本文提供如何在 Microsoft Azure 中使用加密的概觀。 它涵蓋加密的主要領域,包括待用加密、傳輸中加密,以及使用 Azure Key Vault 的金鑰管理。
待用資料加密
待用資料包含位於實體媒體之永續性儲存體中任何數位格式的資訊。 Microsoft Azure 提供各種資料儲存體解決方案來符合不同的需求,包括檔案、磁碟、Blob 和資料表儲存體。 Microsoft 也提供加密來保護 Azure SQL Database、Azure Cosmos DB 和 Azure Data Lake。
使用 AES 256 加密的靜態資料加密適用於軟體即服務 (SaaS)、平台即服務 (PaaS) 和基礎結構即服務 (IaaS) 雲端模型中的服務。
如需如何在 Azure 中加密待用資料的詳細討論,請參閱 Azure 待用資料加密。
Azure 加密模型
Azure 支援各種加密模型,包括使用下列方式進行的伺服器端加密:服務管理的金鑰、Key Vault 中客戶管理的金鑰,或受客戶控制硬體上客戶管理的金鑰。 使用用戶端加密時,您可以在內部部署或另一個安全位置中管理和儲存金鑰。
用戶端加密
用戶端加密是在 Azure 外部執行。 其中包括:
- 由在客戶資料中心執行的應用程式或服務應用程式加密的資料
- Azure 接收時已加密的資料
使用用戶端加密時,雲端服務提供者無法存取加密金鑰,也無法解密此資料。 您會維持對金鑰的完全掌控。
伺服器端加密
三種伺服器端加密模型提供不同的金鑰管理特性:
- 服務管理金鑰:提供控制與便利性的結合,同時降低額外負荷
- 客戶管理的金鑰:可讓您控制金鑰,包括自備金鑰 (BYOK) 支援,或允許您產生新金鑰
- 客戶控制硬體中的服務管理金鑰:可讓您在 Microsoft 控制之外管理專屬存放庫中的金鑰 (也稱為裝載您自己的金鑰或 HYOK)
Azure 磁碟加密
這很重要
Azure 磁碟加密預定於 2028 年 9 月 15 日退休。 在此之前,您可以繼續使用 Azure 磁碟加密,不會中斷。 2028 年 9 月 15 日,啟用 ADE 的工作負載仍可繼續運行,但加密磁碟在虛擬機重啟後將無法解鎖,導致服務中斷。
為新的虛擬機器使用主機端加密。 所有啟用 ADE 的虛擬機(包括備份)必須在退休日前遷移至主機加密,以避免服務中斷。 詳情請參見「 從 Azure 磁碟加密遷移到主機加密 」。
所有受控磁碟、快照集和映像都會使用儲存體服務加密來加密,而此儲存體服務加密會使用服務管理金鑰。 Azure 也提供保護暫存磁碟、快取,以及在 Azure Key Vault 管理金鑰的選項。 如需詳細資訊,請參閱受控磁碟加密選項概觀。
Azure 儲存體服務加密
Azure Blob 儲存體和 Azure 檔案共用中的待用資料可以在伺服器端和用戶端案例中進行加密。
Azure 儲存體服務加密 (SSE) 可以在儲存資料前自動加密資料,並在您擷取資料時自動將資料解密。 儲存服務加密使用 256 位元 AES 加密,這是可用的最強區塊密碼之一。
Azure SQL 資料庫加密
Azure SQL 資料庫 是一種一般用途的關聯式資料庫服務,支援關聯式資料、JSON、空間和 XML 等結構。 SQL Database 透過透明資料加密 (TDE) 功能支援伺服器端加密,並透過 Always Encrypted 功能支援用戶端加密。
透明資料加密
TDE 會使用資料庫加密金鑰 (DEK) 即時加密 SQL Server、 Azure SQL 資料庫和 Azure Synapse Analytics 資料檔案。 TDE 預設會在新建立的 Azure SQL 資料庫上啟用。
永遠加密
Azure SQL 中的 Always Encrypted 功能可讓您先加密用戶端應用程式內的資料,再將資料儲存在 Azure SQL 資料庫中。 您可以將內部部署資料庫管理委派給協力廠商,並在擁有和檢視資料的人員與管理資料的人員之間保持區隔。
資料格層級或資料行層級的加密
使用 Azure SQL Database 時,您可以使用 Transact-SQL 將對稱式加密套用到資料行。 這種方法稱為 Cell 級加密或直欄級加密 (CLE),因為您可以使用它來加密具有不同加密金鑰的特定直欄或 Cell,從而為您提供比 TDE 更精細的加密功能。
