Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор использования шифрования в Microsoft Azure. Здесь приведены сведения об основных областях шифрования, включая шифрование неактивных данных, шифрование данных в процессе, а также об управлении ключами с помощью Azure Key Vault.
Шифрование неактивных данных
К неактивным данным относятся сведения, хранящиеся в постоянном хранилище на физическом носителе в любом цифровом формате. Microsoft Azure предлагает различные решения для хранения данных для разных нужд, включая дисковое и файловое хранилище, а также хранилище больших двоичных объектов и таблиц. Корпорация Майкрософт также предоставляет шифрование для защиты базы данных SQL Azure, Azure Cosmos DB и Azure Data Lake.
Вы можете использовать шифрование AES 256 для защиты неактивных данных для служб в рамках программного обеспечения как службы (SaaS), платформы как службы (PaaS) и инфраструктуры как службы (IaaS) облачных моделей.
Для более подробного обсуждения того, как Azure шифрует данные в состоянии покоя, см. Azure Data Encryption at Rest.
Модели шифрования Azure
Azure поддерживает различные модели шифрования, включая шифрование на стороне сервера с помощью ключей, управляемых службами, ключей, управляемых клиентами в Key Vault, или ключей на оборудовании, управляемом клиентом. Используя шифрование на стороне клиента, вы можете управлять ключами локально или в другом безопасном расположении.
Шифрование на стороне клиента
Вы выполняете шифрование на стороне клиента за пределами Azure. Сюда входят:
- Данные, зашифрованные приложением, работающим в центре обработки данных или приложением-службой
- Данные, которые уже зашифрованы при получении Azure
С помощью шифрования на стороне клиента поставщики облачных служб не имеют доступа к ключам шифрования и не могут расшифровывать эти данные. Вы полностью управляете ключами.
Шифрование на стороне сервера
Три модели шифрования на стороне сервера предлагают различные характеристики управления ключами:
- Управляемые службой ключи: обеспечивает сочетание элементов управления и удобства с низкими затратами.
- Управляемые клиентом ключи: обеспечивает контроль над ключами, включая поддержку собственных ключей (BYOK) или позволяет создавать новые ключи.
- Ключи, управляемые службой в оборудовании, контролируемом клиентом: позволяет управлять ключами в вашем собственном репозитории вне контроля Microsoft (также известном как "Храните свой собственный ключ" или HYOK).
Шифрование дисков Azure
Это важно
Шифрование дисков Azure запланировано к прекращению 15 сентября 2028 г. До этой даты вы можете продолжать использовать шифрование дисков Azure без нарушений. 15 сентября 2028 г. рабочие нагрузки с поддержкой ADE будут выполняться, но зашифрованные диски не смогут разблокироваться после перезагрузки виртуальной машины, что приведет к нарушению работы службы.
Используйте шифрование на узле для новых виртуальных машин. Все виртуальные машины с поддержкой ADE (включая резервные копии) должны перенестися в шифрование на узле до даты выхода на пенсию, чтобы избежать прерывания работы службы. Дополнительные сведения см. в статье "Миграция из шифрования дисков Azure в шифрование на узле ".
Все управляемые диски, моментальные снимки и образы шифруются по умолчанию с помощью шифрования службы хранилища с ключом, управляемым службой. Для виртуальных машин шифрование на узле обеспечивает сквозное шифрование данных виртуальной машины, включая временные диски и кэши дисков ОС/данных. Azure также предлагает варианты управления ключами в Azure Key Vault. Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков".
Шифрование службы хранилища Azure
Вы можете шифровать данные в состоянии покоя в хранилище объектов BLOB в Azure и общих папках Azure как для серверных, так и для клиентских сценариев.
Шифрование службы хранилища Azure (SSE) автоматически шифрует данные перед сохранением и автоматически расшифровывает данные при получении. Шифрование службы хранилища использует 256-разрядное шифрование AES, одно из самых надежных блочных шифров.
Шифрование базы данных SQL Azure
База данных SQL Azure — это служба реляционной базы данных общего назначения, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные и XML-файлы. База данных SQL поддерживает шифрование на стороне сервера с помощью функции прозрачного шифрования данных (TDE) и шифрования на стороне клиента с помощью функции Always Encrypted.
прозрачное шифрование данных.
TDE шифрует файлы данных SQL Server, Базы данных SQL Azure и Azure Synapse Analytics в режиме реального времени с помощью ключа шифрования базы данных (DEK). TDE включен по умолчанию для только что созданных баз данных SQL Azure.
Всегда зашифровано
Функция Always Encrypted в SQL Azure позволяет шифровать данные в клиентских приложениях перед его хранением в Базе данных SQL Azure. Вы можете включить делегирование локального администрирования базы данных третьим лицам, сохраняя разделение между теми, кто владеет и может просматривать данные и тех, кто управляет им.
Шифрование на уровне ячейки или столбца
База данных SQL Azure позволяет применять симметричное шифрование к столбцу данных с помощью Transact-SQL. Этот подход называется шифрованием на уровне ячеек или шифрованием уровня столбцов (CLE), так как его можно использовать для шифрования определенных столбцов или ячеек с разными ключами шифрования. Этот подход обеспечивает более подробную возможность шифрования, чем TDE.
