نظرة عامة على تشفير Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توفر هذه المقالة نظرة عامة حول كيفية استخدام التشفير في Microsoft Azure. وهو يغطي المجالات الرئيسية للتشفير، بما في ذلك التشفير أثناء الراحة، والتشفير أثناء الطيران، وإدارة المفاتيح باستخدام Azure Key Vault. يتضمن كل قسم روابط لمعلومات أكثر تفصيلا.

تشفير البيانات الثابتة

تتضمن البيانات في حالة السكون المعلومات الموجودة في التخزين المستمر على الوسائط المادية ، بأي تنسيق رقمي. يمكن أن تتضمن الوسائط ملفات على الوسائط المغناطيسية أو البصرية والبيانات المؤرشفة والنسخ الاحتياطي للبيانات. يقدم Microsoft Azure مجموعة متنوعة من حلول تخزين البيانات لتلبية الاحتياجات المختلفة، بما في ذلك تخزين الملفات والأقراص والنقاط والجداول. توفر Microsoft أيضا التشفير لحماية قاعدة بيانات Azure SQLوAzure Cosmos DBوAzure Data Lake.

يتوفر تشفير البيانات في حالة السكون للخدمات عبر نماذج سحابة البرنامج كخدمة (SaaS) والنظام الأساسي كخدمة (PaaS) والبنية التحتية كخدمة (IaaS). تلخص هذه المقالة وتوفر موارد لمساعدتك في استخدام خيارات تشفير Azure.

لمناقشة أكثر تفصيلا حول كيفية تشفير البيانات في وضع السكون في Azure، راجع Azure Data Encryption-at-Rest.

نماذج تشفير Azure

يدعم Azure نماذج تشفير متنوعة، بما في ذلك التشفير من جانب الخادم الذي يستخدم المفاتيح المدارة من قبل الخدمة، أو المفاتيح المدارة من قبل العميل في Key Vault، أو المفاتيح المدارة من قبل العميل على الأجهزة التي يتحكم فيها العميل. مع التشفير من جانب العميل، يمكنك إدارة وتخزين المفاتيح في الموقع أو في مكان آمن آخر.

التشفير من جانب العميل

يتم تنفيذ التشفير من جانب العميل خارج Azure. وهو يتضمن:

• البيانات المشفرة بواسطة تطبيق يعمل في مركز بيانات العميل أو بواسطة تطبيق خدمة.
• البيانات التي يتم تشفيرها بالفعل عند استلامها بواسطة Azure.

باستخدام التشفير من جانب العميل، لا يستطيع موفرو الخدمات السحابية الوصول إلى مفاتيح التشفير ولا يمكنهم فك تشفير هذه البيانات. يمكنك الحفاظ على التحكم الكامل في المفاتيح.

تشفير من جانب الخادم

توفر نماذج التشفير الثلاثة من جانب الخادم خصائص مختلفة لإدارة المفاتيح ، والتي يمكنك اختيارها وفقا لمتطلباتك:

• المفاتيح المدارة بواسطة الخدمة: توفر مزيجا من التحكم والراحة مع انخفاض النفقات العامة.

• المفاتيح التي يديرها العميل: تمنحك التحكم في المفاتيح، بما في ذلك دعم إحضار مفاتيحك الخاصة (BYOK)، أو تسمح لك بإنشاء مفاتيح جديدة.

• المفاتيح المدارة بواسطة الخدمة في الأجهزة التي يتحكم فيها العميل: تمكنك من إدارة المفاتيح في مستودع الملكية الخاص بك، خارج نطاق تحكم Microsoft. تسمى هذه الخاصية استضافة مفتاحك الخاص (HYOK). ومع ذلك، فإن التكوين معقد، ولا تدعم معظم خدمات Azure هذا النموذج.

تشفير قرص Azure

يمكنك حماية Windows والأجهزة الظاهرية لنظام التشغيل Linux باستخدام تشفير قرص Azure، والذي يستخدم تقنية BitLocker Windows وLinux DM-Crypt لحماية كل من أقراص نظام التشغيل وأقراص البيانات باستخدام تشفير وحدة التخزين الكاملة.

يتم حماية مفاتيح التشفير والأسرار في اشتراكك في Azure Key Vault. باستخدام خدمة النسخ الاحتياطي ل Azure، يمكنك عمل نسخة احتياطية من الأجهزة الظاهرية المشفرة (VMs) التي تستخدم تكوين مفتاح تشفير المفاتيح (KEK) واستعادتها.

