Azure 中的加密
Azure 中的技術保護措施,例如加密的通訊和作業程式,有助於保護您的資料安全。 您也可以彈性地實作其他加密功能,並管理您自己的密碼編譯金鑰。 無論客戶設定為何,Microsoft 都會套用加密來保護 Azure 中的客戶資料。 Microsoft 也可讓您透過一系列的進階技術來控制裝載在 Azure 中的資料,以加密、控制和管理密碼編譯金鑰,以及控制和稽核對資料的存取。 此外,Azure 儲存體提供一組完整的安全性功能,可讓開發人員建置安全的應用程式。
當資料從某個位置移至另一個位置時,Azure 提供許多保護資料的機制。 Microsoft 會在雲端服務與客戶之間旅行時,使用 TLS 來保護資料。 Microsoft 的資料中心會與連線到 Azure 服務的用戶端系統交涉 TLS 連線。 轉寄密碼 (FS) 透過唯一金鑰來保護客戶用戶端系統與 Microsoft 雲端服務之間的連線。 連線也會使用以 RSA 為基礎的 2,048 位加密金鑰長度。 這種組合讓某人難以攔截和存取傳輸中的資料。
您可以使用 用戶端加密、HTTPS 或 SMB 3.0,在應用程式與 Azure 之間保護傳輸中的資料。 您可以針對自己的虛擬機器 (VM) 與使用者之間的流量啟用加密。 透過Azure 虛擬網路,您可以使用業界標準的 IPsec 通訊協定來加密公司 VPN 閘道與 Azure 之間的流量,以及位於您虛擬網路上的 VM 之間的流量。
針對待用資料,Azure 提供許多加密選項,例如支援 AES-256,讓您選擇最符合您需求的資料儲存體案例。 使用 儲存體服務加密寫入 Azure 儲存體時,資料可以自動加密,而 VM 所使用的作業系統和資料磁片可以加密。 如需詳細資訊,請參閱 Azure 中 Windows 虛擬機器的安全性建議。 此外,您可以使用共用存取簽章來授與 Azure 儲存體中資料物件的委派存 取權。 Azure 也會針對Azure SQL資料庫和Data Warehouse使用透明資料加密,為待用資料提供加密。
如需 Azure 中加密的詳細資訊,請參閱 Azure 加密概觀 和 Azure 待用資料加密。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料。
Azure 磁片加密
Azure 磁片加密可讓您加密 Windows 和 Linux 基礎結構即服務 (IaaS) VM 磁片。 Azure 磁片加密會使用 Windows 的 BitLocker 功能和 Linux 的 DM-Crypt 功能,為作業系統和資料磁片提供磁片區層級加密。 它也可確保 VM 磁片上的所有資料都會在您的 Azure 儲存體中待用時加密。 Azure 磁片加密與 Azure 金鑰保存庫整合,可協助您控制、管理及稽核加密金鑰和秘密的使用。
如需詳細資訊,請參閱 Azure 中 Windows 虛擬機器的安全性建議。
Azure 儲存體服務加密
使用 Azure 儲存體服務加密時,Azure 儲存體會先自動加密資料,再將資料保存到儲存體,並在擷取之前解密資料。 加密、解密和金鑰管理程式對使用者而言完全透明。 Azure 儲存體服務加密可用於Azure Blob 儲存體和Azure 檔案儲存體。 您也可以搭配 Azure 儲存體服務加密使用 Microsoft 管理的加密金鑰,也可以使用自己的加密金鑰。 (如需使用您自己的金鑰的詳細資訊,請參閱在 Azure 金鑰保存庫 中使用客戶管理的金鑰進行儲存體服務加密。如需使用 Microsoft 管理金鑰的相關資訊,請參閱待用資料的儲存體服務加密。) 此外,您也可以自動使用加密。 例如,您可以使用Azure 儲存體資源提供者 REST API、適用于 .NET 的儲存體資源提供者客戶端程式庫、Azure PowerShell或Azure CLI,以程式設計方式在儲存體帳戶上啟用或停用儲存體服務加密。
某些 Microsoft 365 服務會使用 Azure 來儲存資料。 例如,SharePoint Online 和 商務用 OneDrive將資料儲存在 Azure Blob 儲存體中,而 Microsoft Teams 會將其聊天服務的資料儲存在資料表、Blob 和佇列中。 此外,Microsoft Purview 合規性入口網站中的合規性管理員功能會將客戶輸入的資料以加密形式儲存在Azure Cosmos DB、平臺即服務 (PaaS) 、全域散發的多模型資料庫中。 Azure 儲存體服務加密會加密儲存在 Azure Blob 儲存體和資料表中的資料,而 Azure 磁片加密會加密佇列中的資料,以及加密 Windows 和 IaaS 虛擬機器磁片,以提供作業系統和資料磁片的磁片區加密。 此解決方案可確保虛擬機器磁片上的所有資料都會在您的 Azure 儲存體中待用時加密。 Azure Cosmos DB 中的待用加密 是使用數種安全性技術來實作,包括安全金鑰儲存系統、加密的網路和密碼編譯 API。
Azure Key Vault
安全金鑰管理不只是加密最佳做法的核心;這對於保護雲端中的資料也很重要。 Azure 金鑰保存庫可讓您加密金鑰和小型秘密,例如使用儲存在硬體安全性模組中金鑰的密碼, (HSM) 。 Azure 金鑰保存庫是 Microsoft 建議的解決方案,可用來管理和控制雲端服務所使用加密金鑰的存取權。 存取金鑰的許可權可以指派給服務或具有 Azure Active Directory 帳戶的使用者。 Azure 金鑰保存庫可減輕組織設定、修補及維護 HSM 和金鑰管理軟體的需求。 使用 Azure 金鑰保存庫,Microsoft 永遠不會看到您的金鑰,且應用程式無法直接存取它們;您可維持控制權。 您也可以在 HSM 中匯入或產生金鑰。 具有包含 Azure 資訊保護 的訂用帳戶的組織可以將其 Azure 資訊保護 租使用者設定為使用客戶管理的金鑰攜帶您自己的金鑰 (BYOK) ) ,並記錄其使用量。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應