Общие сведения о шифровании в AzureAzure encryption overview

В этой статье представлен обзор использования шифрования в Microsoft Azure.This article provides an overview of how encryption is used in Microsoft Azure. Здесь приведены сведения об основных областях шифрования, включая шифрование неактивных данных, шифрование данных в процессе, а также об управлении ключами с помощью Azure Key Vault.It covers the major areas of encryption, including encryption at rest, encryption in flight, and key management with Azure Key Vault. В каждом разделе содержатся ссылки для получения дополнительных сведений.Each section includes links to more detailed information.

Шифрование неактивных данныхEncryption of data at rest

К неактивным данным относятся сведения, хранящиеся в постоянном хранилище на физическом носителе в любом цифровом формате.Data at rest includes information that resides in persistent storage on physical media, in any digital format. Это могут быть файлы на магнитных или оптических носителях, архивированные данные и резервные копии данных.The media can include files on magnetic or optical media, archived data, and data backups. Microsoft Azure предлагает различные решения для хранения данных для разных нужд, включая дисковое и файловое хранилище, а также хранилище больших двоичных объектов и таблиц.Microsoft Azure offers a variety of data storage solutions to meet different needs, including file, disk, blob, and table storage. Корпорация Майкрософт также предоставляет возможности шифрования для защиты Базы данных SQL Azure, Azure Cosmos DB и Azure Data Lake.Microsoft also provides encryption to protect Azure SQL Database, Azure Cosmos DB, and Azure Data Lake.

Шифрование неактивных данных доступно для службы с облачными моделями "программное обеспечение как услуга" (SaaS), "платформа как услуга" (PaaS) и "инфраструктура как услуга" (IaaS).Data encryption at rest is available for services across the software as a service (SaaS), platform as a service (PaaS), and infrastructure as a service (IaaS) cloud models. В этой статье приводится краткое описание и предлагаются ресурсы, которые помогут вам воспользоваться различными вариантами шифрования Azure.This article summarizes and provides resources to help you use the Azure encryption options.

Дополнительные сведения о шифровании неактивных данных в Azure см. в разделе Шифрование неактивных данных в Azure.For a more detailed discussion of how data at rest is encrypted in Azure, see Azure Data Encryption-at-Rest.

Модели шифрования AzureAzure encryption models

Azure поддерживает различные модели шифрования, включая шифрование на стороне сервера с помощью ключей, управляемых службами, ключей, управляемых клиентами в Key Vault, или ключей на оборудовании, управляемом клиентом.Azure supports various encryption models, including server-side encryption that uses service-managed keys, customer-managed keys in Key Vault, or customer-managed keys on customer-controlled hardware. Шифрование на стороне клиента позволяет хранить ключи локально или в другом защищенном месте, а также управлять ими.With client-side encryption, you can manage and store keys on-premises or in another secure location.

шифрования на стороне клиентаClient-side encryption

Шифрование на стороне клиента выполняется за пределами Azure.Client-side encryption is performed outside of Azure. Сюда входят:It includes:

  • Данные, зашифрованные приложением, выполняющимся в центре обработки данных клиента, или приложением службы.Data encrypted by an application that’s running in the customer’s datacenter or by a service application.
  • Зашифрованные данные, полученные Azure.Data that is already encrypted when it is received by Azure.

При шифровании на стороне клиента у поставщика облачных служб нет доступа к ключам шифрования и он не может расшифровать эти данные.With client-side encryption, cloud service providers don’t have access to the encryption keys and cannot decrypt this data. Вы полностью управляете ключами.You maintain complete control of the keys.

Шифрование на стороне сервераServer-side encryption

Три модели шифрования на стороне сервера имеют разные характеристики управления ключами, которые можно выбрать в соответствии с требованиями.The three server-side encryption models offer different key management characteristics, which you can choose according to your requirements:

  • Ключи, управляемые службами, обеспечивают возможности управления, удобство и низкие издержки.Service-managed keys: Provides a combination of control and convenience with low overhead.