تشفير خدمة تخزين Azure

يمكن تشفير البيانات الثابتة في تخزين كائن ثنائي كبير الحجم من Azure ومشاركات ملفات Azure في كل من السيناريوهات من جانب الخادم والعميل.

يمكن ل Azure Storage Service Encryption (SSE) تشفير البيانات تلقائيا قبل تخزينها، ويقوم تلقائيا بفك تشفير البيانات عند استردادها. العملية شفافة تماما للمستخدمين. يستخدم تشفير خدمة التخزين تشفير 256 بت متقدم قياسي (AES) ، وهو أحد أقوى شفرات الكتل المتاحة. تتعامل AES مع التشفير وفك التشفير وإدارة المفاتيح بشفافية.

تشفير نقاط Azure من جانب العميل

يمكنك إجراء تشفير من جانب العميل لنقط Azure بطرق مختلفة.

يمكنك استخدام مكتبة عميل تخزين Azure لحزمة .NET NuGet لتشفير البيانات داخل تطبيقات العميل قبل تحميلها إلى وحدة تخزين Azure الخاصة بك.

لمعرفة المزيد حول مكتبة عميل تخزين Azure لحزمة .NET NuGet وتنزيلها، راجع Windows Azure Storage 8.3.0.

عند استخدام التشفير من جانب العميل مع Key Vault، يتم تشفير بياناتك باستخدام مفتاح تشفير محتوى متماثل (CEK) لمرة واحدة يتم إنشاؤه بواسطة حزمة SDK الخاصة بعميل تخزين Azure. يتم تشفير CEK باستخدام مفتاح تشفير المفتاح (KEK) ، والذي يمكن أن يكون إما مفتاحا متماثلا أو زوجا من المفاتيح غير المتماثلة. يمكنك إدارته محليا أو تخزينه في Key Vault. ثم يتم تحميل البيانات المشفرة إلى Azure Storage.

لمعرفة المزيد حول التشفير من جانب العميل باستخدام Key Vault وبدء استخدام الإرشادات الإرشادية، راجع البرنامج التعليمي: تشفير النقاط وفك تشفيرها في Azure Storage باستخدام Key Vault.

وأخيرا، يمكنك أيضا استخدام مكتبة عميل تخزين Azure ل Java لإجراء تشفير من جانب العميل قبل تحميل البيانات إلى Azure Storage، وفك تشفير البيانات عند تنزيلها إلى العميل. تدعم هذه المكتبة أيضا التكامل مع Key Vault لإدارة مفاتيح حساب التخزين.

تشفير البيانات في حالة عدم الراحة باستخدام قاعدة بيانات Azure SQL

Azure SQL Database هي خدمة قاعدة بيانات علائقية للأغراض العامة في Azure تدعم هياكل مثل البيانات العلائقية وJSON والمكانية وXML. تدعم قاعدة بيانات SQL كلا من التشفير من جانب الخادم عبر ميزة تشفير البيانات الشفاف (TDE) والتشفير من جانب العميل عبر ميزة Always Encrypted.

تشفير البيانات الشفافة

يستخدم TDE لتشفير SQL Serverوقاعدة بيانات Azure SQL وAzureSynapse Analytics في الوقت الفعلي، باستخدام مفتاح تشفير قاعدة البيانات (DEK)، والذي يتم تخزينه في سجل تمهيد قاعدة البيانات لتوفيره أثناء الاسترداد.

تحمي TDE البيانات وملفات السجل ، باستخدام خوارزميات تشفير AES و Triple Data Encryption Standard (3DES). يتم تنفيذ تشفير ملف قاعدة البيانات على مستوى الصفحة. يتم تشفير الصفحات الموجودة في قاعدة بيانات مشفرة قبل كتابتها على القرص ويتم فك تشفيرها عند قراءتها في الذاكرة. يتم الآن تمكين TDE افتراضيا على قواعد بيانات Azure SQL التي تم إنشاؤها حديثا.

ميزة Always Encrypted

باستخدام ميزة Always Encrypted في Azure SQL يمكنك تشفير البيانات داخل تطبيقات العميل قبل تخزينها في قاعدة بيانات Azure SQL. يمكنك أيضا تمكين تفويض إدارة قاعدة البيانات المحلية إلى أطراف ثالثة والحفاظ على الفصل بين أولئك الذين يمتلكون البيانات ويمكنهم عرضها وأولئك الذين يديرونها ولكن لا ينبغي أن يكون لديهم حق الوصول إليها.

