نماذج تشفير البيانات
يعد فهم نماذج التشفير المختلفة وإيجابياتها وسلبياتها أمرا ضروريا لفهم كيفية قيام موفري الموارد المختلفين في Azure بتنفيذ التشفير في Rest. تتم مشاركة هذه التعريفات عبر جميع موفري الموارد في Azure لضمان اللغة والتصنيف المشتركين.
هناك ثلاثة سيناريوهات للتشفير من جانب الخادم:
التشفير من جانب الخادم باستخدام مفاتيح Service-Managed
- يقوم موفرو موارد Azure بتنفيذ عمليات التشفير وفك التشفير
- مايكروسوفت تدير المفاتيح
- وظائف سحابية كاملة
التشفير من جانب الخادم باستخدام المفاتيح التي يديرها العميل في Azure Key Vault
- يقوم موفرو موارد Azure بتنفيذ عمليات التشفير وفك التشفير
- يتحكم العميل في المفاتيح عبر Azure Key Vault
- وظائف سحابية كاملة
التشفير من جانب الخادم باستخدام المفاتيح التي يديرها العميل على الأجهزة التي يتحكم فيها العميل
- يقوم موفرو موارد Azure بتنفيذ عمليات التشفير وفك التشفير
- عناصر تحكم العميل في المفاتيح على الأجهزة التي يتحكم فيها العميل
- وظائف سحابية كاملة
تشير نماذج التشفير من جانب الخادم إلى التشفير الذي يتم تنفيذه بواسطة خدمة Azure. في هذا النموذج، يقوم موفر الموارد بتنفيذ عمليات التشفير وفك التشفير. على سبيل المثال، قد يتلقى Azure Storage البيانات في عمليات النص العادي وسيقوم بإجراء التشفير وفك التشفير داخليا. قد يستخدم موفر الموارد مفاتيح التشفير التي تديرها Microsoft أو العميل وفقا للتكوين المتوفر.
يتضمن كل نموذج من نماذج التشفير من جانب الخادم في حالة السكون خصائص مميزة لإدارة المفاتيح. ويشمل ذلك مكان وكيفية إنشاء مفاتيح التشفير وتخزينها بالإضافة إلى نماذج الوصول وإجراءات تدوير المفاتيح.
بالنسبة للتشفير من جانب العميل، ضع في اعتبارك ما يلي:
- يتعذر على خدمات Azure رؤية البيانات التي تم فك تشفيرها
- يقوم العملاء بإدارة المفاتيح وتخزينها محليا (أو في متاجر آمنة أخرى). المفاتيح غير متوفرة لخدمات Azure
- انخفاض وظائف السحابة
تنقسم نماذج التشفير المدعومة في Azure إلى مجموعتين رئيسيتين: "تشفير العميل" و "التشفير من جانب الخادم" كما ذكرنا سابقا. بغض النظر عن نموذج التشفير في حالة السكون المستخدم، توصي خدمات Azure دائما باستخدام وسيلة نقل آمنة مثل TLS أو HTTPS. ولذلك، ينبغي معالجة التشفير في النقل بواسطة بروتوكول النقل وينبغي ألا يكون عاملا رئيسيا في تحديد نموذج التشفير في حالة السكون الذي ينبغي استخدامه.
نموذج تشفير العميل
يشير نموذج تشفير العميل إلى التشفير الذي يتم تنفيذه خارج موفر الموارد أو Azure بواسطة الخدمة أو تطبيق الاتصال. يمكن إجراء التشفير بواسطة تطبيق الخدمة في Azure، أو بواسطة تطبيق يعمل في مركز بيانات العميل. في كلتا الحالتين، عند الاستفادة من نموذج التشفير هذا، يتلقى موفر موارد Azure مجموعة مشفرة من البيانات دون القدرة على فك تشفير البيانات بأي شكل من الأشكال أو الوصول إلى مفاتيح التشفير. في هذا النموذج، تتم إدارة المفاتيح بواسطة خدمة/تطبيق الاتصال وهي غير شفافة لخدمة Azure.
