Azure 中的加密
Azure 中的技术安全措施(如加密通信和操作流程)有助于确保数据安全。 还可以灵活地实现其他加密功能并管理自己的加密密钥。 无论客户配置如何,Microsoft 都会应用加密来保护 Azure 中的客户数据。 Microsoft 还使你能够通过一系列高级技术来控制托管在 Azure 中的数据,以加密、控制和管理加密密钥,以及控制和审核对数据的访问。 此外,Azure 存储提供了一组全面的安全功能,使开发人员能够共同构建安全的应用程序。
Azure 提供了许多机制,用于在数据从一个位置移动到另一个位置时保护数据。 Microsoft 在云服务和客户之间传输数据时使用 TLS 来保护数据。 Microsoft 的数据中心与连接到 Azure 服务的客户端系统协商 TLS 连接。 转发机密 (FS) 通过唯一密钥保护客户客户端系统和 Microsoft 云服务之间的连接。 连接还使用基于 RSA 的 2,048 位加密密钥长度。 这种组合使得某人难以截获和访问传输中的数据。
使用 客户端加密、HTTPS 或 SMB 3.0,可以在应用程序与 Azure 之间传输时保护数据。 可以为自己的虚拟机 (VM) 与用户之间的流量启用加密。 借助 Azure 虚拟网络,可以使用行业标准 IPsec 协议来加密企业 VPN 网关与 Azure 之间以及位于虚拟网络上的 VM 之间的流量。
对于静态数据,Azure 提供了许多加密选项,例如对 AES-256 的支持,使你能够选择最符合需求的数据存储方案。 使用 存储服务加密将数据写入 Azure 存储时,可以自动加密数据,并且可以加密 VM 使用的操作系统和数据磁盘。 有关详细信息,请参阅 Azure 中 Windows 虚拟机的安全建议。 此外,可以使用 共享访问签名授予对 Azure 存储中数据对象的委托访问权限。 Azure 还使用透明数据加密为Azure SQL数据库和Data Warehouse提供静态数据的加密。
有关 Azure 中加密的详细信息,请参阅 Azure 加密概述 和 Azure 静态数据加密。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
Azure 磁盘加密
使用 Azure 磁盘加密,可以加密 Windows 和 Linux 基础结构即服务 (IaaS) VM 磁盘。 Azure 磁盘加密使用 Windows 的 BitLocker 功能和 Linux 的 DM-Crypt 功能为操作系统和数据磁盘提供卷级加密。 它还可确保在 Azure 存储中静态加密 VM 磁盘上的所有数据。 Azure 磁盘加密与 Azure 密钥保管库集成,可帮助你控制、管理和审核加密密钥和机密的使用。
有关详细信息,请参阅 Azure 中 Windows 虚拟机的安全建议。
Azure 存储服务加密
使用 Azure 存储服务加密,Azure 存储会在将数据保存到存储之前自动加密数据,并在检索之前解密数据。 加密、解密和密钥管理过程对用户完全透明。 Azure 存储服务加密可用于Azure Blob 存储和Azure 文件存储。 还可以将 Microsoft 管理的加密密钥与 Azure 存储服务加密配合使用,也可以使用自己的加密密钥。 (有关使用自己的密钥的信息,请参阅 Azure 密钥保管库中使用客户管理的密钥进行存储服务加密。有关使用 Microsoft 管理的密钥的信息,请参阅 Rest 数据的存储服务加密。) 此外,还可以自动使用加密。 例如,可以使用 Azure 存储资源提供程序 REST API、适用于 .NET 的存储资源提供程序客户端库、Azure PowerShell或 Azure CLI 以编程方式启用或禁用存储帐户的存储服务加密。
某些 Microsoft 365 服务使用 Azure 来存储数据。 例如,SharePoint Online 和 OneDrive for Business数据存储在 Azure Blob 存储中,Microsoft Teams 将聊天服务的数据存储在表、Blob 和队列中。 此外,Microsoft Purview 合规门户中的合规性管理器功能将客户输入的数据以加密形式存储在 Azure Cosmos DB 中,Azure Cosmos DB 是一种平台即服务 (PaaS) 全球分布式多模型数据库。 Azure 存储服务加密对 Azure Blob 存储和表中存储的数据进行加密,Azure 磁盘加密对队列以及 Windows 和 IaaS 虚拟机磁盘中的数据进行加密,以便为操作系统和数据磁盘提供卷加密。 该解决方案可确保在 Azure 存储中静态加密虚拟机磁盘上的所有数据。 Azure Cosmos DB 中的静态加密 通过使用多种安全技术实现,包括安全密钥存储系统、加密网络和加密 API。
Azure Key Vault
安全密钥管理不仅仅是加密最佳做法的核心;这对于保护云中的数据也至关重要。 Azure 密钥保管库允许对密钥和小型机密(例如使用存储在硬件安全模块中的密钥 (HSM) 的密码)进行加密。 Azure 密钥保管库 是 Microsoft 建议的解决方案,用于管理和控制对云服务使用的加密密钥的访问。 可将访问密钥的权限分配给服务或具有 Azure Active Directory 帐户的用户。 Azure 密钥保管库使组织无需配置、修补和维护 HSM 和密钥管理软件。 使用 Azure 密钥保管库,Microsoft 永远不会看到你的密钥,应用程序无法直接访问它们;你可以保持控制。 还可以在 HSM 中导入或生成密钥。 包含 Azure 信息保护 订阅的组织可以配置其 Azure 信息保护租户,以使用客户管理的密钥“自带密钥 (BYOK) ) ”并记录其使用情况。