  • Ключи, управляемые клиентом, дают возможность контролировать ключи, включая возможность использования собственных ключей (BYOK) или их создания.Customer-managed keys: Gives you control over the keys, including Bring Your Own Keys (BYOK) support, or allows you to generate new ones.

  • Ключи на оборудовании, управляемом клиентом, позволяют управлять ключами в собственном репозитории, не управляемом корпорацией Майкрософт.Service-managed keys in customer-controlled hardware: Enables you to manage keys in your proprietary repository, outside of Microsoft control. Это называется размещением собственного ключа (HYOK).This characteristic is called Host Your Own Key (HYOK). Однако конфигурация сложна, потому большинство служб Azure не поддерживают эту модель.However, configuration is complex, and most Azure services don’t support this model.

Шифрование дисков AzureAzure disk encryption

Виртуальные машины Windows и Linux можно защитить с помощью шифрования дисков Azure, при котором используется технология Windows BitLocker, и Linux DM-Crypt для защиты дисков операционной системы и дисков данных с шифрованием всего тома.You can protect Windows and Linux virtual machines by using Azure disk encryption, which uses Windows BitLocker technology and Linux DM-Crypt to protect both operating system disks and data disks with full volume encryption.

Защита ключей шифрования и секретов обеспечивается в подписке Azure Key Vault.Encryption keys and secrets are safeguarded in your Azure Key Vault subscription. С помощью службы Azure Backup можно создавать резервные копии виртуальных машин, зашифрованные с помощью конфигурации ключа шифрования ключей (KEK), а также восстанавливать эти виртуальные машины.By using the Azure Backup service, you can back up and restore encrypted virtual machines (VMs) that use Key Encryption Key (KEK) configuration.

Шифрование службы хранилища AzureAzure Storage Service Encryption

Неактивные данные, размещенные в хранилище BLOB-объектов Azure и файловых ресурсах Azure, можно зашифровать на стороне сервера и на стороне клиента.Data at rest in Azure Blob storage and Azure file shares can be encrypted in both server-side and client-side scenarios.

При шифровании службы хранилища Azure (SSE) данные можно автоматически зашифровать перед их сохранением и автоматически расшифровать после их получения.Azure Storage Service Encryption (SSE) can automatically encrypt data before it is stored, and it automatically decrypts the data when you retrieve it. Процесс является полностью прозрачным для пользователей.The process is completely transparent to users. Шифрование службы хранилища использует 256-разрядный алгоритм шифрования AES, являющийся одним из самых надежных блочных шифров.Storage Service Encryption uses 256-bit Advanced Encryption Standard (AES) encryption, which is one of the strongest block ciphers available. AES обеспечивает прозрачное шифрование, расшифровку и управление ключами.AES handles encryption, decryption, and key management transparently.

Шифрование больших двоичных объектов Azure на стороне клиентаClient-side encryption of Azure blobs

Шифрование больших двоичных объектов Azure можно выполнять разными способами.You can perform client-side encryption of Azure blobs in various ways.

Вы можете воспользоваться клиентской библиотекой службы хранилища Azure для пакета NuGet .NET для шифрования данных в клиентских приложениях до их передачи в службу хранилища Azure.You can use the Azure Storage Client Library for .NET NuGet package to encrypt data within your client applications prior to uploading it to your Azure storage.

Дополнительные сведения о клиентской библиотеке службы хранилища Azure для пакета NuGet .NET приведены в описании службы хранилища Azure 8.3.0.To learn more about and download the Azure Storage Client Library for .NET NuGet package, see Windows Azure Storage 8.3.0.

При использовании шифрования на стороне клиента с Key Vault данные шифруются с помощью одноразового симметричного ключа шифрования содержимого (CEK), который создает клиентский пакет SDK для службы хранилища Azure.When you use client-side encryption with Key Vault, your data is encrypted using a one-time symmetric Content Encryption Key (CEK) that is generated by the Azure Storage client SDK. CEK зашифрован с помощью ключа шифрования ключей (KEK), который может быть парой симметричных или асимметричных ключей.The CEK is encrypted using a Key Encryption Key (KEK), which can be either a symmetric key or an asymmetric key pair. Ими можно управлять локально или сохранить в Key Vault.You can manage it locally or store it in Key Vault. Зашифрованные данные затем передаются в службу хранилища Azure.The encrypted data is then uploaded to Azure Storage.