التشفير من جانب الخادم باستخدام المفاتيح المدارة بواسطة الخدمة
بالنسبة للعديد من العملاء ، فإن الشرط الأساسي هو التأكد من تشفير البيانات كلما كانت في حالة سكون. يتيح التشفير من جانب الخادم باستخدام المفاتيح المدارة بواسطة الخدمة هذا النموذج من خلال السماح للعملاء بوضع علامة على المورد المحدد (حساب التخزين وقاعدة بيانات SQL وما إلى ذلك) للتشفير وترك جميع جوانب الإدارة الرئيسية مثل إصدار المفاتيح والتناوب والنسخ الاحتياطي إلى Microsoft. عادة ما تدعم معظم خدمات Azure التي تدعم التشفير في وضع السكون هذا النموذج من إلغاء تحميل إدارة مفاتيح التشفير إلى Azure. يقوم موفر موارد Azure بإنشاء المفاتيح ووضعها في وحدة تخزين آمنة واستردادها عند الحاجة. وهذا يعني أن الخدمة لديها حق الوصول الكامل إلى المفاتيح والخدمة لديها السيطرة الكاملة على إدارة دورة حياة بيانات الاعتماد.
وبالتالي فإن التشفير من جانب الخادم باستخدام المفاتيح المدارة من قبل الخدمة يعالج بسرعة الحاجة إلى وجود تشفير في حالة راحة مع انخفاض النفقات العامة للعميل. عندما يكون ذلك متاحا، عادة ما يفتح العميل مدخل Azure لموفر الاشتراك والموارد المستهدف ويضع علامة في مربع يشير إلى ذلك، ويرغب في تشفير البيانات. في بعض "مديري الموارد" ، يكون التشفير من جانب الخادم باستخدام المفاتيح المدارة بالخدمة قيد التشغيل بشكل افتراضي.
يعني التشفير من جانب الخادم باستخدام المفاتيح المدارة من Microsoft أن الخدمة تتمتع بحق الوصول الكامل لتخزين المفاتيح وإدارتها. على الرغم من أن بعض العملاء قد يرغبون في إدارة المفاتيح لأنهم يشعرون أنهم يكتسبون أمانا أكبر ، إلا أنه يجب مراعاة التكلفة والمخاطر المرتبطة بحل تخزين المفاتيح المخصص عند تقييم هذا النموذج. في كثير من الحالات، قد تقرر المؤسسة أن قيود الموارد أو مخاطر الحل المحلي قد تكون أكبر من مخاطر الإدارة السحابية للتشفير في مفاتيح الراحة. ومع ذلك، قد لا يكون هذا النموذج كافيا للمؤسسات التي لديها متطلبات للتحكم في إنشاء مفاتيح التشفير أو دورة حياتها أو لجعل الموظفين المختلفين يديرون مفاتيح تشفير الخدمة عن أولئك الذين يديرون الخدمة (أي فصل إدارة المفاتيح عن نموذج الإدارة الشاملة للخدمة).
الوصول إلى المفتاح
عند استخدام التشفير من جانب الخادم باستخدام المفاتيح المدارة بواسطة الخدمة، تتم إدارة إنشاء المفاتيح وتخزينها والوصول إلى الخدمة بواسطة الخدمة. عادة ما يقوم موفرو موارد Azure الأساسيون بتخزين مفاتيح تشفير البيانات في مخزن قريب من البيانات ومتاح بسرعة ويمكن الوصول إليه أثناء تخزين مفاتيح تشفير المفاتيح في متجر داخلي آمن.
المزايا
- إعداد بسيط
- تدير Microsoft تدوير المفاتيح والنسخ الاحتياطي والتكرار
- لا يتحمل العميل التكلفة المرتبطة بالتنفيذ أو مخاطر مخطط إدارة المفاتيح المخصص.
العيوب
- لا يوجد تحكم العميل في مفاتيح التشفير (مواصفات المفتاح ، دورة الحياة ، الإلغاء ، إلخ.)
- عدم القدرة على فصل الإدارة الرئيسية عن نموذج الإدارة الشاملة للخدمة
التشفير من جانب الخادم باستخدام المفاتيح التي يديرها العميل في Azure Key Vault
بالنسبة للسيناريوهات التي يكون فيها الشرط هو تشفير البيانات في حالة السكون والتحكم في مفاتيح التشفير ، يمكن للعملاء استخدام التشفير من جانب الخادم باستخدام المفاتيح المدارة من قبل العميل في Key Vault. قد تقوم بعض الخدمات بتخزين مفتاح تشفير المفتاح الجذر فقط في Azure Key Vault مفتاح تشفير البيانات المشفر وتخزينه في موقع داخلي أقرب إلى البيانات. في هذا السيناريو ، يمكن للعملاء إحضار مفاتيحهم الخاصة إلى Key Vault (BYOK - إحضار مفتاحك الخاص) ، أو إنشاء مفاتيح جديدة ، واستخدامها لتشفير الموارد المطلوبة. بينما يقوم موفر الموارد بتنفيذ عمليات التشفير وفك التشفير، فإنه يستخدم مفتاح تشفير المفتاح الذي تم تكوينه كمفتاح الجذر لجميع عمليات التشفير.
