Azure Cosmos DB for MongoDB vCore 中的資料加密

適用於： MongoDB vCore

「待用加密」是一個用來描述加密靜態儲存裝置 (例如固態硬碟 (SSD) 和硬碟 (HDD)) 上資料的常見用語。 Azure Cosmos DB 會在 SSD 上儲存其主要資料庫。 其媒體附件和備份會儲存在一般由 HDD 進行備份的 Azure Blob 儲存體中。 隨著針對 Azure Cosmos DB 發行待用加密之後，您的所有資料庫、媒體附件及備份都會進行加密。 您的資料現在會在傳輸過程 (透過網路) 和待用 (位於靜態儲存裝置上) 期間進行加密，提供您端對端的加密。

作為平台即服務 (PaaS)，Azure Cosmos DB 很容易使用。 由於儲存在 Azure Cosmos DB 中的所有使用者資料都會在待用和傳輸過程期間進行加密，因此您不必採取任何動作。 換句話說，待用加密預設為「開啟」。 沒有關閉或開啟的控制項。 Azure Cosmos DB 在帳戶執行所在的所有區域中都會使用 AES-256 加密。

在提供這項功能的同時，我們會繼續符合可用性和效能服務等級協定 (SLA)。 儲存在 Azure Cosmos DB 帳戶中的資料，會使用由 Microsoft 管理的金鑰 (受服務管理的金鑰) 自動進行縝密的加密。 客戶管理的金鑰 （CMK） 加密即將在 2025 年初推出服務。 請連絡 Microsoft 支援服務，以取得私人預覽版的存取權。

Azure Cosmos DB 待用加密實作

待用加密是使用數種安全性技術予以實作，而這些技術包括安全金鑰儲存體系統、加密的網路和密碼編譯 API。 負責解密及處理資料的系統，必須和負責管理金鑰的系統進行通訊。 下圖顯示加密資料儲存體和金鑰管理的分隔方式。

使用者要求的基本流程如下：

• 準備好使用者資料庫帳戶，並透過向管理服務資源提供者提出要求來擷取儲存體金鑰。
• 使用者會透過 HTTPS/安全傳輸來建立與 Azure Cosmos DB 的連線。 (SDK 會對詳細資料進行抽象處理)。
• 使用者透過先前所建立的安全連線，傳送要儲存的 JSON 文件。
• 為 JSON 文件編製索引 (除非使用者已關閉編製索引)。
• JSON 文件和索引資料皆寫入安全儲存體。
• 系統會定期自安全儲存體讀取資料，並備份到 Azure 加密 Blob 存放區。

常見問題集

尋找加密常見問題的解答。

如果啟用「儲存體服務加密」，Azure 儲存體的成本會增加多少？

沒有額外費用。

我可以使用客戶管理的金鑰來加密我的數據嗎？

這項功能即將在 2025 年初推出。 請連絡 Microsoft 支援服務，以取得私人預覽版的存取權。

加密金鑰多久輪替一次？

針對加密金鑰輪替，Microsoft 有一套 Azure Cosmos DB 會遵循的內部方針。 不會發佈特定方針。 Microsoft 會發佈安全性開發生命週期，這會視為內部指導方針的子集，其中包含對開發人員很實用的最佳做法。

有哪些區域已開啟加密？

所有 Azure Cosmos DB 區域都已針對所有使用者資料開啟加密。

加密會影響效能延遲和輸送量 SLA 嗎？

因為所有現有和新帳戶現在都已啟用待用加密，所以效能 SLA 沒有任何影響或變更。 若要查看最新的保證，請參閱 SLA for Azure Cosmos DB。

本機模擬器支援待用加密嗎？

模擬器是獨立的開發/測試工具，不使用受控 Azure Cosmos DB 服務所使用的金鑰管理服務。 建議您在儲存敏感性模擬器測試資料的磁碟機上啟用 BitLocker。 模擬器支援變更預設資料目錄，也支援使用已知位置。

下一步

• 如需 Microsoft 認證的詳細資訊，請參閱 Azure 信任中心。