Дополнительные сведения о шифровании на стороне клиента с помощью Key Vault и инструкции приведены в разделе Шифрование и расшифровка BLOB-объектов в хранилище Microsoft Azure с помощью хранилища ключей Azure.To learn more about client-side encryption with Key Vault and get started with how-to instructions, see Tutorial: Encrypt and decrypt blobs in Azure Storage by using Key Vault.

Вы также можете использовать клиентскую библиотеку службы хранилища Azure для Java, чтобы шифровать данные на стороне клиента перед передачей в службу хранилища Azure и расшифровывать их при скачивании в клиент.Finally, you can also use the Azure Storage Client Library for Java to perform client-side encryption before you upload data to Azure Storage, and to decrypt the data when you download it to the client. Эта библиотека также поддерживает интеграцию с Key Vault для управления ключами учетной записи хранения.This library also supports integration with Key Vault for storage account key management.

Шифрование неактивных данных с помощью Базы данных SQL AzureEncryption of data at rest with Azure SQL Database

База данных SQL Azure — это реляционная база данных общего назначения (служба) в Azure, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные данные и XML.Azure SQL Database is a general-purpose relational database service in Azure that supports structures such as relational data, JSON, spatial, and XML. База данных SQL поддерживает шифрование на стороне сервера путем прозрачного шифрования данных (TDE) и шифрование на стороне клиента посредством функции Always Encrypted.SQL Database supports both server-side encryption via the Transparent Data Encryption (TDE) feature and client-side encryption via the Always Encrypted feature.

Прозрачное шифрование данныхTransparent Data Encryption

TDE используется для шифрования файлов данных SQL Server, Базы данных SQL Azure и хранилища данных SQL Azure в режиме реального времени с помощью ключа шифрования базы данных (DEK), хранящегося в загрузочной записи базы данных для обеспечения доступности во время восстановления.TDE is used to encrypt SQL Server, Azure SQL Database, and Azure SQL Data Warehouse data files in real time, using a Database Encryption Key (DEK), which is stored in the database boot record for availability during recovery.

TDE обеспечивает защиту данных и файлов журналов с помощью алгоритмов шифрования AES и 3DES.TDE protects data and log files, using AES and Triple Data Encryption Standard (3DES) encryption algorithms. Шифрование файлов базы данных выполняется на уровне страницы.Encryption of the database file is performed at the page level. Страницы в зашифрованной базе данных шифруются перед записью на диск и расшифровываются во время чтения в память.The pages in an encrypted database are encrypted before they are written to disk and are decrypted when they’re read into memory. В созданных базах данных Azure SQL TDE включено по умолчанию.TDE is now enabled by default on newly created Azure SQL databases.

Функция Always EncryptedAlways Encrypted feature

Используя функцию Always Encrypted в SQL Azure, можно шифровать данные в клиентских приложениях перед их сохранением в базе данных SQL Azure.With the Always Encrypted feature in Azure SQL you can encrypt data within client applications prior to storing it in Azure SQL Database. Можно также включить делегирование прав администрирования локальной базы данных третьим лицам и обеспечить разделение на владельцев данных (которые могут просматривать данные) и управляющих данными (у которых не должно быть доступа к данным).You can also enable delegation of on-premises database administration to third parties and maintain separation between those who own and can view the data and those who manage it but should not have access to it.

