Шифрование в Azure
Технологические меры безопасности в Azure, такие как зашифрованные коммуникации и операционные процессы, помогают обеспечить безопасность данных. Вы также можете реализовать дополнительные функции шифрования и управлять собственными криптографическими ключами. Независимо от конфигурации клиента корпорация Майкрософт применяет шифрование для защиты данных клиентов в Azure. Корпорация Майкрософт также позволяет управлять данными, размещенными в Azure, с помощью ряда передовых технологий для шифрования, контроля и управления криптографическими ключами, а также контроля и аудита доступа к данным. Кроме того, служба хранилища Azure предоставляет комплексный набор возможностей безопасности, которые вместе позволяют разработчикам создавать безопасные приложения.
Azure предлагает множество механизмов для защиты данных при их перемещении из одного расположения в другое. Корпорация Майкрософт использует ПРОТОКОЛ TLS для защиты данных при их перемещении между облачными службами и клиентами. Центры обработки данных Майкрософт согласовывают подключение по протоколу TLS с клиентскими системами, которые подключаются к службам Azure. Пересылка секретности (FS) защищает подключения между клиентскими системами клиентов и облачными службами Майкрософт с помощью уникальных ключей. Подключения также используют 2048-разрядные ключи шифрования на основе RSA. Это сочетание затрудняет перехват передаваемых данных и доступ к ним.
Данные можно защитить при передаче между приложением и Azure с помощью шифрования на стороне клиента, HTTPS или SMB 3.0. Вы можете включить шифрование для трафика между собственными виртуальными машинами и пользователями. С помощью виртуальных сетей Azure можно использовать стандартный отраслевой протокол IPsec для шифрования трафика между корпоративным VPN-шлюзом и Azure, а также между виртуальными машинами, расположенными на виртуальная сеть.
Для неактивных данных Azure предлагает множество вариантов шифрования, таких как поддержка AES-256, что позволяет выбрать сценарий хранения данных, который наилучшим образом соответствует вашим потребностям. Данные могут быть автоматически зашифрованы при записи в службу хранилища Azure с помощью шифрования службы хранилища, а диски операционной системы и данных, используемые виртуальными машинами, можно зашифровать. Дополнительные сведения см. в статье Рекомендации по безопасности для виртуальных машин Windows в Azure. Кроме того, делегированный доступ к объектам данных в службе хранилища Azure можно предоставить с помощью подписанных url-адресов. Azure также обеспечивает шифрование неактивных данных с помощью прозрачного шифрования данных для базы данных Azure SQL и Data Warehouse.
Дополнительные сведения о шифровании в Azure см. в разделах Общие сведения о шифровании Azure и Шифрование неактивных данных Azure.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Шифрование дисков Azure
Шифрование дисков Azure позволяет шифровать диски виртуальных машин IaaS (инфраструктура как услуга) Windows и Linux. Шифрование дисков Azure использует функцию BitLocker Windows и DM-Crypt linux для обеспечения шифрования на уровне тома для операционной системы и дисков данных. Это также гарантирует, что все данные на дисках виртуальной машины шифруются при хранении в хранилище Azure. Шифрование дисков Azure интегрировано с Azure Key Vault, чтобы помочь вам контролировать, администрировать и проверять использование ключей шифрования и секретов.
Дополнительные сведения см. в статье Рекомендации по безопасности для виртуальных машин Windows в Azure.
Шифрование службы хранилища Azure
С помощью шифрования службы хранилища Azure служба хранилища Azure автоматически шифрует данные перед их сохранением в хранилище и расшифровывает данные перед извлечением. Процессы шифрования, расшифровки и управления ключами полностью прозрачны для пользователей. Шифрование службы хранилища Azure можно использовать для Хранилище BLOB-объектов Azure и Файлы Azure. Вы также можете использовать управляемые корпорацией Майкрософт ключи шифрования с шифрованием службы хранилища Azure или собственные ключи шифрования. (Сведения об использовании собственных ключей см. в статье Шифрование службы хранилища с помощью ключей, управляемых клиентом, в Azure Key Vault. Сведения об использовании ключей, управляемых Корпорацией Майкрософт, см. в статье Шифрование службы хранилища для неактивных данных.) Кроме того, можно автоматизировать использование шифрования. Например, вы можете программно включить или отключить шифрование службы хранилища в учетной записи хранения с помощью REST API поставщика ресурсов службы хранилища Azure, клиентской библиотеки поставщика ресурсов хранилища для .NET, Azure PowerShell или Azure CLI.
Некоторые службы Microsoft 365 используют Azure для хранения данных. Например, SharePoint Online и OneDrive для бизнеса хранить данные в хранилище BLOB-объектов Azure, а Microsoft Teams хранит данные для своей службы чата в таблицах, BLOB-объектах и очередях. Кроме того, функция диспетчера соответствия требованиям в Портал соответствия требованиям Microsoft Purview хранит данные, введенные клиентом, в зашифрованном виде в Azure Cosmos DB, в глобально распределенной базе данных с несколькими моделями. Шифрование службы хранилища Azure шифрует данные, хранящиеся в хранилище BLOB-объектов Azure и в таблицах, а шифрование дисков Azure шифрует данные в очередях, а также диски виртуальных машин Windows и IaaS для обеспечения шифрования томов для операционной системы и диска данных. Решение гарантирует, что все данные на дисках виртуальных машин шифруются в хранилище Azure. Шифрование неактивных данных в Azure Cosmos DB реализуется с помощью нескольких технологий безопасности, включая защищенные системы хранения ключей, зашифрованные сети и криптографические API.
Azure Key Vault
Безопасное управление ключами — это не только основа рекомендаций по шифрованию; Это также важно для защиты данных в облаке. Azure Key Vault позволяет шифровать ключи и небольшие секреты, такие как пароли, которые используют ключи, хранящиеся в аппаратных модулях безопасности (HSM). Azure Key Vault — это рекомендуемое решение Корпорации Майкрософт для управления доступом к ключам шифрования, используемым облачными службами. Разрешения на доступ к ключам могут быть назначены службам или пользователям с учетными записями Azure Active Directory. Azure Key Vault избавляет организации от необходимости настраивать, исправлять и обслуживать модули HSM и программное обеспечение для управления ключами. При использовании Azure Key Vault корпорация Майкрософт никогда не видит, что ваши ключи и приложения не имеют прямого доступа к ним. Вы сохраняете контроль. Вы также можете импортировать или создавать ключи в модулях HSM. Организации, имеющие подписку, включающую Azure Information Protection, могут настроить свой клиент azure Information Protection для использования управляемого клиентом ключа Bring Your Own Key (BYOK)) и регистрировать его использование.