التشفير على مستوى الخلية أو على مستوى العمود

باستخدام قاعدة بيانات Azure SQL، يمكنك تطبيق تشفير متماثل على عمود بيانات باستخدام SQL المعاملات. يسمى هذا النهج التشفير على مستوى الخلية أو التشفير على مستوى العمود (CLE) ، لأنه يمكنك استخدامه لتشفير أعمدة معينة أو حتى خلايا محددة من البيانات بمفاتيح تشفير مختلفة. يمنحك القيام بذلك قدرة تشفير أكثر دقة من TDE ، والتي تقوم بتشفير البيانات في الصفحات.

يحتوي CLE على وظائف مضمنة يمكنك استخدامها لتشفير البيانات باستخدام مفاتيح متماثلة أو غير متماثلة أو المفتاح العام للشهادة أو عبارة مرور باستخدام 3DES.

تشفير قاعدة بيانات قاعدة بيانات كوزموس

Azure Cosmos DB هي قاعدة بيانات Microsoft متعددة النماذج الموزعة عالميا. يتم تشفير بيانات المستخدم المخزنة في Cosmos DB في وحدة تخزين غير متطايرة (محركات أقراص الحالة الصلبة) بشكل افتراضي. لا توجد عناصر تحكم لتشغيله أو إيقاف تشغيله. يتم تنفيذ التشفير في وضع السكون باستخدام عدد من تقنيات الأمان، بما في ذلك أنظمة تخزين المفاتيح الآمنة والشبكات المشفرة وواجهات برمجة التطبيقات المشفرة. تتم إدارة مفاتيح التشفير بواسطة Microsoft ويتم تدويرها وفقا للإرشادات الداخلية ل Microsoft. اختياريا، يمكنك اختيار إضافة طبقة ثانية من التشفير باستخدام المفاتيح التي تديرها باستخدام المفاتيح التي يديرها العميل أو ميزة CMK .

تشفير أثناء الراحة في Data Lake

Azure Data Lake هو مستودع على مستوى المؤسسة لكل نوع من أنواع البيانات التي يتم جمعها في مكان واحد قبل أي تعريف رسمي للمتطلبات أو المخطط. يدعم Data Lake Store "قيد التشغيل افتراضيا" ، وهو تشفير شفاف للبيانات في وضع السكون ، والذي يتم إعداده أثناء إنشاء حسابك. بشكل افتراضي، يدير Azure Data Lake Store المفاتيح نيابة عنك، ولكن لديك خيار إدارتها بنفسك.

يتم استخدام ثلاثة أنواع من المفاتيح في تشفير البيانات وفك تشفيرها: مفتاح التشفير الرئيسي (MEK) ، ومفتاح تشفير البيانات (DEK) ، ومفتاح تشفير الكتلة (BEK). يتم استخدام MEK لتشفير DEK ، الذي يتم تخزينه على الوسائط الثابتة ، ويتم اشتقاق BEK من DEK وكتلة البيانات. إذا كنت تدير مفاتيحك الخاصة ، فيمكنك تدوير MEK.

تشفير البيانات أثناء النقل

يوفر Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء انتقالها من موقع إلى آخر.

تشفير طبقة ارتباط البيانات في Azure

عندما تنتقل حركة مرور عملاء Azure بين مراكز البيانات - خارج الحدود المادية التي لا تتحكم فيها Microsoft (أو نيابة عن Microsoft) - يتم تطبيق طريقة تشفير طبقة ارتباط البيانات باستخدام معايير أمان IEEE 802.1AE MAC (المعروفة أيضا باسم MACsec) من نقطة إلى أخرى عبر أجهزة الشبكة الأساسية. يتم تشفير الحزم وفك تشفيرها على الأجهزة قبل إرسالها ، مما يمنع هجمات "الرجل في الوسط" المادية أو التطفل / التنصت. نظرا لأن هذه التقنية مدمجة في أجهزة الشبكة نفسها ، فإنها توفر تشفير معدل الخط على أجهزة الشبكة دون زيادة في زمن انتقال الارتباط قابلة للقياس. يتم تشغيل تشفير MACsec هذا بشكل افتراضي لجميع زيارات مرور Azure التي تنتقل داخل منطقة أو بين المناطق، ولا يلزم اتخاذ أي إجراء من جانب العملاء لتمكينه.

تشفير TLS في Azure

تمنح Microsoft العملاء القدرة على استخدام بروتوكول أمان طبقة النقل (TLS) لحماية البيانات عند انتقالها بين الخدمات السحابية والعملاء. تفاوض مراكز البيانات Microsoft اتصال بروتوكول أمان طبقة النقل مع أنظمة العميل التي تتصل بخدمات Azure. يوفر بروتوكول أمان طبقة النقل مصادقة قوية وخصوصية الرسالة وسلامتها (ما يتيح الكشف عن التلاعب بالرسائل واعتراضها وتزويرها) وقابلية التشغيل البيني ومرونة الخوارزمية وسهولة التوزيع والاستخدام.

