通过

Azure加密概述

本文概述了如何在Microsoft Azure中使用加密。 它涵盖了加密的主要领域,包括静态加密、外部加密以及使用 Azure 密钥保管库 进行密钥管理。

静止数据加密

静态数据包括以任何数字格式驻留在物理介质上的永久性存储中的信息。 Microsoft Azure提供各种数据存储解决方案来满足不同的需求,包括文件、磁盘、Blob 和表存储。 Microsoft还提供加密来保护 Azure SQL 数据库Azure Cosmos DB

可以使用 AES 256 加密来保护软件即服务(SaaS)、平台即服务(PaaS)和基础结构即服务(IaaS)云模型的静态数据。

有关 Azure 如何对静态数据进行加密的更详细讨论,请参阅Azure 数据静态加密

Azure加密模型

Azure支持各种加密模型,包括服务器端加密,这些加密使用服务管理的密钥、密钥保管库中的客户管理的密钥,或客户控制的硬件上的客户管理的密钥。 通过使用客户端加密,可以在本地或另一个安全位置管理和存储密钥。

客户端加密

在Azure之外执行客户端加密。 其中包括:

  • 由您数据中心运行的应用程序或服务应用程序加密的数据
  • Azure收到的数据是已经加密的

通过使用客户端加密,云服务提供商无法访问加密密钥,并且无法解密此数据。 你完全控制了密钥。

服务器端加密

这三种服务器端加密模型提供不同的密钥管理特征:

  • 服务托管密钥:以低开销提供控制和便利性的组合。
  • 客户托管密钥:让你能够控制密钥,包括支持自带密钥 (BYOK),或允许你生成新密钥。
  • 通过客户控制的硬件进行服务管理的密钥:使你能够在Microsoft控制之外,在您的专属存储库中管理密钥(也称为拥有自己的密钥或 HYOK)。

Azure 磁盘加密

重要

Azure 磁盘加密定于 2028 年 15 月 15 日停用。 在该日期之前,可以继续使用Azure 磁盘加密而不中断。 2028 年 9 月 15 日,已启用 ADE 的工作负荷将继续运行,但 VM 重启后加密磁盘将无法解锁,从而导致服务中断。

使用 主机端加密 用于新 VM。 所有已启用 ADE 的 VM(包括备份)必须在停用日期之前迁移到主机上的加密,以避免服务中断。 有关详细信息,请参阅 从 Azure 磁盘加密迁移到主机加密

默认情况下,所有托管磁盘、快照和映像都使用存储服务加密和服务管理的密钥进行加密。 对于虚拟机,主机加密为 VM 数据提供端到端加密,包括临时磁盘和 OS/数据磁盘缓存。 Azure还提供用于管理Azure 密钥保管库中的密钥的选项。 有关详细信息,请参阅托管磁盘加密选项概述

Azure 存储服务加密

可以在 Azure Blob 存储和Azure文件共享中加密静态数据,以用于服务器端和客户端方案。

Azure 存储服务加密(SSE)在存储数据之前自动加密数据,并在检索数据时自动解密数据。 存储服务加密使用 256 位 AES 加密,这是可用的最强块加密之一。

Azure SQL 数据库 加密

Azure SQL 数据库 是一种常规用途的关系数据库服务,支持关系数据、JSON、空间和 XML 等结构。 SQL 数据库通过 透明数据加密 (TDE) 功能和通过 Always Encrypted 功能支持服务器端加密。

透明数据加密

TDE使用数据库加密密钥(DEK)实时加密SQL ServerAzure SQL 数据库Azure Synapse Analytics数据文件。 默认情况下,在新建Azure SQL数据库上启用 TDE。

始终加密 (Always Encrypted)

Azure SQL中的 Always Encrypted 功能允许在客户端应用程序中加密数据,然后将其存储在Azure SQL 数据库中。 您可以启用将本地数据库管理委派给第三方,同时保持数据的拥有者和管理者之间的分离。

单元级加密或列级加密

使用 Azure SQL 数据库,可以使用Transact-SQL将对称加密应用于数据列。 此方法称为 单元级加密或列级加密(CLE),因为可以使用此方法来加密具有不同加密密钥的特定列或单元格。 此方法提供比 TDE 更精细的加密功能。

