Poprzednie

Następne

Ochrona danych podczas przesyłania

Ukończone

Platforma Azure oferuje wiele opcji szyfrowania danych przesyłanych. Szyfrowanie danych podczas przesyłania pomaga chronić dane przed przechwyceniem i dotyczy następujących scenariuszy obejmujących dane przesyłane między:

• Użytkownicy końcowi klienta i usługa platformy Azure.
• Lokalne centrum danych klienta i region świadczenia usługi Azure.
• Centra danych firmy Microsoft w ramach oczekiwanej operacji usługi platformy Azure.

Połączenie do usługi platformy Azure

Większość klientów łączy się z platformą Azure za pośrednictwem Internetu, a dokładny routing ruchu sieciowego zależy od wielu dostawców sieci, którzy przyczyniają się do infrastruktury internetowej. Firma Microsoft nie kontroluje ani nie ogranicza regionów, z których klient lub użytkownicy końcowi klienta mogą uzyskiwać dostęp do danych klientów lub przenosić je. Aby uzyskać więcej informacji, zobacz Dodatek dotyczący ochrony danych dla usług online (DPA). Klienci mogą zwiększyć bezpieczeństwo, włączając szyfrowanie podczas przesyłania. Na przykład klienci mogą używać usługi aplikacja systemu Azure Gateway do konfigurowania kompleksowego szyfrowania ruchu.

• Transport Layer Security (TLS): platforma Azure używa protokołu TLS do ochrony danych podczas podróży między klientami i usługami platformy Azure przy użyciu protokołu RSA-2048 na potrzeby wymiany kluczy i AES-256 na potrzeby szyfrowania danych. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność. Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klienta i usługami w chmurze firmy Microsoft, generując unikatowy klucz sesji dla każdej sesji inicjowanej przez klienta. PfS chroni poprzednie sesje przed potencjalnymi przyszłymi zabezpieczeniami kluczy. Ta kombinacja utrudnia przechwytywanie i uzyskiwanie dostępu do danych przesyłanych.
• Szyfrowanie podczas przesyłania maszyn wirtualnych: sesje zdalne na maszynach wirtualnych z systemem Windows i Linux wdrożonych na platformie Azure można przeprowadzać za pośrednictwem protokołów zapewniających szyfrowanie danych podczas przesyłania. Na przykład protokół RDP zainicjowany z komputera klienckiego do maszyn wirtualnych z systemem Windows i Linux umożliwia ochronę protokołu TLS dla przesyłanych danych. Klienci mogą również używać protokołu Secure Shell (SSH) do łączenia się z maszynami wirtualnymi z systemem Linux działającymi na platformie Azure. SSH to szyfrowany protokół połączenia dostępny domyślnie na potrzeby zdalnego zarządzania maszynami wirtualnymi z systemem Linux hostowanymi na platformie Azure.
• Transakcje usługi Azure Storage: gdy klienci wchodzą w interakcję z usługą Azure Storage za pośrednictwem witryny Azure Portal, wszystkie transakcje odbywają się za pośrednictwem protokołu HTTPS. Ponadto klienci mogą skonfigurować konta magazynu tak, aby akceptowały żądania tylko z bezpiecznych połączeń, ustawiając właściwość "Wymagany bezpieczny transfer" dla konta magazynu. Opcja "Wymagany bezpieczny transfer" jest domyślnie włączona podczas tworzenia konta magazynu w witrynie Azure Portal. Usługa Azure Files oferuje w pełni zarządzane udziały plików w chmurze, które są dostępne za pośrednictwem standardowego protokołu SMB (Server Message Block ). Domyślnie wszystkie konta usługi Azure Storage mają włączone szyfrowanie podczas przesyłania. W związku z tym podczas instalowania udziału za pośrednictwem protokołu SMB lub uzyskiwania do niego dostępu za pośrednictwem witryny Azure Portal (lub programu PowerShell, interfejsu wiersza polecenia i zestawów SDK platformy Azure) usługa Azure Files będzie zezwalać na połączenie tylko w przypadku korzystania z protokołu SMB 3.0 lub nowszego z szyfrowaniem lub za pośrednictwem protokołu HTTPS.

