Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор использования шифрования в Microsoft Azure. Здесь приведены сведения об основных областях шифрования, включая шифрование неактивных данных, шифрование данных в процессе, а также об управлении ключами с помощью Azure Key Vault.
Шифрование неактивных данных
К неактивным данным относятся сведения, хранящиеся в постоянном хранилище на физическом носителе в любом цифровом формате. Microsoft Azure предлагает различные решения для хранения данных для разных нужд, включая дисковое и файловое хранилище, а также хранилище больших двоичных объектов и таблиц. Корпорация Майкрософт также предоставляет шифрование для защиты базы данных SQL Azure, Azure Cosmos DB и Azure Data Lake.
Шифрование неактивных данных с помощью шифрования AES 256 доступно для служб в рамках программного обеспечения как службы (SaaS), платформы как службы (PaaS) и инфраструктуры как службы (IaaS) облачных моделей.
Подробные сведения о том, как шифруются данные в состоянии покоя в Azure, см. в статье «Шифрование данных в состоянии покоя в Azure».
Модели шифрования Azure
Azure поддерживает различные модели шифрования, включая шифрование на стороне сервера с помощью ключей, управляемых службами, ключей, управляемых клиентами в Key Vault, или ключей на оборудовании, управляемом клиентом. Шифрование на стороне клиента позволяет хранить ключи в локальной среде или в другом защищенном расположении, а также управлять ими.
Шифрование на стороне клиента
Шифрование на стороне клиента выполняется за пределами Azure. Сюда входят:
- Данные, зашифрованные приложением, выполняющимся в центре обработки данных клиента или приложением-службой
- Данные, которые уже зашифрованы при получении в Azure
При шифровании на стороне клиента поставщики облачных служб не имеют доступа к ключам шифрования и не могут расшифровать эти данные. Вы полностью управляете ключами.
Шифрование на стороне сервера
Три модели шифрования на стороне сервера предлагают различные характеристики управления ключами:
- Управляемые службой ключи: обеспечивает сочетание элементов управления и удобства с низкими затратами
- Управляемые клиентом ключи: обеспечивает контроль над ключами, включая поддержку собственных ключей (BYOK) или позволяет создавать новые ключи.
- Ключи, управляемые службой, в оборудовании, управляемом клиентом: позволяет управлять ключами в собственном репозитории, вне элемента управления Майкрософт (также называемого "Размещение собственного ключа" или HYOK)
Шифрование дисков Azure
Это важно
Шифрование дисков Azure для виртуальных машин и масштабируемых наборов виртуальных машин будет прекращено 15 сентября 2028 г. Новые клиенты должны использовать шифрование на узле для всех новых виртуальных машин. Существующие клиенты должны планировать перенос текущих виртуальных машин с поддержкой ADE в шифрование на узле до даты выхода на пенсию, чтобы избежать нарушения работы службы. См. статью "Миграция из шифрования дисков Azure в шифрование на узле".
Все управляемые диски, моментальные снимки и образы шифруются в службе "Шифрование службы хранилища" с помощью ключа, управляемого службой. Azure также предлагает варианты защиты временных дисков, кэшей и управления ключами в Azure Key Vault. Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков".
Шифрование службы хранилища Azure
Неактивные данные, размещенные в хранилище BLOB-объектов Azure и файловых ресурсах Azure, можно зашифровать на стороне сервера и на стороне клиента.
Шифрование службы хранилища Azure (SSE) может автоматически шифровать данные перед их хранением и автоматически расшифровывать их при получении. Шифрование службы хранилища использует 256-разрядное шифрование AES, одно из самых надежных блочных шифров.
Шифрование базы данных SQL Azure
База данных SQL Azure — это служба реляционной базы данных общего назначения, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные и XML-файлы. База данных SQL поддерживает шифрование на стороне сервера путем прозрачного шифрования данных (TDE) и шифрование на стороне клиента посредством функции Always Encrypted.
прозрачное шифрование данных.
TDE шифрует файлы данных SQL Server, Базы данных SQL Azure и Azure Synapse Analytics в режиме реального времени с помощью ключа шифрования базы данных (DEK). TDE включен по умолчанию для только что созданных баз данных SQL Azure.
Всегда зашифровано
Функция Always Encrypted в SQL Azure позволяет шифровать данные в клиентских приложениях перед его хранением в Базе данных SQL Azure. Вы можете включить делегирование локального администрирования базы данных третьим лицам и сохранить разделение между теми, кто владеет и может просматривать данные и тех, кто управляет им.
Шифрование на уровне ячейки или столбца
База данных SQL Azure позволяет применять симметричное шифрование к столбцу данных с помощью Transact-SQL. Этот подход называется шифрованием на уровне ячеек или шифрованием на уровне столбцов (CLE), так как его можно использовать для шифрования определенных столбцов или ячеек с разными ключами шифрования, что обеспечивает более подробную возможность шифрования, чем TDE.
