تشفير البيانات في Azure Data Lake Storage Gen1

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يساعدك التشفير في Azure Data Lake Storage Gen1 على حماية بياناتك وتنفيذ سياسات أمان المؤسسة وتلبية متطلبات الامتثال التنظيمي. تقدم هذه المقالة نظرة عامة على التصميم، وتناقش بعض الجوانب التقنية للتنفيذ.

يدعم Data Lake Storage Gen1 تشفير البيانات أثناء الراحة وأثناء النقل. بالنسبة للبيانات في حالة السكون، تدعم Data Lake Storage Gen1 "قيد التشغيل افتراضيا"، التشفير الشفاف. إليك ما تعنيه هذه المصطلحات بمزيد من التفصيل:

• تشغيل بشكل افتراضي: عند إنشاء حساب Data Lake Storage Gen1 جديد، يتيح الإعداد الافتراضي التشفير. بعد ذلك ، يتم تشفير البيانات المخزنة في Data Lake Storage Gen1 دائما قبل تخزينها على الوسائط الثابتة. هذا هو سلوك كافة البيانات، ولا يمكن تغييره بعد إنشاء حساب.
• شفاف: Data Lake Storage Gen1 يقوم تلقائيا بتشفير البيانات قبل الاستمرار، ويقوم بفك تشفير البيانات قبل استرجاعها. يتم تكوين التشفير وإدارته على مستوى حساب Data Lake Storage Gen1 بواسطة مسؤول. لا يتم إجراء أي تغييرات على واجهات برمجة تطبيقات الوصول إلى البيانات. وبالتالي ، لا يلزم إجراء أي تغييرات في التطبيقات والخدمات التي تتفاعل مع Data Lake Storage Gen1 بسبب التشفير.

البيانات العابرة (المعروفة أيضا باسم البيانات المتحركة) مشفرة دائما في Data Lake Storage Gen1. بالإضافة إلى تشفير البيانات قبل تخزينها في الوسائط المستمرة ، يتم تأمين البيانات دائما أثناء النقل باستخدام HTTPS. HTTPS هو البروتوكول الوحيد المدعوم لواجهات REST Data Lake Storage Gen1. يوضح الرسم التخطيطي التالي كيفية تشفير البيانات في Data Lake Storage Gen1:

إعداد التشفير باستخدام Data Lake Storage Gen1

يتم إعداد تشفير Data Lake Storage Gen1 أثناء إنشاء الحساب، ويتم تمكينه دائما بشكل افتراضي. يمكنك إما إدارة المفاتيح بنفسك ، أو السماح Data Lake Storage Gen1 بإدارتها نيابة عنك (هذا هو الإعداد الافتراضي).

لمزيد من المعلومات، راجع البدء.

كيف يعمل التشفير في Data Lake Storage Gen1

تغطي المعلومات التالية كيفية إدارة مفاتيح التشفير الرئيسية، وتشرح الأنواع الثلاثة المختلفة من المفاتيح التي يمكنك استخدامها في تشفير البيانات Data Lake Storage Gen1.

مفاتيح التشفير الرئيسية

يوفر Data Lake Storage Gen1 وضعين لإدارة مفاتيح التشفير الرئيسية (MEKs). في الوقت الحالي ، افترض أن مفتاح التشفير الرئيسي هو مفتاح المستوى الأعلى. يلزم الوصول إلى مفتاح التشفير الرئيسي لفك تشفير أي بيانات مخزنة في Data Lake Storage Gen1.

الوضعان لإدارة مفتاح التشفير الرئيسي هما كما يلي:

• المفاتيح المدارة للخدمة
• مفاتيح مُدارة بواسطة العملاء

في كلا الوضعين، يتم تأمين مفتاح التشفير الرئيسي عن طريق تخزينه في Azure Key Vault. Key Vault هي خدمة مدارة بالكامل وآمنة للغاية على Azure ويمكن استخدامها لحماية مفاتيح التشفير. لمزيد من المعلومات، راجع Key Vault.

فيما يلي مقارنة موجزة للقدرات التي يوفرها وضعا إدارة مجاهدي خلق.

