تشفير Form Recognizer للبيانات الثابتة

  • مقالة
  • قراءة خلال 5 دقائق

يقوم Azure Form Recognizer تلقائيا بتشفير بياناتك عند استمرارها في السحابة. يحمي تشفير أداة التعرف على النماذج بياناتك لمساعدتك على الوفاء بالتزامات الأمان والامتثال المؤسسية.

حول تشفير الخدمات المعرفية

يتم تشفير البيانات وفك تشفيرها باستخدام تشفير AES 256 بت المتوافق مع FIPS 140-2. التشفير وفك التشفير شفافان ، مما يعني أن التشفير والوصول تتم إدارتهما نيابة عنك. بياناتك آمنة بشكل افتراضي ولا تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من التشفير.

حول إدارة مفاتيح التشفير

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. هناك أيضا خيار لإدارة اشتراكك باستخدام مفاتيحك الخاصة التي تسمى المفاتيح المدارة من قبل العميل (CMK). يوفر CMK مرونة أكبر لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضا تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك. إذا تم تكوين CMK لاشتراكك، توفير تشفير مزدوج، مما يوفر طبقة ثانية من الحماية، مع السماح لك بالتحكم في مفتاح التشفير من خلال Azure Key Vault.

هام

المفاتيح المدارة من قبل العميل هي الموارد المتاحة فقط التي تم إنشاؤها بعد 11 مايو 2020. لاستخدام CMK مع أداة التعرف على النماذج، ستحتاج إلى إنشاء مورد جديد للتعرف على النماذج. بمجرد إنشاء المورد، يمكنك استخدام Azure Key Vault لإعداد هويتك المدارة.

المفاتيح المدارة من قبل العميل باستخدام Azure Key Vault

يجب عليك استخدام Azure Key Vault لتخزين المفاتيح التي يديرها العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مورد الخدمات المعرفية والمخزن الرئيسي في نفس المنطقة وفي نفس مستأجر Azure Active Directory (Azure AD)، ولكن يمكن أن يكونا في اشتراكات مختلفة. لمزيد من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟.

عند إنشاء مورد جديد للخدمات المعرفية، يتم تشفيره دائما باستخدام المفاتيح المدارة من قبل Microsoft. لا يمكن تمكين المفاتيح التي يديرها العميل في وقت إنشاء المورد. يتم تخزين المفاتيح المدارة من قبل العميل في Azure Key Vault، ويجب تزويد مخزن المفاتيح بنهج الوصول التي تمنح أذونات المفاتيح للهوية المدارة المقترنة بمورد الخدمات المعرفية. لا تتوفر الهوية المدارة إلا بعد إنشاء المورد باستخدام طبقة التسعير المطلوبة ل CMK.

سيؤدي تمكين المفاتيح المدارة من قبل العملاء أيضا إلى تمكين هوية مدارة معينة من قبل النظام، وهي ميزة من ميزات Azure AD. بمجرد تمكين الهوية المدارة المعينة من قبل النظام، سيتم تسجيل هذا المورد في Azure Active Directory. بعد التسجيل، سيتم منح الهوية المدارة حق الوصول إلى Key Vault المحدد أثناء إعداد المفتاح المدار من قبل العميل.

هام

إذا قمت بتعطيل الهويات المدارة المعينة من قبل النظام، فستتم إزالة الوصول إلى مخزن المفاتيح ولن يكون من الممكن الوصول إلى أي بيانات مشفرة باستخدام مفاتيح العميل. ستتوقف أي ميزات تعتمد على هذه البيانات عن العمل.

هام

لا تدعم الهويات المُدارة حالياً سيناريوهات عبر الدليل. عند تكوين المفاتيح المدارة من قبل العميل في مدخل Azure، يتم تعيين هوية مدارة تلقائيا تحت الأغطية. إذا قمت لاحقا بنقل الاشتراك أو مجموعة الموارد أو المورد من دليل Azure AD إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالمورد إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل بعد الآن. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Azure AD في الأسئلة المتداولة والمشكلات المعروفة المتعلقة بالهويات المدارة لموارد Azure.

تكوين Azure Key Vault

يتطلب استخدام المفاتيح المدارة من قبل العميل تعيين خاصيتين في مخزن المفاتيح، وهما الحذف الناعموعدم التطهير. لا يتم تمكين هذه الخصائص افتراضيّاً، ولكن يمكن تمكينها باستخدام PowerShell أو Azure CLI في مخزن مفاتيح جديد أو موجود.

هام

إذا لم يكن لديك خصائص الحذف الناعم وعدم الإزالة ممكنة وقمت بحذف مفتاحك، فلن تتمكن من استرداد البيانات الموجودة في مورد الخدمة المعرفية.

لمعرفة كيفية تمكين هذه الخصائص على مخزن مفاتيح موجود، راجع القسمين المعنونين تمكين الحذف الناعموتمكين الحماية من التطهير في إحدى المقالات التالية:

يتم دعم مفاتيح RSA بحجم 2048 فقط مع تشفير تخزين Azure. لمزيد من المعلومات حول المفاتيح، راجع مفاتيح Key Vault في حول Azure Key Vault المفاتيح والأسرار والشهادات.