Шифрование на уровне ячейки или столбцаCell-level or column-level encryption

База данных SQL Azure позволяет применять симметричное шифрование к столбцу данных с помощью Transact-SQL.With Azure SQL Database, you can apply symmetric encryption to a column of data by using Transact-SQL. Данный подход называется шифрованием на уровне ячейки или столбцам, так как при этом можно зашифровать определенные столбцы или даже ячейки данных с помощью разных ключей шифрования.This approach is called cell-level encryption or column-level encryption (CLE), because you can use it to encrypt specific columns or even specific cells of data with different encryption keys. При этом обеспечивается более детальное шифрование, чем при использовании TDE, при котором данные шифруются на страницах.Doing so gives you more granular encryption capability than TDE, which encrypts data in pages.

CLE имеет встроенные функции, которые можно использовать для шифрования данных с помощью симметричных или асимметричных ключей, с помощью открытого ключа сертификата или парольной фразы с использованием 3DES.CLE has built-in functions that you can use to encrypt data by using either symmetric or asymmetric keys, the public key of a certificate, or a passphrase using 3DES.

Шифрование базы данных Cosmos DBCosmos DB database encryption

Azure Cosmos DB — это глобально распределенная многомодельная база данных Майкрософт.Azure Cosmos DB is Microsoft's globally distributed, multi-model database. Данные пользователя, хранящиеся в Cosmos DB в энергонезависимом хранилище (твердотельные накопители), шифруются по умолчанию.User data that's stored in Cosmos DB in non-volatile storage (solid-state drives) is encrypted by default. Невозможно включить или отключить такое шифрование.There are no controls to turn it on or off. Шифрование неактивных данных реализуется с применением различных технологий обеспечения безопасности, включая безопасные системы хранения ключей, зашифрованные сети и криптографические API.Encryption at rest is implemented by using a number of security technologies, including secure key storage systems, encrypted networks, and cryptographic APIs. Ключами шифрования управляет корпорация Майкрософт, и их смена осуществляется в соответствии с ее внутренними правилами.Encryption keys are managed by Microsoft and are rotated per Microsoft internal guidelines.

Шифрование неактивных данных в Data LakeAt-rest encryption in Data Lake

Azure Data Lake — корпоративный централизованный репозиторий данных различных типов, собранных до любого формального определения требований или схемы.Azure Data Lake is an enterprise-wide repository of every type of data collected in a single place prior to any formal definition of requirements or schema. Data Lake Store поддерживает модель "Включено по умолчанию", прозрачное шифрование неактивных данных, настраиваемое во время создания учетной записи.Data Lake Store supports "on by default," transparent encryption of data at rest, which is set up during the creation of your account. По умолчанию Azure Data Lake Store управляет ключами автоматически, но вы можете управлять ими вручную.By default, Azure Data Lake Store manages the keys for you, but you have the option to manage them yourself.

При шифровании и расшифровке данных используются три типа ключей: главный ключ шифрования (MEK), ключ шифрования данных (DEK) и ключ шифрования блоков (BEK).Three types of keys are used in encrypting and decrypting data: the Master Encryption Key (MEK), Data Encryption Key (DEK), and Block Encryption Key (BEK). MEK используется для шифрования DEK, хранящегося на постоянном носителе, а BEK можно получить на основе DEK и блока данных.The MEK is used to encrypt the DEK, which is stored on persistent media, and the BEK is derived from the DEK and the data block. Если вы управляете собственными ключами, MEK можно сменить.If you are managing your own keys, you can rotate the MEK.

Шифрование передаваемых данныхEncryption of data in transit

Azure предлагает множество механизмов защиты данных при их перемещении из одного расположения в другое.Azure offers many mechanisms for keeping data private as it moves from one location to another.

Шифрование TLS и SSL в AzureTLS/SSL encryption in Azure

Корпорация Майкрософт использует протокол TLS для защиты данных при их передаче между облачными службами и клиентами.Microsoft uses the Transport Layer Security (TLS) protocol to protect data when it’s traveling between the cloud services and customers. Центры обработки данных Майкрософт устанавливают подключение по протоколу TLS с клиентскими системами, подключающимися к службам Azure.Microsoft datacenters negotiate a TLS connection with client systems that connect to Azure services. TLS обеспечивает надежную аутентификацию, конфиденциальность сообщений, целостность данных (включая обнаружение незаконного изменения, перехвата и подделки сообщений), взаимодействие, гибкость алгоритмов, простоту развертывания и использования.TLS provides strong authentication, message privacy, and integrity (enabling detection of message tampering, interception, and forgery), interoperability, algorithm flexibility, and ease of deployment and use.