فقدان مفاتيح التشفير الرئيسية يعني فقدان البيانات. لهذا السبب ، لا ينبغي حذف المفاتيح. يجب نسخ المفاتيح احتياطيا عند إنشائها أو تدويرها. يجب تمكين الحماية من الحذف الناعم والتطهير على أي قبو يخزن مفاتيح تشفير المفاتيح للحماية من المحو العرضي أو الضار للتشفير. بدلا من حذف مفتاح، يوصى بتعيين تمكين إلى false على مفتاح تشفير المفتاح. استخدم عناصر التحكم في الوصول لإبطال الوصول إلى المستخدمين الفرديين أو الخدمات في Azure Key Vault أو HSM المدار.
الوصول إلى المفتاح
يتضمن نموذج التشفير من جانب الخادم مع المفاتيح المدارة من قبل العميل في Azure Key Vault وصول الخدمة إلى المفاتيح لتشفير المفاتيح وفك تشفيرها حسب الحاجة. يتم تمكين التشفير في مفاتيح السكون من خلال خدمة من خلال سياسة التحكم في الوصول. تمنح هذه السياسة هوية الخدمة حق الوصول لتلقي المفتاح. يمكن تكوين خدمة Azure التي تعمل نيابة عن اشتراك مقترن بهوية في هذا الاشتراك. يمكن للخدمة إجراء مصادقة Azure Active Directory وتلقي رمز مميز للمصادقة يعرف نفسه على أنه تلك الخدمة التي تعمل نيابة عن الاشتراك. يمكن بعد ذلك تقديم هذا الرمز المميز إلى Key Vault للحصول على مفتاح تم منحه حق الوصول إليه.
بالنسبة للعمليات التي تستخدم مفاتيح التشفير، يمكن منح هوية الخدمة حق الوصول إلى أي من العمليات التالية: فك التشفير، والتشفير، وفك اللفائف، والتفاف، والتحقق، والتوقيع، والحصل، والإدراج، والتحديث، والإنشاء، والاستيراد، والحذف، والنسخ الاحتياطي، والاستعادة.
للحصول على مفتاح للاستخدام في تشفير البيانات أو فك تشفيرها في حالة السكون ، سيتم تشغيل هوية الخدمة التي سيتم تشغيل مثيل خدمة Resource Manager كما يجب أن يكون UnwrapKey (للحصول على مفتاح فك التشفير) و WrapKey (لإدراج مفتاح في مخزن المفاتيح عند إنشاء مفتاح جديد).
ملاحظة
لمزيد من التفاصيل حول تفويض Key Vault، راجع صفحة تأمين مخزن المفاتيح في وثائق Azure Key Vault.
المزايا
- التحكم الكامل في المفاتيح المستخدمة - تتم إدارة مفاتيح التشفير في Key Vault العميل تحت سيطرة العميل.
- القدرة على تشفير خدمات متعددة إلى سيد واحد
- يمكن فصل إدارة المفاتيح عن نموذج الإدارة الشاملة للخدمة
- يمكن تحديد الخدمة والموقع الرئيسي عبر المناطق
العيوب
- يتحمل العميل المسؤولية الكاملة عن إدارة الوصول إلى المفاتيح
- يتحمل العميل المسؤولية الكاملة عن إدارة دورة الحياة الرئيسية
- النفقات العامة الإضافية لتكوين الإعداد &
التشفير من جانب الخادم باستخدام المفاتيح المدارة من قبل العميل في الأجهزة التي يتحكم فيها العميل
تمكن بعض خدمات Azure نموذج إدارة مفتاح استضافة المفتاح الخاص بك (HYOK). يعد وضع الإدارة هذا مفيدا في السيناريوهات التي تكون فيها هناك حاجة إلى تشفير البيانات أثناء الراحة وإدارة المفاتيح في مستودع خاص خارج سيطرة Microsoft. في هذا النموذج، يجب على الخدمة استرداد المفتاح من موقع خارجي. تتأثر ضمانات الأداء والتوفر ، والتكوين أكثر تعقيدا. بالإضافة إلى ذلك، نظرا لأن الخدمة لديها حق الوصول إلى DEK أثناء عمليات التشفير وفك التشفير، فإن ضمانات الأمان الشاملة لهذا النموذج تشبه عندما تتم إدارة المفاتيح من قبل العميل في Azure Key Vault. ونتيجة لذلك، فإن هذا النموذج غير مناسب لمعظم المنظمات ما لم يكن لديها متطلبات إدارية رئيسية محددة. نظرا لهذه القيود، لا تدعم معظم خدمات Azure التشفير من جانب الخادم باستخدام المفاتيح المدارة من قبل الخادم في الأجهزة التي يتحكم فيها العميل.
