保护 Azure SQL 数据库和 Azure Cosmos DB 中的静态数据

组织迁移到 Azure 的数据包括客户详细信息和财务信息。必须尽可能安全地保存此数据，对系统和应用程序的日常使用保持可访问性，并满足法规要求。需要了解 Azure SQL 数据库和 Azure Cosmos DB 如何帮助你实现这些目标。

在这里，你将了解 Azure SQL 数据库和 Azure Cosmos DB 中的加密功能。

使用透明数据加密保护 Azure SQL 数据库

Azure SQL 数据库将数据以结构化格式存储在数据文件和事务日志文件中。可以加密这些文件，使数据保持安全。即使存储数据的硬盘驱动器遭到入侵，或者数据文件被盗也是如此。

对于 Azure SQL 数据库，可以通过透明数据加密实现此静态加密。透明数据加密不仅加密数据文件，而且还加密数据库的事务日志文件和任何备份。加密过程对于使用数据库的应用程序是完全透明的。

对于较旧的 SQL 数据库，默认情况下可能无法启用透明数据加密。默认情况下，新预配的 SQL 数据库启用了透明数据加密。

透明数据加密可确保整个数据库通过定义的过程进行加密。数据库加密密钥用于加密数据库。透明数据加密保护程序随后保护此密钥。保护程序可以是存储在 Azure Key Vault 中的密钥，也可以是为你管理的证书。

数据库加密密钥在数据库启动时解密。之后，此相同的数据库加密密钥用于解密数据库，并在时间到来时再次对其进行加密。

可以通过 Azure PowerShell、Transact-SQL 或 Azure 门户为 Azure 上的 SQL 数据库手动启用透明数据加密。在 Azure 门户中，选择 SQL 数据库，并在“安全性”下查找透明数据加密。然后选择 “打开”。

以下示例演示如何在门户中配置透明数据加密：

显示如何在 Azure 门户中启用透明数据加密的屏幕截图。

Azure Cosmos DB 数据库允许以非结构化格式存储数据。 Azure Cosmos DB 的数据库以物理方式存储在固态硬盘中。 Azure Cosmos DB 组件（如备份）存储在 HDD 中。

您的媒体附件、实际数据库或备份都可以在静止状态下受到保护。同时，此加密都不会影响 Azure Cosmos DB 的延迟和吞吐量 SLA。数据会自动静态加密，但在生成数据时和使用数据时不会自动加密。

Azure Cosmos DB 加密的幕后机制。

Azure Cosmos DB 数据库中的数据通过 AES-256 加密进行保护。在后台，Azure Cosmos DB 管理服务在机密存储的帮助下管理所有加密密钥，并在必要时将其解包。这些密钥用于加密和解密数据。 Microsoft管理密钥，并轮换加密密钥，以帮助保护数据安全。

默认情况下启用静态加密。可以使用一站式全局分发，将数据复制到任何地区，并放心所有数据都会自动加密。事实上，即使你想禁用加密也无法做到。由于默认启用加密，因此，在端到端配置 Azure Cosmos DB 以加密数据时无需执行任何作。

用户与 Azure Cosmos DB 建立安全连接并发送数据。加密要存储并保留在 Azure Cosmos DB 中的数据，并将其与任何相关的索引数据一起写入安全存储。然后定期创建受保护的备份。