Perfect Forward Secrecy تحمي PFS الاتصالات بين أنظمة العملاء الخاصة بالعميل والخدمات السحابية من Microsoft بواسطة مفاتيح فريدة. تستخدم الاتصالات أيضاً أطوال مفاتيح التشفير المستندة إلى RSA 2048 بت. يجعل هذا المزيج من الصعب على أي شخص اعتراض البيانات التي يجري نقلها والوصول إليها.

معاملات Azure Storage

عندما تتفاعل مع Azure Storage من خلال مدخل Azure، تتم جميع المعاملات عبر HTTPS. يمكنك أيضا استخدام واجهة برمجة تطبيقات Storage REST عبر HTTPS للتفاعل مع Azure Storage. يمكنك فرض استخدام HTTPS عند استدعاء واجهات برمجة تطبيقات REST للوصول إلى الكائنات الموجودة في حسابات التخزين عن طريق تمكين النقل الآمن المطلوب لحساب التخزين.

تتضمن توقيعات الوصول المشترك (SAS)، التي يمكن استخدامها لتفويض الوصول إلى كائنات تخزين Azure، خيارا لتحديد أنه يمكن استخدام بروتوكول HTTPS فقط عند استخدام توقيعات الوصول المشترك. يضمن هذا النهج أن أي شخص يرسل روابط مع رموز SAS يستخدم البروتوكول المناسب.

يدعم SMB 3.0، الذي يستخدم للوصول إلى مشاركات Azure Files، التشفير، وهو متوفر في Windows Server 2012 R2 و Windows 8 و Windows 8.1 و Windows 10. يسمح بالوصول عبر المناطق وحتى الوصول على سطح المكتب.

يقوم التشفير من جانب العميل بتشفير البيانات قبل إرسالها إلى مثيل Azure Storage الخاص بك، بحيث يتم تشفيرها أثناء انتقالها عبر الشبكة.

تشفير SMB عبر شبكات Azure الظاهرية

باستخدام SMB 3.0 في الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows Server 2012 أو إصدار أحدث، يمكنك جعل عمليات نقل البيانات آمنة عن طريق تشفير البيانات أثناء نقلها عبر شبكات Azure الظاهرية. من خلال تشفير البيانات، يمكنك المساعدة في الحماية من هجمات العبث والتنصت. يمكن للمسؤولين تمكين تشفير SMB للخادم بأكمله ، أو مشاركات محددة فقط.

بشكل افتراضي، بعد تشغيل تشفير SMB لمشاركة أو خادم، يسمح فقط لعملاء SMB 3.0 بالوصول إلى المشاركات المشفرة.

التشفير أثناء النقل في الأجهزة الظاهرية

يمكن تشفير البيانات المنقولة من وإلى وبين الأجهزة الظاهرية التي تعمل Windows بعدة طرق، اعتمادا على طبيعة الاتصال.

جلسات RDP

يمكنك الاتصال بجهاز ظاهري وتسجيل الدخول إليه باستخدام بروتوكول سطح المكتب البعيد (RDP) من كمبيوتر عميل Windows أو من Mac مثبت عليه عميل RDP. يمكن حماية البيانات المنقولة عبر الشبكة في جلسات RDP بواسطة طبقة النقل الآمنة (TLS).

يمكنك أيضا استخدام سطح المكتب البعيد للاتصال بجهاز لينكس الظاهري في Azure.

الوصول الآمن إلى أجهزة لينكس الظاهرية مع SSH

للإدارة عن بعد، يمكنك استخدام Secure Shell (SSH) للاتصال بأجهزة Linux الظاهرية التي تعمل في Azure. SSH هو بروتوكول اتصال مُشفّر يسمح بعمليات تسجيل الدخول الآمنة عبر الاتصالات غير الآمنة. إنه بروتوكول الاتصال الافتراضي لأجهزة Linux الظاهرية المستضافة في Azure. باستخدام مفاتيح SSH للمصادقة، يمكنك التخلص من الحاجة إلى كلمات المرور لتسجيل الدخول. يستخدم SSH زوج مفاتيح عام/خاص (تشفير غير متماثل) للمصادقة.

تشفير Azure VPN

يمكنك الاتصال ب Azure من خلال شبكة خاصة افتراضية تنشئ نفقا آمنا لحماية خصوصية البيانات التي يتم إرسالها عبر الشبكة.

