Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как Microsoft Azure использует шифрование. Она охватывает основные области шифрования, включая шифрование в состоянии покоя, шифрование в транзите и управление ключами с помощью Azure Key Vault.
Шифрование данных в состоянии покоя
Данные в состоянии покоя включают информацию, которая находится в постоянном хранилище на физических носителях в любом цифровом формате. Azure предлагает множество решений для хранения данных, включая файлы, диски, blob и таблицы. Azure также предоставляет шифрование для защиты База данных SQL Azure, Azure Cosmos DB и Azure Data Lake Storage.
Вы можете использовать шифрование AES-256 для защиты данных в состоянии покоя для сервисов в различных облачных моделях программного обеспечения как услуги (SaaS), платформы как услуги (PaaS) и инфраструктуры как услуги (IaaS).
Для получения дополнительной информации о том, как Azure шифрует данные в состоянии покоя, см. раздел «Шифрование данных в покое».
Модели шифрования Azure
Azure поддерживает различные модели шифрования, включая шифрование на стороне сервера с помощью ключей, управляемых службами, ключей, управляемых клиентами в Key Vault, или ключей на оборудовании, управляемом клиентом. Используя шифрование на стороне клиента, вы можете управлять ключами локально или в другом безопасном расположении.
Шифрование на стороне клиента
Вы выполняете шифрование на стороне клиента за пределами Azure. Сюда входят:
- Данные, зашифрованные приложением, запущенным в вашем дата-центре, или сервисным приложением.
- Данные, которые уже зашифрованы, когда Azure их получает.
Используя шифрование на стороне клиента, облачные провайдеры не имеют доступа к ключам шифрования и не могут расшифровать данные. Вы имеете полный контроль над ключами.
Шифрование на стороне сервера
Три модели шифрования на стороне сервера предлагают различные характеристики управления ключами:
- Управляемые службой ключи: обеспечивает сочетание элементов управления и удобства с низкими затратами.
- Ключи, управляемые клиентом: дают контроль над ключами, включая поддержку Bring Your Own Key (BYOK), или позволяют генерировать новые.
- Ключи, управляемые сервисом, в управляемом клиентском оборудовании: позволяет управлять ключами в вашем проприетарном репозитории вне контроля Microsoft. Эта модель также называется Host Your Own Key (HYOK).
Шифрование дисков Azure
Это важно
Шифрование дисков Azure запланировано к прекращению 15 сентября 2028 г. До этой даты вы можете продолжать использовать шифрование дисков Azure без нарушений. 15 сентября 2028 г. рабочие нагрузки с поддержкой ADE будут выполняться, но зашифрованные диски не смогут разблокироваться после перезагрузки виртуальной машины, что приведет к нарушению работы службы.
Используйте шифрование на узле для новых виртуальных машин или рассмотрите размеры конфиденциальных виртуальных машин с шифрованием дисков ОС для рабочих нагрузок конфиденциальных вычислений. Все виртуальные машины с поддержкой ADE (включая резервные копии) должны перенестися в шифрование на узле до даты выхода на пенсию, чтобы избежать прерывания работы службы. Дополнительные сведения см. в статье "Миграция из шифрования дисков Azure в шифрование на узле ".
Azure шифрует все управляемые диски, снимки и изображения по умолчанию, используя шифрование сервиса хранения с ключом, управляемым сервисом. Для виртуальных машин шифрование на хосте обеспечивает сквозное шифрование данных вашей виртуальной машины, включая временные диски, а также кэши ОС и дисков данных. Azure также предлагает варианты управления ключами в Azure Key Vault. Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков".
Шифрование служба хранилища Azure
Вы можете шифровать данные в состоянии покоя в Хранилище BLOB-объектов Azure и Azure file shares как для серверных, так и клиентских сценариев.
Шифрование служба хранилища Azure автоматически шифрует данные до хранения и расшифровывает их при получении. Шифрование служба хранилища Azure использует 256-битное шифрование AES — сильный блочный шифр.
Шифрование базы данных SQL Azure
База данных SQL Azure — это служба реляционной базы данных общего назначения, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные и XML-файлы. База данных SQL поддерживает шифрование на стороне сервера с помощью функции прозрачного шифрования данных (TDE) и шифрования на стороне клиента с помощью функции Always Encrypted.
прозрачное шифрование данных.
прозрачное шифрование данных (TDE) шифрует файлы данных SQL Server, База данных SQL Azure и Azure Synapse Analytics в режиме реального времени с помощью ключа шифрования базы данных (DEK). TDE включен по умолчанию для только что созданных баз данных SQL Azure.
Всегда зашифровано
Функция Always Encrypted в Azure SQL помогает шифровать данные внутри клиентских приложений перед их хранением в База данных SQL Azure. Вы можете включить делегирование локального администрирования базы данных третьим лицам, сохраняя разделение между теми, кто владеет и может просматривать данные и тех, кто управляет им.
Шифрование на уровне ячейки или столбца
База данных SQL Azure позволяет применять симметричное шифрование к столбцу данных с помощью Transact-SQL. Этот подход называется шифрованием на уровне ячеек или шифрованием на уровне столбцов (CLE). Вы можете использовать его для шифрования определённых столбцов или ячеек с разными ключами шифрования, что обеспечивает более детальное шифрование, чем TDE.
