Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bekleyen şifreleme , katı hal sürücüleri (SSD'ler) ve sabit disk sürücüleri (HDD'ler) gibi kalıcı olmayan depolama cihazlarında verilerin şifrelenmesini ifade eden bir tümceciktir. Azure Cosmos DB birincil veritabanlarını SSD'lerde depolar. Medya ekleri ve yedeklemeleri, genellikle HDD’lerle yedeklenen Azure Blob Depolama alanında saklanır. Azure Cosmos DB için dinlenme halinde şifreleme özelliğinin yayınlanmasıyla, tüm veritabanlarınız, medya ekleriniz ve yedekleriniz şifrelenir. Verileriniz artık aktarım sırasında (ağ üzerinden) ve bekleme durumunda (kalıcı olmayan depolama) şifrelenerek size uçtan uca şifreleme sağlanır.
Hizmet olarak platform (PaaS) olarak Azure Cosmos DB'nin kullanımı kolaydır. Azure Cosmos DB'de depolanan tüm kullanıcı verileri beklemede ve aktarım sırasında şifrelendiğinden herhangi bir işlem yapmanız gerekmez. Başka bir deyişle, statik verilerin şifrelemesi varsayılan olarak "açık"tır. Kapatmak veya açmak için denetim yok. Azure Cosmos DB, hesabın çalıştığı tüm bölgelerde AES-256 şifrelemesini kullanır.
Kullanılabilirlik ve performans hizmet düzeyi sözleşmelerimizi (SLA) karşılamaya devam ederken bu özelliği sağlıyoruz. Azure Cosmos DB hesabınızda depolanan veriler, Microsoft tarafından yönetilen anahtarlarla (hizmet tarafından yönetilen anahtarlar) otomatik ve sorunsuz bir şekilde şifrelenir. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarlar makalesinde açıklandığı gibi kendi anahtarlarınızla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz.
Bekleyen şifrelemenin uygulanması
Azure Cosmos DB'de bekleyen şifreleme, güvenli anahtar depolama sistemleri, şifrelenmiş ağlar ve şifreleme API'leri gibi çeşitli güvenlik teknolojileri kullanılarak uygulanır. Verilerin şifresini çözen ve işleyen sistemlerin anahtarları yöneten sistemlerle iletişim kurması gerekir. Diyagramda şifrelenmiş verilerin depolanması ve anahtarların yönetiminin nasıl ayrıldığı gösterilmektedir.
Kullanıcı isteğinin temel akışı:
- Kullanıcı veritabanı hesabı hazır hale getirilir ve depolama anahtarları Yönetim Hizmeti Kaynak Sağlayıcısına gönderilen bir istek aracılığıyla alınır.
- Kullanıcı, HTTPS/güvenli aktarım aracılığıyla Azure Cosmos DB'ye bağlantı oluşturur. SDK'lar ayrıntıları özetler.
- Kullanıcı, daha önce oluşturulan güvenli bağlantı üzerinden depolanacak bir JSON belgesi gönderir.
- Kullanıcı dizin oluşturmayı kapatmadığı sürece JSON belgesi dizine eklenir.
- Hem JSON belgesi hem de dizin verileri güvenli depolama için yazılır.
- Veriler düzenli aralıklarla güvenli depolama alanından okunur ve Azure Şifrelenmiş Blob Deposu'na yedeklenir.
Sık sorulan sorular
Şifreleme hakkında sık sorulan soruların yanıtlarını bulun.
Depolama Hizmeti Şifrelemesi etkinleştirildiyse Azure Depolama'nın maliyeti ne kadardır?
Ek ücret alınmaz.
Şifreleme anahtarlarını kim yönetir?
Azure Cosmos DB hesabınızda depolanan veriler, hizmet tarafından yönetilen anahtarlar kullanılarak Microsoft tarafından yönetilen anahtarlarla otomatik ve sorunsuz bir şekilde şifrelenir. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarları kullanarak yönettiğiniz anahtarlarla ikinci bir şifreleme katmanı eklemeyi seçebilirsiniz.
Şifreleme anahtarları ne sıklıkta döndürülür?
Microsoft, Azure Cosmos DB'nin izlediği şifreleme anahtarı döndürmeye yönelik bir dizi iç yönergeye sahiptir. Belirli yönergeler yayımlanmaz. Microsoft, iç kılavuzun bir alt kümesi olarak görülen ve geliştiriciler için yararlı en iyi yöntemlere sahip olan Güvenlik Geliştirme Yaşam Döngüsü'ni yayımlar.
Kendi şifreleme anahtarlarımı kullanabilir miyim?
Evet, bu özellik yeni Azure Cosmos DB hesaplarında kullanılabilir. Hesap oluşturma sırasında dağıtılmalıdır. Daha fazla bilgi için bkz . Azure Key Vault ile Azure Cosmos DB hesabınız için müşteri tarafından yönetilen anahtarları yapılandırma.
Warning
Aşağıdaki alan adları, müşteri tarafından yönetilen anahtarlar kullanılarak hesaplardaki Cassandra API tablolarında ayrılmıştır:
idttl_ts_etag_rid_self_attachments_epk
Müşteri tarafından yönetilen anahtarlar etkinleştirilmediğinde, yalnızca __sys_ ile başlayan alan adları ayrılır.
Şifreleme hangi bölgelerde açıldı?
Tüm Azure Cosmos DB bölgelerinde tüm kullanıcı verileri için şifreleme açıktır.
Şifreleme, performans gecikme süresini ve aktarım hızı SLA'larını etkiler mi?
Mevcut ve yeni hesapların tümünde atıl durumlardaki şifreleme etkinleştirildiğinden performans SLA'larında herhangi bir etki veya değişiklik söz konusu değildir. En son garantileri görmek için Azure Cosmos DB için SLA belgesine bakın.
Yerel öykünücü durgun verinin şifrelenmesini destekliyor mu?
Öykünücü tek başına bir geliştirme/test aracıdır ve yönetilen Azure Cosmos DB hizmetinin kullandığı anahtar yönetim hizmetlerini kullanmaz. Hassas öykünücü test verilerini depoladığınız sürücülerde BitLocker'ı etkinleştirmenizi öneriyoruz. Öykünücü, varsayılan veri dizinini değiştirmeyi ve iyi bilinen bir konum kullanmayı destekler.