Шифрование базы данных Azure Cosmos DB
Azure Cosmos DB — это глобально распределенная база данных Майкрософт с несколькими моделями. Пользовательские данные, хранящиеся в Azure Cosmos DB, в ненезависимом хранилище (твердотельные диски) шифруются по умолчанию с помощью ключей, управляемых службой. Вы можете добавить второй уровень шифрования с собственными ключами с помощью функции ключей, управляемых клиентом (CMK).
Шифрование неактивных данных в Azure Data Lake
Azure Data Lake — это корпоративный репозиторий каждого типа данных, собранных в одном месте до любого формального определения требований или схемы. Data Lake Store поддерживает прозрачное шифрование, неактивное по умолчанию и настроенное во время создания учетной записи. По умолчанию Azure Data Lake Store управляет ключами, но вы можете самостоятельно управлять ими.
При шифровании и расшифровке данных используются три типа ключей: главный ключ шифрования (MEK), ключ шифрования данных (DEK) и ключ шифрования блоков (BEK). MEK шифрует DEK, который хранится на постоянном носителе, и BEK является производным от DEK и блока данных. При управлении собственными ключами можно повернуть МЕК.
Шифрование передаваемых данных
Azure предоставляет множество механизмов хранения данных при переходе из одного расположения в другое.
Шифрование слоя связи с данными
При каждом перемещении трафика клиента Azure между центрами обработки данных ( вне физических границ, не контролируемых корпорацией Майкрософт), метод шифрования слоя связи с данными с использованием стандартов безопасности MAC IEEE 802.1AE (также известных как MACsec) применяется из точки в точку через базовое сетевое оборудование. Устройства шифруют пакеты перед отправкой, что предотвращает физические атаки "man-in-the-the-middle" или snooping/wiretapping. Это шифрование MACsec по умолчанию используется для всего трафика Azure, путешествующего в пределах региона или между регионами.
Шифрование TLS
Корпорация Майкрософт предоставляет клиентам возможность использовать протокол TLS для защиты данных при перемещении между облачными службами и клиентами. Центры обработки данных Майкрософт устанавливают подключение по протоколу TLS с клиентскими системами, подключающимися к службам Azure. Протокол TLS обеспечивает строгую проверку подлинности, конфиденциальность сообщений и целостность данных.
Это важно
Azure переходит к запросу TLS 1.2 или более поздней версии для всех подключений к службам Azure. Большинство служб Azure завершили этот переход к 31 августа 2025 г. Убедитесь, что приложения используют TLS 1.2 или более поздней версии.
Идеальная секретность пересылки (PFS) защищает подключения между клиентскими системами клиентов и облачными службами Microsoft с использованием уникальных ключей. Подключения поддерживают 2048-разрядную длину ключей на основе RSA, длину ключей ECC 256-разрядной версии, проверку подлинности сообщений SHA-384 и шифрование данных AES-256.
Транзакции со службой хранилища Azure
При взаимодействии со службой хранилища Azure на портале Azure все транзакции выполняются по протоколу HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS. При вызове REST API можно применить протокол HTTPS, включив требование безопасной передачи для учетной записи хранения.
Подписанные URL-адреса (SAS), которые можно использовать для делегирования доступа к объектам службы хранилища Azure, включают возможность указать, что можно использовать только протокол HTTPS.
Шифрование SMB
SMB 3.0, используемый для доступа к общим папкам Azure, поддерживает шифрование и доступен в Windows Server 2012 R2, Windows 8, Windows 8.1 и Windows 10. Он поддерживает доступ между регионами и доступ на рабочем столе.
ШИФРОВАНИЕ VPN
Вы можете подключиться к Azure через виртуальную частную сеть, которая создает безопасный туннель для защиты конфиденциальности данных, отправляемых по сети.
VPN-шлюзы Azure
VPN-шлюз Azure отправляет зашифрованный трафик между виртуальной сетью и локальным расположением через общедоступное подключение или между виртуальными сетями. Виртуальные сети типа "сеть — сеть" используют IPsec для шифрования транспорта.
VPN типа "точка — сеть"
VPN-подключения типа "точка — сеть" позволяют отдельным клиентским компьютерам осуществлять доступ к виртуальной сети Azure. Протокол безопасного туннелирования сокетов (SSTP) создает VPN-туннель. Дополнительные сведения см. в разделе "Настройка подключения типа "точка — сеть" к виртуальной сети.
VPN-подключения типа "сеть — сеть"
Подключение VPN-шлюза типа "сеть — сеть" подключает локальную сеть к виртуальной сети Azure через VPN-туннель IPsec/IKE. Дополнительные сведения см. в разделе "Создание подключения типа "сеть — сеть".
Управление ключами с помощью Key Vault
Без надлежащей защиты и управления ключами шифрование является бесполезным. Azure предлагает несколько ключевых решений для управления, включая Azure Key Vault, Управляемый HSM Azure Key Vault, Azure Cloud HSM и Платёжный HSM Azure.
Key Vault удаляет необходимость настройки, исправления и обслуживания аппаратных модулей безопасности (HSM) и программного обеспечения управления ключами. С помощью Key Vault вы сохраняете контроль. Корпорация Майкрософт никогда не видит ключи и приложения не имеют прямого доступа к ним. Кроме того, аппаратные модули безопасности позволяют импортировать и создавать ключи.
Дополнительные сведения об управлении ключами в Azure см. в статье "Управление ключами" в Azure.