تمكين تشفير البنية التحتية للتشفير المزدوج للبيانات

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يقوم Azure Storage تلقائيا بتشفير جميع البيانات الموجودة في حساب تخزين على مستوى الخدمة باستخدام تشفير AES 256 بت، وهو أحد أقوى شفرات الكتل المتاحة، وهو متوافق مع FIPS 140-2. يمكن للعملاء الذين يحتاجون إلى مستويات أعلى من التأكد من أن بياناتهم آمنة أيضا تمكين تشفير AES 256 بت على مستوى البنية الأساسية لتخزين Azure للتشفير المزدوج. التشفير المزدوج لبيانات التخزين Azure يحمي ضد سيناريو حيث قد يتعرض أحد خوارزميات التشفير أو المفاتيح للخطر. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات الخاصة بك.

يمكن تمكين تشفير البنية الأساسية لحساب التخزين بأكمله، أو لنطاق تشفير داخل الحساب. عندما يتم تمكين تشفير البنية التحتية لحساب تخزين أو نطاق تشفير، يتم تشفير البيانات مرتين - مرة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية - باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين.

يدعم التشفير على مستوى الخدمة استخدام المفاتيح المدارة من Microsoft أو المفاتيح المدارة من قبل العميل باستخدام Azure Key Vault أو Key Vault Managed Hardware Security Model (HSM) (معاينة). يعتمد التشفير على مستوى البنية الأساسية على المفاتيح المدارة من Microsoft ويستخدم دائما مفتاحا منفصلا. لمزيد من المعلومات حول إدارة المفاتيح باستخدام تشفير تخزين Azure، راجع حول إدارة مفاتيح التشفير.

لتشفير بياناتك بشكل مضاعف، يجب عليك أولا إنشاء حساب تخزين أو نطاق تشفير تم تكوينه لتشفير البنية الأساسية. توضح هذه المقالة كيفية تمكين تشفير البنية الأساسية.

إنشاء حساب مع تمكين تشفير البنية الأساسية

لتمكين تشفير البنية الأساسية لحساب تخزين، يجب تكوين حساب تخزين لاستخدام تشفير البنية الأساسية في وقت إنشاء الحساب. لا يمكن تمكين تشفير البنية الأساسية أو تعطيله بعد إنشاء الحساب. يجب أن يكون حساب التخزين من النوع v2 للأغراض العامة أو كتلة كتلة متميزة.

مدخل Microsoft Azure

لاستخدام مدخل Azure لإنشاء حساب تخزين مع تمكين تشفير البنية الأساسية، اتبع الخطوات التالية:

1. في مدخل Azure، انتقل إلى صفحة حسابات التخزين .

2. اختر الزر إضافة لإضافة حساب تخزين جديد للأغراض العامة v2 أو حساب تخزين كتلة متميزة.

3. في علامة التبويب خيارات متقدمة ، حدد موقع تشفير البنية الأساسية ، وحدد ممكن.

4. حدد مراجعة + إنشاء لإنهاء إنشاء حساب التخزين.

   

للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين مع مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين الخاص بك في مدخل Azure.

2. ضمن الإعدادات، اختر تشفير.

   

PowerShell

لاستخدام PowerShell لإنشاء حساب تخزين مع تمكين تشفير البنية الأساسية، تأكد من تثبيت الوحدة النمطية Az.Storage PowerShell، الإصدار 2.2.0 أو إصدار أحدث. لمزيد من المعلومات، راجع تثبيت Azure PowerShell.

بعد ذلك ، قم بإنشاء حساب تخزين v2 للأغراض العامة أو حساب تخزين كتلة متميز عن طريق استدعاء الأمر New-AzStorageAccount . قم بتضمين -RequireInfrastructureEncryption خيار تمكين تشفير البنية التحتية.

يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيا للوصول إلى القراءة (RA-GRS) وتم تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -RequireInfrastructureEncryption

للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين، اتصل بالأمر Get-AzStorageAccount . يرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. استرداد الحقل RequireInfrastructureEncryption داخل Encryption الخاصية والتحقق من تعيينه إلى True.

يقوم المثال التالي باسترداد قيمة الخاصية RequireInfrastructureEncryption . تذكر استبدال قيم العناصر النائبة بين قوسين زاويتين بقيمك الخاصة:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure CLI

لاستخدام Azure CLI لإنشاء حساب تخزين تم تمكين تشفير البنية الأساسية، تأكد من تثبيت الإصدار 2.8.0 من Azure CLI أو إصدار أحدث. لمزيد من المعلومات، راجع ⁧⁩تثبيت Azure CLI⁧⁩.

بعد ذلك ، قم بإنشاء حساب تخزين v2 للأغراض العامة أو حساب تخزين blob متميز عن طريق استدعاء الأمر إنشاء حساب تخزين az وتضمين لتمكين تشفير البنية التحتية.

يوضح المثال التالي كيفية إنشاء حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيا للوصول إلى القراءة (RA-GRS) وتم تمكين تشفير البنية الأساسية للتشفير المزدوج للبيانات. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --require-infrastructure-encryption

للتحقق من تمكين تشفير البنية الأساسية لحساب تخزين، اتصل بالأمر إظهار حساب التخزين az . يرجع هذا الأمر مجموعة من خصائص حساب التخزين وقيمها. ابحث عن الحقل requireInfrastructureEncryption داخل الخاصية encryption وتحقق من تعيينه إلى true.

يقوم المثال التالي باسترداد قيمة الخاصية requireInfrastructureEncryption . تذكر استبدال قيم العناصر النائبة بين قوسين زاويتين بقيمك الخاصة:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

القالب

ينشئ مثال JSON التالي حساب تخزين v2 للأغراض العامة تم تكوينه للتخزين المتكرر جغرافيا للوصول إلى القراءة (RA-GRS) ولديه تشفير البنية الأساسية ممكن للتشفير المزدوج للبيانات. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

يوفر Azure Policy سياسة مضمنة لطلب تمكين تشفير البنية الأساسية لحساب تخزين. لمزيد من المعلومات، راجع قسم التخزين في تعريفات النهج المضمنة في Azure Policy.

إنشاء نطاق تشفير مع تمكين تشفير البنية التحتية

إذا تم تمكين تشفير البنية الأساسية لأحد الحسابات، فإن أي نطاق تشفير تم إنشاؤه على هذا الحساب يستخدم تشفير البنية التحتية تلقائيا. إذا لم يتم تمكين تشفير البنية الأساسية على مستوى الحساب، فسيكون لديك خيار تمكينه لنطاق تشفير في الوقت الذي تقوم فيه بإنشاء النطاق. لا يمكن تغيير إعداد تشفير البنية الأساسية لنطاق تشفير بعد إنشاء النطاق. لمزيد من المعلومات، راجع إنشاء نطاق تشفير.

الخطوات التالية

• تشفير Azure Storage للبيانات الثابتة
• مفاتيح مُدارة من قبل العملاء لتشفير Azure Storage
• نطاقات التشفير لتخزين Blob