بوابات Azure VPN

يمكنك استخدام بوابة Azure VPN لإرسال حركة مرور مشفرة بين شبكتك الافتراضية وموقعك المحلي عبر اتصال عام، أو لإرسال حركة المرور بين الشبكات الافتراضية.

تستخدم الشبكات الافتراضية الخاصة من موقع إلى موقع IPsec لتشفير النقل. تستخدم بوابات Azure VPN مجموعة من المقترحات الافتراضية. يمكنك تكوين بوابات Azure VPN لاستخدام نهج IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط قوة رئيسية، بدلا من مجموعات نهج Azure الافتراضية.

الشبكات الافتراضية الخاصة من نقطة إلى موقع

تسمح الشبكات الافتراضية الخاصة من نقطة إلى موقع لأجهزة الكمبيوتر العميلة الفردية بالوصول إلى شبكة Azure الظاهرية. يتم استخدام بروتوكول نفق المقابس الآمن (SSTP) لإنشاء نفق VPN. يمكنه اجتياز جدران الحماية (يظهر النفق كاتصال HTTPS). يمكنك استخدام المرجع المصدق الجذر (CA) للبنية الأساسية الداخلية للمفتاح العام (PKI) للاتصال من نقطة إلى موقع.

يمكنك تكوين اتصال VPN من نقطة إلى موقع بشبكة ظاهرية باستخدام مدخل Azure مع مصادقة الشهادة أو PowerShell.

لمعرفة المزيد حول اتصالات VPN من نقطة إلى موقع بشبكات Azure الظاهرية، راجع:

تكوين اتصال من نقطة إلى موقع بشبكة ظاهرية باستخدام مصادقة المصادقة: مدخل Azure

تكوين اتصال من نقطة إلى موقع إلى شبكة ظاهرية باستخدام مصادقة الشهادة: PowerShell

الشبكات الافتراضية الخاصة من موقع إلى موقع

يمكنك استخدام اتصال بوابة VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). يتطلب هذا النوع من الاتصال جهاز VPN محلي يحتوي على عنوان IP عام خارجي مخصص له.

يمكنك تكوين اتصال VPN من موقع إلى موقع بشبكة ظاهرية باستخدام مدخل Azure أو PowerShell أو Azure CLI.

لمزيد من المعلومات، انظر:

إنشاء اتصال من موقع إلى موقع في مدخل Azure

إنشاء اتصال من موقع إلى موقع في PowerShell

إنشاء شبكة افتراضية مع اتصال VPN من موقع إلى موقع باستخدام CLI

التشفير أثناء النقل في بحيرة البيانات

يتم أيضا تشفير البيانات العابرة (المعروفة أيضا باسم البيانات المتحركة) دائما في Data Lake Store. بالإضافة إلى تشفير البيانات قبل تخزينها في وسائط ثابتة ، يتم تأمين البيانات دائما أثناء النقل باستخدام HTTPS. HTTPS هو البروتوكول الوحيد المدعوم لواجهات REST لمخزن بحيرة البيانات.

لمعرفة المزيد حول تشفير البيانات أثناء نقلها في Data Lake، راجع تشفير البيانات في Data Lake Store.

إدارة المفاتيح مع Key Vault

بدون حماية وإدارة مناسبة للمفاتيح ، يصبح التشفير عديم الفائدة. Key Vault هو الحل الموصى به من قبل Microsoft لإدارة الوصول إلى مفاتيح التشفير المستخدمة من قبل الخدمات السحابية والتحكم فيها. يمكن تعيين أذونات الوصول إلى المفاتيح إلى الخدمات أو للمستخدمين من خلال حسابات Azure Active Directory.

يريح Key Vault المؤسسات من الحاجة إلى تكوين وحدات أمان الأجهزة (HSMs) وبرامج إدارة المفاتيح وتصحيحها وصيانتها. عند استخدام Key Vault، فإنك تحتفظ بالتحكم. لا ترى Microsoft مفاتيحك مطلقا، ولا تتمتع التطبيقات بإمكانية الوصول المباشر إليها. يمكنك أيضا استيراد أو إنشاء مفاتيح في HSMs.

الخطوات التالية

• نظرة عامة على أمان Azure
• نظرة عامة على أمان شبكة Azure
• نظرة عامة على أمان قاعدة بيانات Azure
• نظرة عامة على أمان الأجهزة الظاهرية Azure
• التشفير الثابت
• أفضل ممارسات أمان البيانات والتشفير