Azure 中的技術保護措施,例如加密通訊和作業程式,有助於保護資料安全。 您還可以靈活地實施其他加密功能並管理您自己的加密密鑰。 無論客戶設定為何,Microsoft 都會套用加密來保護 Azure 中的客戶資料。 Microsoft 也可讓您透過一系列進階技術來加密、控制和管理密碼編譯金鑰,以及控制和稽核資料的存取,來控制裝載在 Azure 中的資料。 此外,Azure 儲存體提供一組完整的安全性功能,讓開發人員能夠建置安全的應用程式。
Azure 提供許多機制來保護資料從一個位置移動到另一個位置。 Microsoft 使用 TLS 來保護資料在雲端服務與客戶之間傳輸時。 Microsoft 的數據中心會與連接到 Azure 服務的客戶端系統交涉 TLS 連接。 FS (Forward Secrecy) 透過唯一金鑰保護客戶端系統與Microsoft雲端服務之間的連線。 Connections 也使用以 RSA 為基礎的 2,048 位元加密金鑰長度。 這種組合使某人很難攔截和存取傳輸中的資料。
您可以使用 用戶端加密、HTTPS 或 SMB 3.0 來保護應用程式與 Azure 之間傳輸的資料。 您可以為自己的虛擬機器 (虛擬機器) 與使用者之間的流量啟用加密。 使用 Azure 虛擬網路,您可以使用業界標準 IPsec 通訊協定來加密公司 VPN 閘道與 Azure 之間的流量,以及位於虛擬網路上的 VM 之間的流量。
對於靜態數據,Azure 提供許多加密選項,例如對 AES-256 的支持,允許您選擇最符合您需求的數據存儲場景。 使用儲存體服務加密 (SSE) 寫入 Azure 儲存體時,可以自動加密資料,而且可以加密 VM 所使用的作業系統和資料磁碟。 如需詳細資訊,請參閱 Azure 中 Windows 虛擬機器的安全性建議。 此外,您可以使用 共用存取簽章授與 Azure 儲存體中資料物件的委派存取權。 Azure 也會使用 Azure SQL Database 和 Data Warehouse 的透明資料加密來加密待用資料。
如需 Azure 中加密的詳細資訊,請參閱 Azure 加密概觀 和 Azure 待用資料加密。
Azure 磁碟加密
Azure 磁碟加密可讓您加密 Windows 和 Linux 基礎結構即服務 (IaaS) VM 磁碟。 Azure 磁碟加密會使用 Windows 的 BitLocker 功能和 Linux 的 DM-Crypt 功能,為作業系統和資料磁碟提供磁碟區層級加密。 它也會確保 VM 磁碟上的所有資料都會在 Azure 儲存體中靜態加密。 Azure 磁碟加密與 Azure 金鑰保存庫整合,可協助您控制、管理和稽核加密金鑰和秘密的使用。
如需詳細資訊,請參閱 Azure 中 Windows 虛擬機器的安全性建議。
Azure 儲存體服務加密
使用 Azure 儲存體服務加密,Azure 儲存體會在將資料保存至儲存體之前自動加密資料,並在擷取之前解密資料。 加密、解密和密鑰管理過程對用戶完全透明。 Azure 儲存體服務加密可用於 Azure Blob 儲存體和 Azure 檔案儲存體。 您也可以搭配 Azure 儲存體服務加密使用 Microsoft 管理的加密金鑰,也可以使用自己的加密金鑰。 (如需使用您自己的金鑰的相關資訊,請參閱 在 Azure 金鑰保存庫中使用客戶自控金鑰進行儲存體服務加密。如需使用Microsoft管理金鑰的相關資訊,請參閱靜態資料的儲存體服務加密。) 此外,您可以自動使用加密。 例如,您可以使用 Azure 儲存體資源提供者 REST API、適用於 .NET 的儲存體資源提供者用戶端程式庫、Azure PowerShell 或 Azure CLI ,以程式設計方式在儲存體帳戶上啟用或停用儲存體服務加密。
某些 Microsoft 365 服務會使用 Azure 來儲存資料。 例如,SharePoint Online 和商務商務用 OneDrive 會將資料儲存在 Azure Blob 儲存體中,而 Microsoft Teams 會將其聊天服務的資料儲存在資料表、Blob 和佇列中。 此外,Microsoft Purview 入口網站中的合規性管理員功能會將客戶輸入的數據以加密形式儲存在 Azure Cosmos DB 中,這是 PaaS) 、全域分散式多模型資料庫 (平台即服務。 Azure 儲存體服務加密會加密儲存在 Azure Blob 儲存體和資料表中的資料,而 Azure 磁碟加密會加密佇列中的資料,以及 Windows 和 IaaS 虛擬機器磁碟,以提供作業系統和資料磁碟的磁碟區加密。 此解決方案可確保虛擬機器磁碟上的所有資料都會在 Azure 儲存體中進行待用加密。 Azure Cosmos DB 中的待用加密 是使用數種安全性技術來實作,包括安全金鑰儲存體系統、加密網路和密碼編譯 API。
Azure Key Vault
安全金鑰管理不僅是加密最佳實踐的核心;它對於保護雲端中的資料也至關重要。 Azure 金鑰保存庫 可讓您加密金鑰和小型秘密,例如密碼,這些密碼會使用儲存在硬體安全性模組 (HSM) 中的金鑰。 Azure 金鑰保存庫是 Microsoft 建議的解決方案,用於管理和控制雲端服務所使用加密金鑰的存取。 存取金鑰的許可權可以指派給服務或具有 Microsoft Entra 帳戶的使用者。 Azure 金鑰保存庫可讓組織免於設定、修補和維護 HSM 和金鑰管理軟體的需求。 使用 Azure 金鑰保存庫時,Microsoft 永遠不會看到您的金鑰,而且應用程式無法直接存取它們;您可以保持控制。 您也可以在 HSM 中匯入或產生金鑰。 擁有包含 Azure 資訊保護 的訂用帳戶的組織可以將其 Azure 資訊保護 租用戶設定為使用客戶自控金鑰 Bring Your Own Key (BYOK) ) ,並記錄其使用量。