Полная безопасность пересылки (PFS) позволяет защитить подключения между клиентскими системами заказчиков и облачными службами Майкрософт с помощью уникальных ключей.Perfect Forward Secrecy (PFS) protects connections between customers’ client systems and Microsoft cloud services by unique keys. Соединения также используют ключи шифрования на 2048 бит на основе RSA.Connections also use RSA-based 2,048-bit encryption key lengths. Благодаря такому сочетанию усложняется перехват данных и доступ к ним во время передачи.This combination makes it difficult for someone to intercept and access data that is in transit.

Транзакции со службой хранилища AzureAzure Storage transactions

При взаимодействии со службой хранилища Azure на портале Azure все транзакции выполняются по протоколу HTTPS.When you interact with Azure Storage through the Azure portal, all transactions take place over HTTPS. Кроме того, для взаимодействия со службой хранилища Azure можно использовать REST API службы хранилища по протоколу HTTPS.You can also use the Storage REST API over HTTPS to interact with Azure Storage. Можно принудительно задать использование протокола HTTPS при вызове интерфейсов REST API для доступа к объектам в учетных записях хранения, включив безопасное перемещение для учетной записи хранения.You can enforce the use of HTTPS when you call the REST APIs to access objects in storage accounts by enabling the secure transfer that's required for the storage account.

Подписанные URL-адреса (SAS), которые можно использовать для делегирования доступа к объектам службы хранилища Azure, предусматривают возможность указывать, что при использовании подписанных URL-адресов можно использовать только протокол HTTPS.Shared Access Signatures (SAS), which can be used to delegate access to Azure Storage objects, include an option to specify that only the HTTPS protocol can be used when you use Shared Access Signatures. Таким образом любой пользователь, отправляя ссылки с маркерами SAS, будет использовать правильный протокол.This approach ensures that anybody who sends links with SAS tokens uses the proper protocol.

Протокол SMB 3.0, используемый для доступа к файловым ресурсам Azure, поддерживает шифрование и может использоваться в Windows Server 2012 R2, Windows 8, Windows 8.1 и Windows 10.SMB 3.0, which used to access Azure Files shares, supports encryption, and it's available in Windows Server 2012 R2, Windows 8, Windows 8.1, and Windows 10. Он обеспечивает доступ между регионами и даже доступ на компьютере.It allows cross-region access and even access on the desktop.

При шифровании на стороне клиента данные шифруются перед отправкой в ваш экземпляр службы хранилища Azure, чтобы обеспечить их шифрование при передаче по сети.Client-side encryption encrypts the data before it’s sent to your Azure Storage instance, so that it’s encrypted as it travels across the network.

Шифрование SMB в виртуальных сетях AzureSMB encryption over Azure virtual networks

С помощью SMB 3.0 на виртуальных машинах под управлением Windows Server 2012 или более поздней версии можно защитить передачу данных путем шифрования данных при передаче по виртуальной сети Azure.By using SMB 3.0 in VMs that are running Windows Server 2012 or later, you can make data transfers secure by encrypting data in transit over Azure Virtual Networks. Шифрование данных помогает защитить их от незаконного изменения и перехвата.By encrypting data, you help protect against tampering and eavesdropping attacks. Администраторы могут включить шифрование SMB для всего сервера или определенных общих ресурсов.Administrators can enable SMB encryption for the entire server, or just specific shares.

По умолчанию после включения шифрования SMB для общего ресурса или сервера доступ к зашифрованным общим ресурсам разрешен только клиентам SMB 3.0.By default, after SMB encryption is turned on for a share or server, only SMB 3.0 clients are allowed to access the encrypted shares.