Połączenie do regionów świadczenia usługi Azure

Podczas łączenia infrastruktury lokalnej z regionami platformy Azure można upewnić się, że cały ruch sieciowy jest prawidłowo zaszyfrowany.

Szyfrowanie sieci VPN

Sieć wirtualna (VNet) umożliwia maszynom wirtualnym platformy Azure działanie w ramach wewnętrznej (lokalnej) sieci klienta. W przypadku sieci wirtualnej klienci wybierają zakresy adresów nienależących do globalnego routingu adresów IP, które mają być przypisane do maszyn wirtualnych, aby nie zderzyły się z adresami używanymi przez klienta w innym miejscu. Klienci mają opcje bezpiecznego nawiązywania połączenia z siecią wirtualną z infrastruktury lokalnej lub lokalizacji zdalnych.

• Tunel vpn typu lokacja-lokacja (IPsec/IKE): między platformą Azure a siecią wewnętrzną klienta jest ustanawiany kryptograficznie chroniony tunel, co umożliwia maszynie wirtualnej platformy Azure łączenie się z zasobami zaplecza klienta, tak jakby znajdowała się bezpośrednio w tej sieci. Ten typ połączenia wymaga lokalnego urządzenia sieci VPN z przypisanym do niego publicznym adresem IP dostępnym zewnętrznie. Klienci mogą używać usługi Azure VPN Gateway do wysyłania zaszyfrowanego ruchu między siecią wirtualną a infrastrukturą lokalną w publicznym Internecie, na przykład sieć VPN typu lokacja-lokacja korzysta z protokołu IPsec na potrzeby szyfrowania transportu. Usługa Azure VPN Gateway obsługuje szeroką gamę algorytmów szyfrowania zweryfikowanych ze standardem FIPS 140-2. Ponadto klienci mogą skonfigurować usługę Azure VPN Gateway tak, aby używała niestandardowych zasad protokołu IPsec/IKE z określonymi algorytmami kryptograficznymi i mocnymi kluczami zamiast polegać na domyślnych zasadach platformy Azure. Protokół IPsec szyfruje dane na poziomie adresu IP (warstwa sieci 3).
• Punkt-lokacja (VPN za pośrednictwem protokołu SSTP, OpenVPN i IPsec): bezpieczne połączenie jest ustanawiane z komputera pojedynczego klienta do sieci wirtualnej klienta przy użyciu protokołu SSTP (Secure Socket Tunneling Protocol), OpenVPN lub IPsec. W ramach konfiguracji sieci VPN typu punkt-lokacja klienci muszą zainstalować certyfikat i pakiet konfiguracji klienta sieci VPN, który umożliwia komputerowi klienckim łączenie się z dowolną maszyną wirtualną w sieci wirtualnej. Połączenia sieci VPN typu punkt-lokacja nie wymagają urządzenia sieci VPN ani publicznego adresu IP.

Platforma Azure kontroluje typ algorytmu obsługiwanego w przypadku połączeń sieci VPN. Ponadto platforma Azure zapewnia klientom możliwość wymuszania, że cały ruch opuszczający sieć wirtualną może być kierowany tylko przez bramę sieci wirtualnej (np. azure VPN Gateway). To wymuszanie umożliwia klientom zapewnienie, że ruch może nie opuszczać sieci wirtualnej bez szyfrowania. Brama sieci VPN może służyć do połączeń między sieciami wirtualnymi, a jednocześnie zapewnia bezpieczny tunel z protokołem IPsec/IKE. Sieć VPN platformy Azure używa uwierzytelniania klucza wstępnego (PSK), w którym firma Microsoft generuje klucz PSK podczas tworzenia tunelu VPN. Klienci mogą zmienić automatycznie wygenerowany klucz PSK na własny.

