共用方式為

Azure 中的加密

  • 發行項

Azure 中的技術保護措施,例如加密的通訊和作業程式,有助於保護您的數據安全。 您也可以彈性地實作其他加密功能,並管理您自己的密碼編譯密鑰。 不論客戶設定為何,Microsoft都會套用加密來保護 Azure 中的客戶數據。 Microsoft也可讓您透過一系列的進階技術來控制裝載在 Azure 中的數據,以加密、控制和管理密碼編譯密鑰,以及控制和稽核數據的存取權。 此外,Azure 記憶體提供一組完整的安全性功能,可讓開發人員建置安全的應用程式。

當數據從某個位置移至另一個位置時,Azure 提供許多保護數據的機制。 Microsoft使用 TLS 來保護在雲端服務與客戶之間傳輸的數據。 Microsoft的數據中心會與連線到 Azure 服務的客戶端系統交涉 TLS 連線。 轉寄密碼 (FS) 透過唯一金鑰來保護客戶客戶端系統與Microsoft雲端服務之間的連線。 Connections 也使用以 RSA 為基礎的 2,048 位加密密鑰長度。 這種組合讓某人難以攔截和存取傳輸中的數據。

您可以使用 用戶端加密、HTTPS 或 SMB 3.0,在應用程式與 Azure 之間保護傳輸中的數據。 您可以針對自己的虛擬機 (VM) 與使用者之間的流量啟用加密。 透過 Azure 虛擬網路,您可以使用業界標準的 IPsec 通訊協定來加密公司 VPN 閘道與 Azure 之間的流量,以及位於您 虛擬網路 上的 VM 之間的流量。

針對待用數據,Azure 提供許多加密選項,例如支援 AES-256,讓您選擇最符合您需求的數據記憶體案例。 使用記憶體服務加密 (SSE) 寫入至 Azure 記憶體時,可以自動加密數據,而且可以加密 VM 所使用的作業系統和數據磁碟。 如需詳細資訊,請參閱 Azure 中 Windows 虛擬機的安全性建議。 此外,您可以使用共用存取簽章來授與 Azure 記憶體中數據物件的委派存 取權。 Azure 也會針對 Azure SQL 資料庫和 Data Warehouse 使用透明數據加密,為待用數據提供加密。

如需 Azure 中加密的詳細資訊,請參閱 Azure 加密概觀Azure 待用數據加密

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Azure 磁碟加密

Azure 磁碟加密可讓您加密 Windows 和 Linux 基礎結構即服務 (IaaS) VM 磁碟。 Azure 磁碟加密會使用 Windows 的 BitLocker 功能和 Linux 的 DM-Crypt 功能,為操作系統和數據磁碟提供磁碟區層級加密。 它也可確保 VM 磁碟上的所有數據都會在您的 Azure 記憶體中待用時加密。 Azure 磁碟加密與 Azure 金鑰保存庫 整合,可協助您控制、管理及稽核加密密鑰和秘密的使用。

如需詳細資訊,請參閱 Azure 中 Windows 虛擬機的安全性建議

Azure 儲存體服務加密

使用 Azure 記憶體服務加密時,Azure 記憶體會先自動加密數據,再將資料保存到記憶體,並在擷取之前解密數據。 加密、解密和金鑰管理程式對使用者而言完全透明。 Azure 記憶體服務加密可用於 Azure Blob 儲存體Azure 檔案儲存體。 您也可以搭配使用Microsoft管理的加密密鑰與 Azure 記憶體服務加密,也可以使用自己的加密密鑰。 (如需使用您自己的金鑰的詳細資訊,請參閱在 Azure 金鑰保存庫 中使用客戶管理的金鑰進行記憶體服務加密。如需使用Microsoft管理密鑰的相關信息,請參閱待用數據的記憶體服務加密。) 此外,您也可以自動使用加密。 例如,您可以使用 Azure 記憶體資源提供者 REST API、適用於 .NET 的記憶體資源提供者客戶端連結庫、Azure PowerShellAzure CLI,以程式設計方式在記憶體帳戶上啟用或停用記憶體服務加密。

某些Microsoft 365 服務會使用 Azure 來儲存數據。 例如,SharePoint Online 和 商務用 OneDrive 將數據儲存在 Azure Blob 記憶體中,而 Microsoft Teams 會將其聊天服務的數據儲存在數據表、Blob 和佇列中。 此外,Microsoft Purview 合規性入口網站 中的合規性管理員功能會將客戶輸入的數據以加密形式儲存在 Azure Cosmos DB 中,這是平臺即服務 (PaaS) 、全域散發的多模型資料庫。 Azure 記憶體服務加密會加密儲存在 Azure Blob 記憶體和數據表中的數據,而 Azure 磁碟加密會加密佇列中的數據,以及加密 Windows 和 IaaS 虛擬機磁碟,以提供作業系統和數據磁碟的磁碟區加密。 此解決方案可確保虛擬機磁碟上的所有數據都會在您的 Azure 記憶體中待用時加密。 Azure Cosmos DB 中的待用加密 是使用數種安全性技術來實作,包括安全密鑰儲存系統、加密的網路和密碼編譯 API。

Azure Key Vault

安全金鑰管理不只是加密最佳做法的核心;這對於保護雲端中的數據也很重要。 Azure 金鑰保存庫 可讓您加密金鑰和小型秘密,例如使用儲存在硬體安全性模組中的金鑰的密碼, (HSM) 。 Azure 金鑰保存庫 是Microsoft建議的解決方案,可用來管理和控制雲端服務所使用加密密鑰的存取權。 存取金鑰的許可權可以指派給服務或具有 Microsoft Entra 帳戶的使用者。 Azure 金鑰保存庫 可減輕組織設定、修補及維護 HSM 和密鑰管理軟體的需求。 使用 Azure 金鑰保存庫,Microsoft 永遠不會看到您的密鑰,且應用程式無法直接存取它們;您可以維持控制權。 您也可以在 HSM 中匯入或產生金鑰。 具有包含 Azure 資訊保護 的訂用帳戶的組織可以將其 Azure 資訊保護 租使用者設定為使用客戶自控密鑰自備密鑰 (BYOK) ) 並記錄其使用量