Шифрование передаваемых данных в виртуальных машинахIn-transit encryption in VMs

В зависимости от типа подключение шифрование данных, передаваемых между виртуальными машинами под управлением Windows, осуществляется несколькими способами.Data in transit to, from, and between VMs that are running Windows is encrypted in a number of ways, depending on the nature of the connection.

Сеансы RDPRDP sessions

Вы можете подключиться к виртуальной машине и войти в нее с помощью протокола удаленного рабочего стола с клиентского компьютера Windows или с компьютера Mac с установленным клиентом RDP.You can connect and sign in to a VM by using the Remote Desktop Protocol (RDP) from a Windows client computer, or from a Mac with an RDP client installed. Данные, передаваемые по сети во время сеанса RDP, можно защитить с помощью протокола TLS.Data in transit over the network in RDP sessions can be protected by TLS.

Кроме того, можно воспользоваться удаленным рабочим столом для подключения к виртуальной машине Linux в AzureYou can also use Remote Desktop to connect to a Linux VM in Azure.

Защита доступа к виртуальным машинам Linux с помощью SSHSecure access to Linux VMs with SSH

С помощью Secure Shell (SSH) можно подключиться к виртуальным машинам Linux, работающим в Azure, для удаленного управления.For remote management, you can use Secure Shell (SSH) to connect to Linux VMs running in Azure. SSH — это протокол зашифрованного подключения, позволяющий безопасно входить в систему через незащищенные соединения.SSH is an encrypted connection protocol that allows secure sign-ins over unsecured connections. Это протокол подключения по умолчанию для виртуальных машин Linux, размещенных в Azure.It is the default connection protocol for Linux VMs hosted in Azure. Используя ключи SSH для аутентификации, не нужно применять пароли для входа.By using SSH keys for authentication, you eliminate the need for passwords to sign in. SSH использует пару открытого и закрытого ключей (асимметричное шифрование) для аутентификации.SSH uses a public/private key pair (asymmetric encryption) for authentication.

Шифрование Azure VPNAzure VPN encryption

К Azure можно подключиться через виртуальную частную сеть, создающую безопасный туннель, защищающий данные, отправляемые по сети.You can connect to Azure through a virtual private network that creates a secure tunnel to protect the privacy of the data being sent across the network.

VPN-шлюзы AzureAzure VPN gateways

VPN-шлюз Azure можно использовать для отправки зашифрованного трафика между виртуальной сетью и локальным расположением по общедоступному подключению или между виртуальными сетями.You can use an Azure VPN gateway to send encrypted traffic between your virtual network and your on-premises location across a public connection, or to send traffic between virtual networks.

VPN-подключения типа "сеть — сеть" используют протокол IPsec для шифрования транспорта.Site-to-site VPNs use IPsec for transport encryption. VPN-шлюзы Azure используют набор предложений по умолчанию.Azure VPN gateways use a set of default proposals. VPN-шлюзы Azure можно настроить для использования настраиваемой политики IPsec/IKE с определенными алгоритмами шифрования и надежностью ключа, а не наборов политик по умолчанию Azure.You can configure Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

VPN-подключения типа "точка — сеть"Point-to-site VPNs

VPN-подключения типа "точка — сеть" позволяют отдельным клиентским компьютерам осуществлять доступ к виртуальной сети Azure.Point-to-site VPNs allow individual client computers access to an Azure virtual network. Для создания VPN-туннеля используется протокол SSTP.The Secure Socket Tunneling Protocol (SSTP) is used to create the VPN tunnel. Он может проходить через брандмауэры (туннель выглядит как HTTPS-подключение).It can traverse firewalls (the tunnel appears as an HTTPS connection). Для создания подключений типа "точка — сеть" можно использовать собственный корневой центр сертификации (ЦС) внутренней инфраструктуры открытых ключей.You can use your own internal public key infrastructure (PKI) root certificate authority (CA) for point-to-site connectivity.

Вы можете настроить VPN-подключение типа "точка — сеть" к виртуальной сети на портале Azure, используя аутентификацию на основе сертификата или PowerShell.You can configure a point-to-site VPN connection to a virtual network by using the Azure portal with certificate authentication or PowerShell.

