تشفير تخزين Azure للبيانات الثابتة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يستخدم تخزين Azure التشفير من جانب الخادم (SSE) لتشفير بياناتك تلقائيًا عند استمرارها في السحابة. يحمي تشفير Azure Storage بياناتك ويساعدك على الوفاء بالتزاماتك الأمنية والامتثالات التنظيمية.

بخصوص تشفير تخزين Azure

تُشفر البيانات الموجودة في تخزين Azure ويُفك تشفيرها بشفافية باستخدام تشفير ⁧⁩AES⁧⁩,256 بت، وهو أحد أقوى شفرات الكتل المتاحة، وهو متوافق مع FIPS 140-2. يشبه تشفيرتخزين Azure تشفير BitLocker على Windows.

تخزين Azure متاح لجميع حسابات التخزين، بما في ذلك كل من إدارة الموارد وحسابات التخزين الكلاسيكية. لا يمكن تعطيل تشفيرAzure Storage. نظرًا لأن بياناتك مُؤَمنة افتراضيًا، فلن تحتاج إلى تعديل الكود أو التطبيقات خاصتك للاستفادة من تشفير تخزين Azure.

تُشفر البيانات في حساب التخزين بغض النظر عن مستوى الأداء (القياسي أو الممتاز) أو مستوى الوصول (الساخن أو البارد) أو نموذج النشر (Azure Resource Manager أو Classic). جميع الكائنات الثنائية كبيرة الحجم في طبقة الأرشيف مُشفرة أيضًا. تدعم جميع خيارات التكرار في Azure Storage التشفير، وتُشفر جميع البيانات في كل من المنطقتين الرئيسية والثانوية عند تمكين النسخ المتماثل الجغرافي. تُشفر جميع موارد تخزين Azure ، بما في ذلك الكائنات الثنائية كبيرة الحجم والأقراص والملفات وقوائم الانتظار والجداول. جميع بيانات التعريف للعنصر مُشفرة أيضًا. لا توجد تكلفة إضافية لتشفير Azure Storage.

يُشفر كل كائن ثنائي كبير الحجم لكتلة أو كائن ثنائي كبير الحجم لملحق أو كائن ثنائي كبير الحجم لصفحة تمت كتابتها إلى Azure Storage بعد 20 أكتوبر 2017. يستمر تشفير الكائنات الثنائية كبيرة الحجم التي تم إنشاؤها قبل هذا التاريخ من خلال عملية خلفية. لإجبار تشفير كائن ثنائي كبير الحجم تم إنشاؤه قبل 20 أكتوبر 2017، يمكنك إعادة كتابة الكائن الثنائي كبير الحجم. لمعرفة كيفية التحقق من حالة تشفير كائن ثنائي كبير الحجم، راجع ⁧⁩التحقق من حالة تشفير كائن ثنائي كبير الحجم ⁧⁩.

لمزيد من المعلومات حول وحدات التشفير الكامنة وراء تشفير Azure Storage، راجع ⁧⁩واجهة برمجة تطبيقات التشفير: الجيل التالي⁧⁩.

للحصول على معلومات حول التشفير وإدارة المفاتيح للأقراص التي تديرها Azure، راجع ⁧⁩تشفير الأقراص التي تديرها Azure على جانب الخادم⁧⁩.

حول إدارة مفتاح التشفير

تُشفر البيانات في حساب تخزين جديد باستخدام المفاتيح التي تديرها Microsoft افتراضيًا. يمكنك الاستمرار في الاعتماد على المفاتيح التي تديرها Microsoft لتشفير بياناتك، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، فلديك خياران. يمكنك استخدام أي من نوعي إدارة المفاتيح، أو كليهما:

• يمكنك تحديد ⁧⁩ مفتاح يديره العميل ⁧⁩ لاستخدامه في تشفير وفك تشفير البيانات في مخزن كائن ثنائي كبير الحجم وفي ملفات Azure.⁧^⁩1،2⁧⁩ يجب تخزين المفاتيح التي يديرها العميل في Azure Key Vault أو نموذج أمان الأجهزة الذي يديره مخزن مفاتيح Azure (HSM) (معاينة). لمزيد من المعلومات حول المفاتيح التي يديرها العملاء، راجع ⁧⁩استخدام المفاتيح التي يديرها العملاء لتشفير Azure Storage ⁧⁩.
• يمكنك تحديد ⁧⁩ مفتاح يوفره العميل ⁧⁩ في عمليات تخزين كائن ثنائي كبير الحجم. يمكن للعميل الذي يقدم طلبًا للقراءة أو الكتابة ضد تخزين كائن ثنائي كبير الحجم أن يتضمن مفتاح تشفير على طلب التحكم الحبيبي في كيفية تشفير بيانات كائن ثنائي كبير الحجم وفك تشفيرها. لمزيد من المعلومات حول المفاتيح التي يوفرها العملاء، راجع ⁧⁩توفير مفتاح تشفير على طلب لتخزين كائن ثنائي كبير الحجم⁧⁩.

يقارن الجدول التالي خيارات الإدارة الرئيسية لتشفير Azure Storage.

ضابط إدارة المفاتيح	المفاتيح التي تديرها Microsoft	المفاتيح التي يديرها العميل	المفاتيح المقدمة من العميل
عمليات التشفير/فك التشفير	Azure	Azure	Azure
خدمات Azure Storage المدعومة	الكل	تخزين كائن ثنائي كبير الحجم، ملفات Azure ⁧⁩1،2⁧⁩	تخزين كائن ثنائي كبير الحجم
مخزن المفاتيح	مخزن مفاتيح Microsoft	Azure Key Vault أو Key Vault HSM	متجر المفاتيح الخاص بالعميل
مسؤولية تدوير المفتاح	Microsoft	العميل	العميل
عنصر تحكم المفتاح	Microsoft	العميل	العميل

⁧^⁩1⁧⁩ للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العملاء مع تخزين قائمة الانتظار، راجع ⁧⁩إنشاء حساب يدعم المفاتيح التي يديرها العملاء لقوائم الانتظار⁧⁩.
⁧^⁩2⁧⁩ للحصول على معلومات حول إنشاء حساب يدعم استخدام المفاتيح التي يديرها العملاء مع تخزين الجدول، راجع ⁧⁩إنشاء حساب يدعم المفاتيح التي يديرها العملاء للجداول⁧⁩.

ملاحظة

يتم تدوير المفاتيح المدارة من Microsoft بشكل مناسب وفقًا لمتطلبات التوافق. إذا كانت لديك متطلبات محددة لتدوير المفاتيح، توصي Microsoft بالانتقال إلى المفاتيح التي يديرها العميل حتى تتمكن من إدارة التدوير وتدقيقه بنفسك.

ضاعف تشفير البيانات مع تشفير البنية التحتية

يمكن للعملاء الذين يحتاجون إلى مستويات عالية من التأكيد على أن بياناتهم آمنة تمكين تشفير AES 256 بت على مستوى البنية التحتية لتخزين Azure. عند تمكين تشفير البنية التحتية، يتم تشفير البيانات في حساب التخزين مرتين — مرة واحدة على مستوى الخدمة ومرة واحدة على مستوى البنية التحتية — باستخدام نوعين من خوارزمية التشفير ومفتاحين مختلفين. يحمي التشفير المزدوج بيانات Azure Storage من السيناريو الذي قد تتعرض فيه إحدى خوارزميات أو مفاتيح التشفير للخطر. في هذا السيناريو، تستمر طبقة إضافية من التشفير لحماية البيانات خاصتك.

يدعم تشفير مستوى الخدمة استخدام المفاتيح التي تديرها Microsoft أو المفاتيح التي يديرها العملاء مع Azure Key Vault. يعتمد التشفير على مستوى البنية التحتية على المفاتيح التي تديرها Microsoft ويستخدم دائمًا مفتاحًا منفصلاً.

لمزيد من المعلومات حول كيفية إنشاء حساب تخزين يتيح تشفير البنية التحتية، راجع ⁧⁩إنشاء حساب تخزين مع تمكين تشفير البنية التحتية للتشفير المزدوج للبيانات⁧⁩.

الخطوات التالية

• ما هي Azure Key Vault؟
• مفاتيح يديرها العملاء لتشفير Azure Storage
• ⁧⁩ نطاقات التشفير لتخزين كائن ثنائي كبير الحجم ⁧⁩
• ⁧⁩توفير مفتاح تشفير عند طلب تخزين كائن ثنائي كبير الحجم ⁧⁩