Azure Cosmos DB数据库加密

Azure Cosmos DB是Microsoft全球分布式多模型数据库。 默认情况下,存储在非易失性存储(固态驱动器)中Azure Cosmos DB的用户数据使用服务管理的密钥进行加密。 可以使用 客户管理的密钥(CMK) 功能,使用自己的密钥添加第二层加密。

传输中的数据加密

Azure提供了许多机制,用于将数据从一个位置移动到另一个位置时保持数据私密性。

每当Azure客户流量在数据中心之间移动 - 超出Microsoft控制的物理边界时,便会使用IEEE 802.1AE MAC安全标准(也称为MACsec),在基础网络硬件中实现点到点的数据链路层加密方法。 设备先加密数据包,然后再发送数据包,防止物理“中间人”或窃听/窃听攻击。 默认情况下,此 MACsec 加密适用于在区域或区域之间行驶的所有Azure流量。

TLS 加密

Microsoft使客户能够在云服务和客户之间传输数据时使用传输层安全性(TLS)协议来保护数据。 Microsoft数据中心与连接到 Azure 服务的客户端系统协商 TLS 连接。 TLS 提供强身份验证、消息隐私和完整性。

重要

Azure转换后,需要 TLS 1.2 或更高版本才能连接到Azure服务。 大多数Azure服务于 2025 年 8 月 31 日完成此转换。 确保应用程序使用 TLS 1.2 或更高版本。

完美转发保密(PFS)通过唯一密钥保护客户客户端系统和Azure云服务之间的连接。 连接支持基于 RSA 的 2,048 位密钥长度、ECC 256 位密钥长度、SHA-384 消息身份验证和 AES-256 数据加密。

Azure 存储 事务

通过Azure门户与Azure 存储交互时,所有事务都通过 HTTPS 进行。 还可以通过 HTTPS 使用存储 REST API 与Azure 存储进行交互。 通过为存储帐户启用安全传输要求,可以在调用 REST API 时强制使用 HTTPS。

共享访问签名(SAS)可用于委托对Azure 存储对象的访问,包括指定只能使用 HTTPS 协议的选项。

SMB 加密

SMB 3.0,用于访问Azure 文件存储共享、支持加密,Windows Server 2012 R2、Windows 8、Windows 8.1 和Windows 10中可用。 它支持跨区域访问,并支持桌面访问。

VPN 加密

可以通过创建安全隧道的虚拟专用网络连接到Azure,以保护通过网络发送的数据的隐私。

Azure VPN 网关

Azure VPN 网关通过公共连接在您的虚拟网络和本地位置之间,或在虚拟网络之间发送加密流量。 站点到站点 VPN 使用 IPsec 进行传输加密。

点对站点 VPN

点到站点 VPN 允许单个客户端计算机访问Azure虚拟网络。 安全套接字隧道协议 (SSTP) 创建 VPN 隧道。 有关详细信息,请参阅 配置到虚拟网络的点到站点连接

站点到站点虚拟专用网络 (VPN)

站点到站点 VPN 网关连接通过 IPsec/IKE VPN 隧道将本地网络连接到Azure虚拟网络。 有关详细信息,请参阅 创建站点到站点连接

使用 密钥保管库 进行密钥管理

如果没有适当的密钥保护和管理,加密是毫无用的。 Azure提供多种关键管理解决方案,包括Azure 密钥保管库、Azure 密钥保管库托管 HSM、Azure云 HSM 和Azure支付 HSM。

密钥保管库无需配置、修补和维护硬件安全模块(HSM)和密钥管理软件。 通过使用 密钥保管库,可以保持控制 — 应用程序无权直接访问密钥。 也可以在 HSM 中导入或生成密钥。 为了获得最强大的密钥隔离保证,Azure 受管 HSM 提供客户拥有的安全域名,Microsoft 无法访问您的密钥材料。

有关 Azure 中的密钥管理的详细信息,请参阅 Azure 中的密钥管理

后续步骤

  • Last updated on