تمكين المفاتيح التي يديرها العميل لموردك

لتمكين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، اتبع هذه الخطوات.

  1. انتقل إلى مورد الخدمات المعرفية.

  2. على الشفرة الإعدادات لمورد الخدمات المعرفية، انقر فوق تشفير. حدد خيار المفاتيح المدارة من قبل العميل ، كما هو موضح في الشكل التالي.

    Screenshot showing how to select Customer Managed Keys

تحديد مفتاح

بعد تمكين المفاتيح التي يديرها العميل، ستتاح لك الفرصة لتحديد مفتاح لإقرانه بمورد الخدمات المعرفية.

تحديد مفتاح كعنوان URI

لتحديد مفتاح كعنوان URI، اتبع الخطوات التالية:

  1. لتحديد موقع عنوان URI الرئيسي في مدخل Azure، انتقل إلى مخزن المفاتيح، وحدد إعداد المفاتيح . حدد المفتاح المطلوب، ثم انقر على المفتاح لعرض إصداراته. حدد إصدارا رئيسيا لعرض إعدادات هذا الإصدار.

  2. انسخ قيمة حقل معرف المفتاح الذي يوفر عنوان URI.

    Screenshot showing key vault key URI

  3. في إعدادات التشفير لحساب التخزين الخاص بك، حدد الخيار إدخال مفتاح URI .

  4. الصق عنوان URI الذي نسخته في حقل Key URI .

    Screenshot showing how to enter key URI

  5. حدد الاشتراك الذي يحتوي على مخزن المفاتيح.

  6. حفظ التغييرات.

تحديد مفتاح من مخزن مفاتيح

لتحديد مفتاح من مخزن مفاتيح، تأكد أولا من أن لديك مخزن مفاتيح يحتوي على مفتاح. لتحديد مفتاح من مخزن مفاتيح، اتبع الخطوات التالية:

  1. اختر الخيار تحديد من Key Vault.

  2. حدد مخزن المفاتيح الذي يحتوي على المفتاح الذي تريد استخدامه.

  3. حدد المفتاح من مخزن المفاتيح.

    Screenshot showing customer-managed key option

  4. حفظ التغييرات.

تحديث الإصدار الرئيسي

عند إنشاء إصدار جديد من مفتاح، قم بتحديث مورد الخدمات المعرفية لاستخدام الإصدار الجديد. اتبع الخطوات التالية:

  1. انتقل إلى مورد الخدمات المعرفية واعرض إعدادات التشفير .
  2. أدخل عنوان URL لإصدار المفتاح الجديد. بدلا من ذلك ، يمكنك تحديد قبو المفاتيح والمفتاح مرة أخرى لتحديث الإصدار.
  3. حفظ التغييرات.

استخدام مفتاح مختلف

لتغيير المفتاح المستخدم للتشفير، اتبع الخطوات التالية:

  1. انتقل إلى مورد الخدمات المعرفية واعرض إعدادات التشفير .
  2. أدخل URI للمفتاح الجديد. بدلا من ذلك، يمكنك تحديد مخزن المفاتيح واختيار مفتاح جديد.
  3. حفظ التغييرات.

تدوير المفاتيح التي يديرها العميل

يمكنك تدوير مفتاح يديره العميل في Azure Key Vault وفقًا لسياسات الامتثال الخاصة بك. عند تدوير المفتاح، يجب تحديث مورد الخدمات المعرفية لاستخدام مفتاح URI الجديد. لمعرفة كيفية تحديث المورد لاستخدام إصدار جديد من المفتاح في مدخل Azure، راجع تحديث إصدار المفتاح.

لا يؤدي تدوير المفتاح إلى إعادة تشفير البيانات في المورد. لا يوجد أي إجراء آخر مطلوب من المستخدم.

إبطال الوصول إلى المفاتيح التي يديرها العميل

لإلغاء الوصول إلى المفاتيح التي يديرها العميل، استخدم PowerShell أو Azure CLI. لمزيد من المعلومات، راجع Azure Key Vault PowerShell أو Azure Key Vault CLI. يؤدي إبطال الوصول إلى حظر الوصول بشكل فعال إلى جميع البيانات الموجودة في مورد الخدمات المعرفية، حيث يتعذر على الخدمات المعرفية الوصول إلى مفتاح التشفير.

تعطيل المفاتيح التي يديرها العميل

عند تعطيل المفاتيح التي يديرها العميل، يتم تشفير مورد الخدمات المعرفية باستخدام المفاتيح المدارة من قبل Microsoft. لتعطيل المفاتيح التي يديرها العميل، اتبع الخطوات التالية:

  1. انتقل إلى مورد الخدمات المعرفية واعرض إعدادات التشفير .
  2. قم بإلغاء تحديد خانة الاختيار الموجودة بجوار إعداد استخدام المفتاح الخاص بك .

الخطوات التالية