Дополнительные сведения о VPN-подключениях типа "точка — сеть" к виртуальным сетям Azure приведены в следующих разделах:To learn more about point-to-site VPN connections to Azure virtual networks, see:

Настройка подключения "точка — сеть" к виртуальной сети с использованием собственной аутентификации Azure на основе сертификата и портала AzureConfigure a point-to-site connection to a virtual network by using certification authentication: Azure portal

Настройка подключения "точка — сеть" к виртуальной сети с помощью собственной аутентификации Azure на основе сертификата и PowerShellConfigure a point-to-site connection to a virtual network by using certificate authentication: PowerShell

VPN-подключения типа "сеть — сеть"Site-to-site VPNs

Подключение VPN-шлюза типа "сеть — сеть" можно использовать для создания подключения между локальной сетью и виртуальной сетью Azure через VPN-туннель по протоколу IPsec/IKE (IKEv1 или IKEv2).You can use a site-to-site VPN gateway connection to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Для этого типа подключения требуется локальное VPN-устройство, которому назначен внешний общедоступный IP-адрес.This type of connection requires an on-premises VPN device that has an external-facing public IP address assigned to it.

Вы можете настроить VPN-подключение типа "сеть — сеть" к виртуальной сети с помощью Azure, PowerShell или Azure CLI.You can configure a site-to-site VPN connection to a virtual network by using the Azure portal, PowerShell, or Azure CLI.

Дополнительные сведения см. здесь:For more information, see:

Создание подключения типа "сеть — сеть" на портале AzureCreate a site-to-site connection in the Azure portal

Создание виртуальной сети с VPN-подключением типа "сеть — сеть" с помощью PowerShellCreate a site-to-site connection in PowerShell

Создание виртуальной сети с VPN типа "сеть — сеть" с помощью интерфейса командной строкиCreate a virtual network with a site-to-site VPN connection by using CLI

Шифрование передаваемых данных в Data LakeIn-transit encryption in Data Lake

Передаваемые (перемещаемые) данные также всегда шифруются в Data Lake Store.Data in transit (also known as data in motion) is also always encrypted in Data Lake Store. Данные не только шифруются перед сохранением на постоянном носителе. Они также всегда защищены при передаче благодаря использованию протокола HTTPS.In addition to encrypting data prior to storing it in persistent media, the data is also always secured in transit by using HTTPS. HTTPS — единственный протокол, который поддерживают интерфейсы REST в Data Lake Store.HTTPS is the only protocol that is supported for the Data Lake Store REST interfaces.

Дополнительные сведения о шифровании передаваемых данных в Data Lake см. в разделе Шифрование данных в Azure Data Lake Store.To learn more about encryption of data in transit in Data Lake, see Encryption of data in Data Lake Store.

Управление ключами с помощью Key VaultKey management with Key Vault

Без соответствующей защиты и управления ключами шифрование бесполезно.Without proper protection and management of the keys, encryption is rendered useless. Корпорация Майкрософт рекомендует использовать Key Vault в качестве решения по управлению доступом к ключам шифрования, используемым облачными службами.Key Vault is the Microsoft-recommended solution for managing and controlling access to encryption keys used by cloud services. Разрешения на доступ к ключам можно назначить службам или пользователям с помощью учетных записей Azure Active Directory.Permissions to access keys can be assigned to services or to users through Azure Active Directory accounts.

Key Vault освобождает организации от необходимости настройки, обновления и обслуживания аппаратных модулей безопасности и программного обеспечения по управлению ключами.Key Vault relieves organizations of the need to configure, patch, and maintain hardware security modules (HSMs) and key management software. При использовании Key Vault вы сохраняете контроль.When you use Key Vault, you maintain control. В корпорации Майкрософт не видны ваши ключи, а приложения не имеют к ним прямого доступа.Microsoft never sees your keys, and applications don’t have direct access to them. Кроме того, аппаратные модули безопасности позволяют импортировать и создавать ключи.You can also import or generate keys in HSMs.

Дальнейшие действияNext steps