السؤال	المفاتيح المدارة للخدمة	مفاتيح مُدارة بواسطة العملاء
كيف يتم تخزين البيانات؟	يتم تشفيره دائما قبل تخزينه.	يتم تشفيره دائما قبل تخزينه.
أين يتم تخزين مفتاح التشفير الرئيسي؟	Key Vault	Key Vault
هل يتم تخزين أي مفاتيح تشفير في الخارج الخارجي Key Vault؟	لا	لا
هل يمكن استرداد منظمة مجاهدي خلق من قبل Key Vault؟	كلا. بعد تخزين منظمة مجاهدي خلق في Key Vault ، لا يمكن استخدامها إلا للتشفير وفك التشفير.	كلا. بعد تخزين منظمة مجاهدي خلق في Key Vault ، لا يمكن استخدامها إلا للتشفير وفك التشفير.
روبوت Who يملك Key Vault المثال ومنظمة مجاهدي خلق؟	خدمة Data Lake Storage Gen1	أنت تملك مثيل Key Vault، الذي ينتمي إلى اشتراك Azure الخاص بك. يمكن إدارة منظمة مجاهدي خلق في Key Vault بواسطة البرامج أو الأجهزة.
هل يمكنك إلغاء الوصول إلى منظمة مجاهدي خلق لخدمة Data Lake Storage Gen1؟	لا	نعم. يمكنك إدارة قوائم التحكم في الوصول في Key Vault، وإزالة إدخالات التحكم في الوصول إلى هوية الخدمة لخدمة Data Lake Storage Gen1.
هل يمكنك حذف منظمة مجاهدي خلق نهائيا؟	لا	نعم. إذا قمت بحذف منظمة مجاهدي خلق من Key Vault ، فلا يمكن فك تشفير البيانات الموجودة في حساب Data Lake Storage Gen1 من قبل أي شخص ، بما في ذلك خدمة Data Lake Storage Gen1. إذا قمت بعمل نسخة احتياطية صريحة من منظمة مجاهدي خلق قبل حذفها من Key Vault ، فيمكن استعادة منظمة مجاهدي خلق ، ويمكن بعد ذلك استرداد البيانات. ومع ذلك ، إذا لم تقم بعمل نسخة احتياطية من منظمة مجاهدي خلق قبل حذفها من Key Vault ، فلا يمكن أبدا فك تشفير البيانات الموجودة في حساب Data Lake Storage Gen1 بعد ذلك.

بصرف النظر عن هذا الاختلاف في من يدير منظمة مجاهدي خلق والحالة Key Vault التي تقيم فيها ، فإن بقية التصميم هو نفسه لكلا الوضعين.

من المهم أن تتذكر ما يلي عند اختيار وضع مفاتيح التشفير الرئيسية:

• يمكنك اختيار ما إذا كنت تريد استخدام المفاتيح المدارة من قبل العملاء أو المفاتيح المدارة للخدمة عند توفير حساب Data Lake Storage Gen1.
• بعد توفير حساب Data Lake Storage Gen1، لا يمكن تغيير الوضع.

تشفير البيانات وفك تشفيرها

هناك ثلاثة أنواع من المفاتيح التي يتم استخدامها في تصميم تشفير البيانات. ويقدم الجدول التالي ملخصا:

المفتاح	الاختصار	المرتبطه	موقع التخزين	النوع	ملاحظات
مفتاح التشفير الرئيسي	مجاهدي خلق	حساب Data Lake Storage Gen1	Key Vault	متماثل	يمكن إدارتها من قبل Data Lake Storage Gen1 أو أنت.
مفتاح تشفير البيانات	ديك	حساب Data Lake Storage Gen1	التخزين المستمر، الذي تديره خدمة Data Lake Storage Gen1	متماثل	يتم تشفير DEK من قبل منظمة مجاهدي خلق. DEK المشفر هو ما يتم تخزينه على الوسائط الثابتة.
مفتاح تشفير الكتلة	بيك	كتلة من البيانات	بلا	متماثل	يتم اشتقاق BEK من DEK وكتلة البيانات.