Шифрование базы данных Azure Cosmos DB
Azure Cosmos DB — это глобально распределенная база данных Майкрософт с несколькими моделями. Пользовательские данные, хранящиеся в Azure Cosmos DB, в ненезависимом хранилище (твердотельные диски) шифруются по умолчанию с помощью ключей, управляемых службой. Вы можете добавить второй уровень шифрования с собственными ключами с помощью функции ключей , управляемых клиентом (CMK ).
Шифрование Data Lake Azure
Azure Data Lake — это корпоративный репозиторий данных. Data Lake Store поддерживает прозрачное шифрование неактивных данных по умолчанию, которое настраивается во время создания учетной записи. По умолчанию Azure Data Lake Store управляет ключами автоматически, но вы можете управлять ими вручную.
Шифрование передаваемых данных
Azure предлагает множество механизмов защиты данных при их перемещении из одного расположения в другое.
Шифрование слоя связи с данными
При каждом перемещении трафика клиента Azure между центрами обработки данных (вне физических границ, не контролируемых корпорацией Майкрософт), метод шифрования слоя связи с данными с использованием стандартов безопасности MAC IEEE 802.1AE (также известных как MACsec) применяется из точки в точку через базовое сетевое оборудование. Пакеты шифруются на устройствах перед отправкой, предотвращая атаки типа "человек посередине", а также атаки, связанные с подслушиванием или перехватом данных. Это шифрование MACsec по умолчанию используется для всего трафика Azure, путешествующего в пределах региона или между регионами.
Шифрование TLS
Корпорация Майкрософт предоставляет клиентам возможность использовать протокол TLS для защиты данных при перемещении между облачными службами и клиентами. Центры обработки данных Майкрософт устанавливают подключение по протоколу TLS с клиентскими системами, подключающимися к службам Azure. Протокол TLS обеспечивает строгую проверку подлинности, конфиденциальность сообщений и целостность данных.
Это важно
Azure переходит к запросу TLS 1.2 или более поздней версии для всех подключений к службам Azure. Большинство служб Azure завершили этот переход к 31 августа 2025 г. Убедитесь, что приложения используют TLS 1.2 или более поздней версии.
Идеальная секретность пересылки (PFS) защищает подключения между клиентскими системами клиентов и облачными службами Microsoft с использованием уникальных ключей. Подключения поддерживают 2048-разрядную длину ключей на основе RSA, длину ключей ECC 256-разрядной версии, проверку подлинности сообщений SHA-384 и шифрование данных AES-256.
Транзакции со службой хранилища Azure
При взаимодействии со службой хранилища Azure на портале Azure все транзакции выполняются по протоколу HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS. При вызове REST API можно применить протокол HTTPS, включив требование безопасной передачи для учетной записи хранения.
Подписанные строки доступа (SAS), которые можно использовать для делегирования доступа к объектам Azure Storage, включают возможность указать, что можно использовать только протокол HTTPS.
Шифрование SMB
SMB 3.0, используемый для доступа к общим папкам Azure, поддерживает шифрование и доступен в Windows Server 2012 R2, Windows 8, Windows 8.1 и Windows 10. Он обеспечивает доступ к ресурсам между регионами и на рабочем столе.
ШИФРОВАНИЕ VPN
К Azure можно подключиться через виртуальную частную сеть, создающую безопасный туннель, защищающий данные, отправляемые по сети.
VPN-шлюзы Azure
VPN-шлюз Azure может отправлять зашифрованный трафик между виртуальной сетью и локальным расположением через общедоступное подключение или между виртуальными сетями. Виртуальные сети типа "сеть — сеть" используют IPsec для шифрования транспорта.
VPN типа "точка — сеть"
VPN-подключения типа "точка — сеть" позволяют отдельным клиентским компьютерам осуществлять доступ к виртуальной сети Azure. Протокол безопасного туннелирования сокетов (SSTP) используется для создания VPN-туннеля. Дополнительные сведения см. в разделе "Настройка подключения типа "точка — сеть" к виртуальной сети.
VPN-подключения типа "сеть — сеть"
Подключение VPN-шлюза типа "сеть — сеть" подключает локальную сеть к виртуальной сети Azure через VPN-туннель IPsec/IKE. Дополнительные сведения см. в разделе "Создание подключения типа "сеть — сеть".
Управление ключами с помощью Key Vault
Без надлежащей защиты и управления ключами шифрование становится бесполезным. Azure Key Vault — это рекомендуемое корпорацией Майкрософт решение для управления и контроля доступа к ключам шифрования, используемым облачными службами.
Key Vault освобождает организации от необходимости настройки, обновления и обслуживания аппаратных модулей безопасности и программного обеспечения по управлению ключами. При использовании Key Vault вы сохраняете контроль. Корпорация Майкрософт никогда не видит ключи и приложения не имеют прямого доступа к ним. Кроме того, аппаратные модули безопасности позволяют импортировать и создавать ключи.
Дополнительные сведения об управлении ключами в Azure см. в статье "Управление ключами" в Azure.