virtuella nätverk. Plats-till-plats-VPN använder IPsec för transportkryptering.

Punkt-till-plats-VPN

Punkt-till-plats-VPN tillåter enskilda klientdatorer åtkomst till ett virtuellt Azure-nätverk. SSTP (Secure Socket Tunneling Protocol) används för att skapa VPN-tunneln. Mer information finns i Konfigurera en punkt-till-plats-anslutning till ett virtuellt nätverk.

Plats-till-plats-VPN:er

En vpn-gatewayanslutning från plats till plats ansluter ditt lokala nätverk till ett virtuellt Azure-nätverk via en IPsec/IKE VPN-tunnel. Mer information finns i Skapa en plats-till-plats-anslutning.

Nyckelhantering med Key Vault

Utan korrekt skydd och hantering av nycklar blir krypteringen oanvändbar. Azure Key Vault är den Microsoft-rekommenderade lösningen för att hantera och kontrollera åtkomsten till krypteringsnycklar som används av molntjänster.

Med Key Vault slipper organisationer konfigurera, korrigera och underhålla maskinvarumoduler för säkerhet (HSM, Hardware Security Modules) och programvara för nyckelhantering. Med Key Vault behåller du kontrollen – Microsoft ser aldrig dina nycklar och program har inte direkt åtkomst till dem. Du kan också importera eller generera nycklar i HSM:er.

Mer information om nyckelhantering i Azure finns i Nyckelhantering i Azure.

Nästa steg

• Översikt över Azure-säkerhet
• Översikt över Nätverkssäkerhet i Azure
• Översikt över Azure Database-säkerhet
• Säkerhetsöversikt för virtuella Azure-datorer
• Datakryptering i vila
• Metodtips för datasäkerhet och kryptering
• Nyckelhantering i Azure