يوضح الرسم البياني التالي هذه المفاهيم:

خوارزمية زائفة عندما يتم فك تشفير ملف:

1. تحقق مما إذا كان DEK لحساب Data Lake Storage Gen1 مخبأ مؤقتا وجاهزا للاستخدام.
   • إذا لم يكن الأمر كذلك ، فاقرأ DEK المشفر من التخزين المستمر ، وأرسله إلى Key Vault لفك تشفيره. قم بتخزين DEK الذي تم فك تشفيره مؤقتا في الذاكرة. وهو الآن جاهز للاستخدام.
2. لكل كتلة من البيانات في الملف:
   • اقرأ كتلة البيانات المشفرة من التخزين المستمر.
   • قم بإنشاء BEK من DEK وكتلة البيانات المشفرة.
   • استخدم BEK لفك تشفير البيانات.

خوارزمية زائفة عندما يتم تشفير كتلة من البيانات:

1. تحقق مما إذا كان DEK لحساب Data Lake Storage Gen1 مخبأ مؤقتا وجاهزا للاستخدام.
   • إذا لم يكن الأمر كذلك ، فاقرأ DEK المشفر من التخزين المستمر ، وأرسله إلى Key Vault لفك تشفيره. قم بتخزين DEK الذي تم فك تشفيره مؤقتا في الذاكرة. وهو الآن جاهز للاستخدام.
2. إنشاء BEK فريدة من نوعها لكتلة البيانات من DEK.
3. قم بتشفير كتلة البيانات باستخدام BEK، باستخدام تشفير AES-256.
4. قم بتخزين كتلة البيانات المشفرة للبيانات على التخزين المستمر.

ملاحظة

يتم تخزين DEK دائما مشفرا بواسطة MEK ، سواء على الوسائط المستمرة أو المخزنة مؤقتا في الذاكرة.

دوران المفتاح

عندما تستخدم مفاتيح يديرها العميل ، يمكنك تدوير MEK. لمعرفة كيفية إعداد حساب Data Lake Storage Gen1 باستخدام المفاتيح التي يديرها العميل، راجع البدء.

المتطلبات الأساسية

عند إعداد حساب Data Lake Storage Gen1، تكون قد اخترت استخدام مفاتيحك الخاصة. لا يمكن تغيير هذا الخيار بعد إنشاء الحساب. تفترض الخطوات التالية أنك تستخدم مفاتيح يديرها العميل (أي أنك اخترت مفاتيحك الخاصة من Key Vault).

لاحظ أنه إذا كنت تستخدم الخيارات الافتراضية للتشفير، تشفير بياناتك دائما باستخدام مفاتيح يديرها Data Lake Storage Gen1. في هذا الخيار، ليس لديك القدرة على تدوير المفاتيح، حيث تتم إدارتها بواسطة Data Lake Storage Gen1.

كيفية تدوير منظمة مجاهدي خلق في Data Lake Storage Gen1

1. تسجيل الدخول إلى ⁧مدخل Microsoft Azure⁧.

2. استعرض وصولا إلى المثيل Key Vault الذي يخزن مفاتيحك المرتبطة بحسابك Data Lake Storage Gen1. حدد المفاتيح.

   

3. حدد المفتاح المقترن بحسابك Data Lake Storage Gen1، وقم بإنشاء إصدار جديد من هذا المفتاح. لاحظ أن Data Lake Storage Gen1 يدعم حاليا تدوير المفاتيح إلى إصدار جديد من المفتاح فقط. لا يدعم التدوير إلى مفتاح مختلف.

   

4. استعرض للوصول إلى حساب Data Lake Storage Gen1، وحدد التشفير.

   

5. تقوم رسالة بإعلامك بتوفر إصدار مفتاح جديد من المفتاح. انقر فوق تدوير المفتاح لتحديث المفتاح إلى الإصدار الجديد.

   

يجب أن تستغرق هذه العملية أقل من دقيقتين ، ولا يوجد وقت توقف متوقع بسبب دوران المفاتيح. بعد اكتمال العملية، يكون الإصدار الجديد من المفتاح قيد الاستخدام.

هام

بعد اكتمال عملية تدوير المفاتيح، لم يعد الإصدار القديم من المفتاح مستخدما بشكل نشط لتشفير البيانات الجديدة. ومع ذلك ، قد تكون هناك حالات قد يحتاج فيها الوصول إلى البيانات القديمة إلى المفتاح القديم. للسماح بقراءة هذه البيانات القديمة ، لا تحذف المفتاح القديم