Szyfrowanie w usłudze ExpressRoute

Usługa ExpressRoute umożliwia klientom tworzenie prywatnych połączeń między centrami danych firmy Microsoft a infrastrukturą lokalną lub infrastrukturą kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują mniejsze opóźnienia i większą niezawodność niż połączenia sieci VPN chronione przez protokół IPsec. Lokalizacje usługi ExpressRoute to punkty wejścia do globalnej sieci szkieletowej firmy Microsoft i mogą być niezgodne z lokalizacją regionów świadczenia usługi Azure. Na przykład klienci mogą łączyć się z firmą Microsoft w Amsterdamie za pośrednictwem usługi ExpressRoute i mieć dostęp do wszystkich usług w chmurze platformy Azure hostowanych w Europie Północnej i Zachodniej. Istnieje jednak również możliwość uzyskania dostępu do tych samych regionów platformy Azure z połączeń usługi ExpressRoute znajdujących się gdzie indziej na świecie. Po przejściu ruchu sieciowego do sieci szkieletowej firmy Microsoft gwarantowane jest przechodzenie przez infrastrukturę sieci prywatnej zamiast publicznego Internetu.

Klienci mogą używać usługi ExpressRoute z kilkoma opcjami szyfrowania danych, w tym z protokołem MACsec, który umożliwia klientom przechowywanie kluczy szyfrowania MACsec w usłudze Azure Key Vault. Program MACsec szyfruje dane na poziomie kontroli dostępu do multimediów (MAC), czyli warstwy łącza danych (warstwa sieci 2). Szyfry blokowe AES-128 i AES-256 są obsługiwane na potrzeby szyfrowania. Klienci mogą używać protokołu MACsec do szyfrowania fizycznych połączeń między urządzeniami sieciowymi i urządzeniami sieciowymi firmy Microsoft podczas nawiązywania połączenia z firmą Microsoft za pośrednictwem usługi ExpressRoute Direct. Usługa ExpressRoute Direct umożliwia bezpośrednie połączenia światłowodowe z brzegu klienta do routerów brzegowych firmy Microsoft Enterprise w lokalizacjach komunikacji równorzędnej.

Klienci mogą włączyć protokół IPsec oprócz protokołu MACsec na portach usługi ExpressRoute Direct. Klienci mogą używać usługi Azure VPN Gateway do konfigurowania tunelu IPsec za pośrednictwem komunikacji równorzędnej firmy Microsoft usługi ExpressRoute między sieciami lokalnymi i sieciami wirtualnymi platformy Azure. Usługa MACsec zabezpiecza fizyczne połączenie między siecią lokalną klienta a firmą Microsoft. Protokół IPsec zabezpiecza kompleksowe połączenie między siecią lokalną klienta a sieciami wirtualnymi na platformie Azure. Protokół MACsec i protokół IPsec można włączyć niezależnie.

Połączenie między regionami

Firma Microsoft szyfruje ruch między regionami przy użyciu zabezpieczeń kontroli dostępu do multimediów (MACsec). Ten standard chroni ruch sieciowy w warstwie łącza danych (warstwa 2) i opiera się na szyfrowaniu blokowym AES-128. Ten ruch pozostaje całkowicie w sieci szkieletowej globalnej firmy Microsoft i nigdy nie przechodzi do publicznego Internetu. Szkielet jest jednym z największych na świecie, z ponad 250.000 km oświetlonych światłowodów i undersea przewodów. Jednak ruch sieciowy nie musi zawsze podążać tą samą ścieżką z jednego regionu świadczenia usługi Azure do innego. Aby zapewnić niezawodność wymaganą dla chmury platformy Azure, firma Microsoft ma wiele ścieżek sieci fizycznych z automatycznym routingiem wokół awarii w celu uzyskania optymalnej niezawodności. Ten automatyczny routing oznacza, że firma Microsoft nie może zagwarantować, że ruch sieciowy przechodzący między regionami platformy Azure jest ograniczony do odpowiedniej lokalizacji geograficznej. Jeśli wystąpią zakłócenia infrastruktury sieciowej, firma Microsoft może przekierować zaszyfrowany ruch sieciowy w sieci prywatnej w celu zapewnienia dostępności usługi i najlepszej możliwej wydajności.

Klienci powinni zapoznać się z najlepszymi rozwiązaniami platformy Azure w celu ochrony przesyłanych danych w celu zapewnienia, że wszystkie dane przesyłane są szyfrowane. W przypadku kluczowych usług platformy Azure (na przykład usługi Azure SQL Database) szyfrowanie danych podczas przesyłania jest domyślnie wymuszane.

Następnie przyjrzymy się, jak szyfrowanie może chronić dane podczas przechowywania.

Kontynuuj