Kryptering i Azure
Tekniska säkerhetsåtgärder i Azure, till exempel krypterad kommunikation och driftsprocesser, hjälper till att skydda dina data. Du har också flexibiliteten att implementera ytterligare krypteringsfunktioner och hantera dina egna kryptografiska nycklar. Oavsett kundkonfiguration använder Microsoft kryptering för att skydda kunddata i Azure. Med Microsoft kan du även styra dina data i Azure via en mängd olika avancerade tekniker för att kryptera, kontrollera och hantera kryptografiska nycklar samt kontrollera och granska åtkomst till data. Dessutom innehåller Azure Storage omfattande säkerhetsfunktioner som tillsammans gör det möjligt för utvecklare att skapa säkra program.
Azure erbjuder många mekanismer för att skydda data när de flyttas från en plats till en annan. Microsoft använder TLS för att skydda data när de reser mellan molntjänster och kunder. Microsofts datacenter förhandlar fram en TLS-anslutning med klientsystem som ansluter till Azure-tjänster. Den perfekta forwardskopplingen (PFS) skyddar anslutningar mellan kundernas klientsystem och Microsofts molntjänster med unika nycklar. I Connections används även RSA-baserade krypteringsnyckellängder på 2 048 bitar. Den här kombinationen gör det svårt för någon att snappa upp och komma åt data som överförs.
Data kan skyddas under överföring mellan ett program och Azure med hjälp av klientkryptering, HTTPS eller SMB 3.0. Du kan aktivera kryptering av trafik mellan dina egna virtuella maskiner och dina användare. Med virtuella Azure-nätverkkan du använda IPsec-protokollet med branschstandard för att kryptera trafiken mellan företagets VPN-gateway och Azure samt mellan de virtuella maskinerna som finns på ditt virtuella nätverk.
För data i vila erbjuder Azure många krypteringsalternativ, till exempel stöd för AES-256, vilket ger dig möjlighet att välja det scenario för datalagring som bäst uppfyller dina behov. Data kan krypteras automatiskt när de skrivs Azure Storage med Storage tjänstkrypteringoch operativsystems- och datadiskar som används av virtuella maskiner kan krypteras. Mer information finns i Säkerhetsrekommendationer för Windows virtuella datorer i Azure. Delegerad åtkomst till dataobjekt i Azure Storage med signaturer för delad åtkomst. Azure tillhandahåller också kryptering för data i vila med hjälp transparent datakryptering för Azure SQL Database och Data Warehouse.
Mer information om kryptering i Azure finns i Översikt över Azure-kryptering och Azure Data Encryption-at-Rest.
Azure Diskkryptering
Med Azure Disk encryption kan du kryptera dina Windows och Linux Infrastructure as a Service (IaaS) VM-diskar. Azure Diskkryptering utnyttjar BitLocker-funktionen i Windows och DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna. Det säkerställer också att alla data på VM-diskar är krypterade i vila i din Azure-lagring. Azure Disk encryption is integrated with Azure Key Vault to help you control, manage, and audit the use of the encryption keys and secrets.
Mer information finns i Säkerhetsrekommendationer för Windows virtuella datorer i Azure.
Azure Storage Tjänstkryptering
Med Azure Storage tjänstkrypteringkrypteras Azure Storage automatiskt data innan de sparas i lagringen och dekrypteras data innan de hämtas. Processerna för kryptering, dekryptering och nyckelhantering är helt transparenta för användarna. Azure Storage Tjänstkryptering kan användas för Azure Blob Storage och Azure-filer. Du kan också använda Microsoft-hanterade krypteringsnycklar med Azure Storage eller använda dina egna krypteringsnycklar. (Information om hur du använder egna nycklar finns i Storage tjänstkryptering med kund hanterade nycklar i Azure Key Vault. Information om hur du använder Microsoft-hanterade nycklar finns Storage tjänstkryptering för data i vila.) Dessutom kan du automatisera användningen av kryptering. Exempelvis kan du programmässigt aktivera eller inaktivera Storage-tjänstkryptering på ett lagringskonto med REST API för Azure Storage-resursleverantör,Storage Resursleverantörsklientbibliotek för .NET, Azure PowerShelleller Azure CLI.
Vissa Microsoft 365 tjänster använder Azure för att lagra data. Exempel: SharePoint Online OneDrive för företag lagra data i Azure Blob Storage, och Microsoft Teams lagrar data för sin chatttjänst i tabeller, blobbar och köer. Dessutom lagras kunddata i funktionen Efterlevnadshanterareni Microsoft 365 Efterlevnadscenter som lagras i krypterad form i Azure Azures DB , en PaaS-plattform (Platform as a Service), en globalt distribuerad flermodellsdatabas. Azure Storage Tjänstkryptering krypterar data som lagras i Blob-lagring i Azure och i tabeller, och Azure-diskkryptering krypterar data i köer samt Windows- och IaaS-virtuella maskindiskar för att tillhandahålla volymkryptering för operativsystemet och datadisken. Lösningen säkerställer att alla data på den virtuella datorns diskar är krypterade i vila i din Azure-lagring. Kryptering i vila i Azure Azure Azures DB implementeras med hjälp av flera säkerhetstekniker, inklusive säkra nyckellagringssystem, krypterade nätverk och kryptografiska API:er.
Azure-nyckelvalv
Säker nyckelhantering är inte bara grundläggande för metodtips för kryptering. det är också viktigt för att skydda data i molnet. Med Azure-nyckelvalv kan du kryptera nycklar och små hemligheter som lösenord som använder nycklar som lagras i maskinvarusäkerhetsmoduler (HSMs). Azure Key Vault är Microsofts rekommenderade lösning för att hantera och kontrollera åtkomst till krypteringsnycklar som används av molntjänster. Behörigheter för snabbtangenter kan tilldelas tjänster eller till användare med Azure Active Directory konton. Med Azure Key Vault kan man lätta upp organisationer när de behöver konfigurera, korrigera och underhålla HSMs och nyckelhanteringsprogram. Med Azure-nyckelvalv ser Microsoft aldrig dina nycklar och program som inte har direkt åtkomst till dem. har du kontroll. Du kan också importera eller generera nycklar i snabbmeddelanden. Organisationer som har en prenumeration som innehåller Azure Information Protection kan konfigurera sin Azure Information Protection-klientorganisation att använda en kund hanterad nyckel Bring Your Own Key (BYOK)) och logga användningen av den.