Шифрование базы данных Azure Cosmos DB
Azure Cosmos DB — это глобально распределённая многомодельная база данных. Azure Cosmos DB по умолчанию шифрует пользовательские данные, хранящиеся в энергонезависимых хранилищах, таких как твердотельные диски, с помощью ключей, управляемых сервисом. Вы можете добавить второй уровень шифрования с собственными ключами с помощью функции ключей, управляемых клиентом (CMK).
Шифрование неактивных данных в Azure Data Lake Storage
Azure Data Lake Storage — это облачное корпоративное решение для data lake, построенное на базе служба хранилища Azure. Azure Data Lake Storage шифрует все данные в состоянии покоя, используя ключи, управляемые Microsoft, или ключи, управляемые клиентом. Дополнительные сведения см. в статье Шифрование службы хранилища Azure для неактивных данных.
Шифрование при передаче
Azure предоставляет множество механизмов для сохранения конфиденциальности данных при их перемещении из одного места в другое.
Шифрование слоя связи с данными
Всякий раз, когда клиентский трафик Azure перемещается между дата-центрами по линиям за пределами физических границ, контролируемых Microsoft, Azure применяет метод шифрования на уровне канала передачи данных, используя стандарты безопасности MAC IEEE 802.1AE, также известные как MACsec. Сетевая аппаратная часть шифрует пакеты перед их отправкой, что помогает предотвратить атаки с физическим лицом посередине, слежкой или прослушкой. Шифрование MACsec по умолчанию включено для всего трафика Azure, проходящего внутри региона или между ними.
Шифрование TLS
Клиенты могут использовать Transport Layer Security (TLS) для защиты данных при их перемещении между сервисами Azure и клиентскими системами. Microsoft дата-центры ведут переговоры о TLS-соединениях с клиентскими системами, которые подключаются к сервисам Azure. Протокол TLS обеспечивает строгую проверку подлинности, конфиденциальность сообщений и целостность данных.
Это важно
Azure переходит к запросу TLS 1.2 или более поздней версии для всех подключений к службам Azure. Большинство служб Azure завершили этот переход к 31 августа 2025 г. Убедитесь, что приложения используют TLS 1.2 или более поздней версии.
Perfect Forward Secrecy (PFS) защищает соединения между клиентскими системами клиентов и облачными сервисами Microsoft, используя уникальные ключи для каждого соединения. Подключения поддерживают 2048-разрядную длину ключей на основе RSA, длину ключей ECC 256-разрядной версии, проверку подлинности сообщений SHA-384 и шифрование данных AES-256.
Транзакции со службой хранилища Azure
При взаимодействии со службой хранилища Azure на портале Azure все транзакции выполняются по протоколу HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS. При вызове REST API можно применить протокол HTTPS, включив требование безопасной передачи для учетной записи хранения.
Сигнатуры общего доступа (SAS), которые можно использовать для делегирования доступа объектам служба хранилища Azure, включают опцию указания, что можно использовать только протокол HTTPS.
Шифрование SMB
Общие папки SMB Файлы Azure поддерживают шифрование каналов SMB, включая AES-256-GCM, AES-128-GCM и AES-128-CCM. Используйте текущие клиенты SMB 3.x для безопасного доступа к файловым ресурсам Azure между регионами и с поддерживаемых настольных операционных систем.
ШИФРОВАНИЕ VPN
Вы можете подключиться к Azure через виртуальную частную сеть, которая создает безопасный туннель для защиты конфиденциальности данных, отправляемых по сети.
VPN-шлюзы Azure
VPN-шлюз Azure отправляет зашифрованный трафик между виртуальной сетью и локальным расположением через общедоступное подключение или между виртуальными сетями. Виртуальные сети типа "сеть — сеть" используют IPsec для шифрования транспорта.
VPN типа "точка — сеть"
VPN point-to-site позволяют отдельным клиентским компьютерам получать доступ к виртуальной сети Azure. VPN point-to-site может использовать OpenVPN, протокол Secure Socket Tunneling Protocol (SSTP) или IKEv2, в зависимости от клиента и конфигурации аутентификации. Для получения дополнительной информации см. раздел «О VPN от точки к месту».
VPN-подключения типа "сеть — сеть"
Подключение VPN-шлюза типа "сеть — сеть" подключает локальную сеть к виртуальной сети Azure через VPN-туннель IPsec/IKE. Дополнительные сведения см. в разделе "Создание подключения типа "сеть — сеть".
Управление ключами с помощью Key Vault
Шифрование зависит от правильной защиты и управления ключами. Azure предлагает несколько ключевых решений для управления, включая Azure Key Vault, Управляемый HSM Azure Key Vault, Azure Cloud HSM и Платёжный HSM Azure.
Key Vault удаляет необходимость настройки, исправления и обслуживания аппаратных модулей безопасности (HSM) и программного обеспечения управления ключами. Используя Key Vault, вы сохраняете контроль — приложения не имеют прямого доступа к вашим ключам. Кроме того, аппаратные модули безопасности позволяют импортировать и создавать ключи. Для самых сильных гарантий изоляции ключей Azure Key Vault Managed HSM предоставляет домен безопасности, принадлежащий клиенту, и Microsoft не имеет доступа к вашим ключевым материалам.
Дополнительные сведения об управлении ключами в Azure см. в статье "Управление ключами" в Azure.