الوصول إلى المفتاح
عند استخدام التشفير من جانب الخادم باستخدام المفاتيح المدارة من قبل الخدمة في الأجهزة التي يتحكم فيها العميل، يتم الاحتفاظ بالمفاتيح على نظام تم تكوينه بواسطة العميل. توفر خدمات Azure التي تدعم هذا النموذج وسيلة لإنشاء اتصال آمن بمخزن المفاتيح الذي يوفره العميل.
المزايا
- التحكم الكامل في مفتاح الجذر المستخدم - تتم إدارة مفاتيح التشفير بواسطة متجر مقدم من العميل
- القدرة على تشفير خدمات متعددة إلى سيد واحد
- يمكن فصل إدارة المفاتيح عن نموذج الإدارة الشاملة للخدمة
- يمكن تحديد الخدمة والموقع الرئيسي عبر المناطق
العيوب
- المسؤولية الكاملة عن تخزين المفاتيح والأمان والأداء والتوافر
- المسؤولية الكاملة عن إدارة الوصول الرئيسي
- المسؤولية الكاملة عن إدارة دورة الحياة الرئيسية
- تكاليف كبيرة للإعداد والتكوين والصيانة المستمرة
- زيادة الاعتماد على توفر الشبكة بين مركز بيانات العملاء ومراكز بيانات Azure.
الخدمات المساندة
خدمات Azure التي تدعم كل نموذج تشفير:
| المنتج أو الميزة أو الخدمة | Server-Side استخدام مفتاح Service-Managed | Server-Side استخدام مفتاح Customer-Managed | Client-Side استخدام مفتاح Client-Managed |
|---|---|---|---|
| الذكاء الاصطناعي والتعلّم الآلي | |||
| Azure للبحث المعرفي | نعم | نعم | - |
| خدمات Azure المعرفية | نعم | نعم | - |
| التعلم الآلي من Azure | نعم | نعم | - |
| مشرف المحتوى | نعم | نعم | - |
| وجه | نعم | نعم | - |
| فهم اللغة | نعم | نعم | - |
| Personalizer | نعم | نعم | - |
| QnA Maker | نعم | نعم | - |
| خدمات الكلام | نعم | نعم | - |
| نص Translator | نعم | نعم | - |
| Power BI | نعم | نعم، RSA 4096 بت | - |
| التحليلات | |||
| Azure Stream Analytics | نعم | نعم**، بما في ذلك HSM المدار | - |
| مراكز الأحداث | نعم | نعم | - |
| الوظائف | نعم | نعم | - |
| خدمات تحليل Azure | نعم | - | - |
| Azure Data Catalog | نعم | - | - |
| Azure HDInsight | نعم | الكل | - |
| Azure Monitor Application Insights | نعم | نعم | - |
| Azure Monitor Log Analytics | نعم | نعم | - |
| Azure Data Explorer (Kusto) | نعم | نعم | - |
| Azure Data Factory | نعم | نعم، بما في ذلك HSM المدارة | - |
| Azure Data Lake Store | نعم | نعم، RSA 2048 بت | - |
| الحاويات | |||
| خدمة Azure Kubernetes | نعم | نعم، بما في ذلك HSM المدارة | - |
| Container Instances | نعم | نعم | - |
| Container Registry | نعم | نعم | - |
| Compute | |||
| الأجهزة الظاهرية | نعم | نعم، بما في ذلك HSM المدارة | - |
| مجموعة مقياس الجهاز الظاهري | نعم | نعم، بما في ذلك HSM المدارة | - |
| SAP HANA | نعم | نعم | - |
| App Service | نعم | نعم**، بما في ذلك HSM المدار | - |
| Automation | نعم | نعم | - |
| دالات Azure | نعم | نعم**، بما في ذلك HSM المدار | - |
| مدخل Azure | نعم | نعم**، بما في ذلك HSM المدار | - |
| Logic Apps | نعم | نعم | - |
| تطبيقات Azure-managed | نعم | نعم**، بما في ذلك HSM المدار | - |
| ناقل الخدمة | نعم | نعم | - |
| استرداد الموقع | نعم | نعم | - |
| قواعد البيانات | |||