Azure Cosmos DB 資料庫加密
Azure Cosmos DB 是 Microsoft 之全域散發的多模型資料庫。 儲存在非揮發性儲存體 (固態磁碟機) 中的 Azure Cosmos DB 中的使用者資料預設會使用服務受控金鑰進行加密。 您可以使用 客戶管理的金鑰 (CMK) 功能,使用自己的金鑰新增第二層加密。
Azure Data Lake 加密
Azure Data Lake 是全企業的數據存放庫。 Data Lake Store 支援「預設開啟」的透明待用資料加密,這會在建立帳戶期間進行設定。 根據預設,Azure Data Lake Store 會為您管理金鑰,但您可以選擇自行管理這些金鑰。
傳輸中資料加密
Azure 提供許多機制,可在將資料從一個位置移至另一個位置時,確保資料的隱私權。
資料鏈路層加密
每當 Azure 客戶流量在資料中心之間移動時 (在不受 Microsoft 控制的實體界限之外),就會透過基礎網路硬體從點對點套用使用 IEEE 802.1AE MAC 安全性標準 (也稱為 MACsec) 的資料連結層加密方法。 封包在傳送前在裝置上加密,防止實體「中間人」或窺探/竊聽攻擊。 此 MACsec 加密預設會針對區域內或區域之間傳輸的所有 Azure 流量開啟。
TLS 加密
Microsoft 讓客戶能夠使用 傳輸層安全性 (TLS) 通訊協定來保護資料在雲端服務與客戶之間傳輸時。 Microsoft 資料中心會與連線到 Azure 服務的用戶端系統進行交涉以達成 TLS 連線。 TLS 提供強大的身份驗證、訊息隱私和完整性。
這很重要
Azure 正在要求所有與 Azure 服務的連線必須使用 TLS 1.2 或更高版本。 大部分的 Azure 服務都會在 2025 年 8 月 31 日之前完成此轉換。 請確定您的應用程式使用 TLS 1.2 或更新版本。
完全正向保密 (PFS) 透過唯一金鑰保護客戶用戶端系統與 Microsoft 雲端服務之間的連線。 連線支援 RSA 型 2,048 位元金鑰長度、ECC 256 位元金鑰長度、SHA-384 訊息驗證和 AES-256 資料加密。
Azure 儲存體交易
當您透過 Azure 入口網站與 Azure 儲存體互動時,所有交易都會透過 HTTPS 進行。 您也可以透過 HTTPS 使用儲存體 REST API 來與 Azure 儲存體互動。 當您呼叫 REST API 時,您可以啟用儲存體帳戶的安全傳輸需求,以強制使用 HTTPS。
共用存取簽章 (SAS) 可用來委派 Azure 儲存體物件的存取權,其中包含指定只能使用 HTTPS 通訊協定的選項。
SMB 加密
SMB 3.0 用於存取 Azure 檔案儲存體共用,支援加密,並可在 Windows Server 2012 R2、Windows 8、Windows 8.1 和 Windows 10 中使用。 它允許跨區域存取和桌面存取。
VPN 加密
您可以透過虛擬私人網路連線到 Azure,以建立安全通道來保護透過網路所傳送資料的隱私權。
Azure VPN 閘道
Azure VPN 閘道 可以透過公用連線,或在虛擬網路之間,在您的虛擬網路與內部部署位置之間傳送加密流量。 站對站 VPN 使用 IPsec \(英文\) 進行傳輸加密。
點對站 VPN
點對站 VPN 可讓個別用戶端電腦存取 Azure 虛擬網路。 安全通訊端通道協定(SSTP)用於建立VPN隧道。 如需詳細資訊,請參閱 設定虛擬網路的點對站連線。
站對站 VPN
站對站 VPN 閘道連線會透過 IPsec/IKE VPN 通道將您的內部部署網路連線到 Azure 虛擬網路。 如需詳細資訊,請參閱 建立站對站連線。
使用 Key Vault 的金鑰管理
如果沒有適當的金鑰保護和管理,加密就會變得毫無用處。 Azure 金鑰保存庫是 Microsoft 建議的解決方案,用於管理和控制雲端服務所使用加密金鑰的存取。
Key Vault 讓組織不需要設定、修補及維護硬體安全模組 (HSM) 和金鑰管理軟體。 使用 Key Vault,您可以保持控制權,Microsoft 永遠不會看到您的金鑰,而且應用程式無法直接存取金鑰。 您也可以在 HSM 中匯入或產生金鑰。
如需 Azure 中金鑰管理的詳細資訊,請參閱 Azure 中的金鑰管理。