| SQL Server على الأجهزة الظاهرية | نعم | نعم | نعم |
| قاعدة بيانات Azure SQL | نعم | نعم، RSA 3072 بت، بما في ذلك HSM المدار | نعم |
| المثيل المُدار لـ Azure SQL Database | نعم | نعم، RSA 3072 بت، بما في ذلك HSM المدار | نعم |
| Azure SQL Database for MariaDB | نعم | - | - |
| Azure SQL Database for MySQL | نعم | نعم | - |
| Azure SQL Database for PostgreSQL | نعم | نعم | - |
| تحليلات Azure Synapse | نعم | نعم، RSA 3072 بت، بما في ذلك HSM المدار | - |
| قاعدة بيانات SQL Server الممتدة | نعم | نعم، RSA 3072 بت | نعم |
| مخزن الجداول | نعم | نعم | نعم |
| Azure Cosmos DB | نعم (تعرف على المزيد) | نعم (تعرف على المزيد) | - |
| Azure Databricks | نعم | نعم | - |
| خدمة ترحيل قاعدة البيانات في Azure | نعم | غير متوفر* | - |
| الهوية | |||
| Azure Active Directory | نعم | - | - |
| خدمات مجال Microsoft Azure Active Directory | نعم | نعم | - |
| التكامل | |||
| ناقل الخدمة | نعم | نعم | نعم |
| Event Grid | نعم | - | - |
| API Management | نعم | - | - |
| خدمات إنترنت الأشياء | |||
| IoT Hub | نعم | نعم | نعم |
| توفير أجهزة IoT Hub | نعم | نعم | - |
| الإدارة والحوكمة | |||
| استرداد موقع Azure | نعم | - | - |
| ترحيل Azure | نعم | نعم | - |
| الإعلام | |||
| Media Services | نعم | نعم | نعم |
| الأمان | |||
| Microsoft Defender لإنترنت الأشياء | نعم | نعم | - |
| Microsoft Sentinel | نعم | نعم | - |
| التخزين | |||
| مخزن البيانات الثنائية الكبيرة | نعم | نعم، بما في ذلك HSM المدارة | نعم |
| Premium تخزين النقطة | نعم | نعم، بما في ذلك HSM المدارة | نعم |
| تخزين على القرص | نعم | نعم، بما في ذلك HSM المدارة | - |
| Ultra Disk Storage | نعم | نعم، بما في ذلك HSM المدارة | - |
| التخزين المدار على القرص | نعم | نعم، بما في ذلك HSM المدارة | - |
| تخزين الملفات | نعم | نعم، بما في ذلك HSM المدارة | - |
| تخزين الملفات Premium | نعم | نعم، بما في ذلك HSM المدارة | - |
| مزامنة الملف | نعم | نعم، بما في ذلك HSM المدارة | - |
| مخزن قائمة الانتظار | نعم | نعم، بما في ذلك HSM المدارة | نعم |
| Data Lake Storage Gen2 | نعم | نعم، بما في ذلك HSM المدارة | نعم |
| Avere vFXT | نعم | - | - |
| ذاكرة التخزين المؤقت في Azure لـ Redis | نعم | غير متوفر* | - |
| ملفات Azure NetApp | نعم | نعم | - |
| تخزين الأرشيف | نعم | نعم | - |
| StorSimple | نعم | نعم | نعم |
| Azure Backup | نعم | نعم | نعم |
| Data Box | نعم | - | نعم |
| حافة صندوق البيانات | نعم | نعم | - |
* هذه الخدمة لا تستمر البيانات. يتم تشفير ذاكرة التخزين المؤقت العابرة، إن وجدت، باستخدام مفتاح Microsoft.
** تدعم هذه الخدمة تخزين البيانات في Key Vault الخاص بك أو حساب التخزين أو خدمة أخرى مستمرة للبيانات تدعم بالفعل تشفير Server-Side باستخدام مفتاح Customer-Managed.
الخطوات التالية
- تعرف على كيفية استخدام التشفير في Azure.
- تعرف على كيفية استخدام Azure للتشفير المزدوج للتخفيف من التهديدات التي تأتي مع تشفير البيانات.