Categories
Software Architecture

Bảo Mật Ứng Dụng Của Bạn Trong Azure 2: Mã Hóa

Mã hóa

Mã hóa dữ liệu mặc định (The default encryption of data)

Theo mặc định, dữ liệu của bạn được mã hóa trong Azure khi được lưu trữ trong Cơ sở dữ liệu Azure SQL, Azure Synapse Analytics (trước đây là Kho dữ liệu Azure SQL), Cơ sở dữ liệu Azure cho MySQL, Cơ sở dữ liệu Azure cho PostgreSQL, Azure Storage, Azure Cosmos DB hoặc Azure Data Lake Store . Tất cả mã hóa này hoạt động tự động và bạn không cần phải định cấu hình bất kỳ thứ gì khi sử dụng nó.

Để giúp đáp ứng các yêu cầu về bảo mật và tuân thủ của bạn, bạn có thể sử dụng các tính năng sau để mã hóa dữ liệu một cách an toàn:

  • Azure Disk Encryption mã hóa khởi động máy ảo (VM) cơ sở hạ tầng Windows và Linux dưới dạng dịch vụ (IaaS) và dung lượng dữ liệu bằng cách sử dụng các khóa do khách hàng quản lý.
  • Mã hóa Azure Storage tự động mã hóa dữ liệu trước khi tồn tại trong Azure Storage, sau đó tự động giải mã dữ liệu khi bạn truy xuất.
  • Mã hóa phía máy khách Azure (Azure client-side encryption) hỗ trợ mã hóa dữ liệu trong các ứng dụng máy khách trước khi tải nó lên Azure Storage hoặc các điểm cuối khác và sau đó giải mã dữ liệu khi tải xuống máy khách.
  • Mã hóa dữ liệu minh bạch /Transparent Data Encryption (TDE) mã hóa các tệp dữ liệu SQL Server, Azure SQL DatabaseAzure Synapse Analytics. Dữ liệu và tệp nhật ký được mã hóa bằng các thuật toán mã hóa tiêu chuẩn công nghiệp. Các trang trong cơ sở dữ liệu được mã hóa trước khi ghi vào đĩa và được giải mã khi chúng được đọc.
  • Luôn được mã hóa (Always Encrypted) mã hóa dữ liệu trong các ứng dụng khách trước khi lưu trữ trong Cơ sở dữ liệu Azure SQL. Nó cho phép phân quyền quản trị cơ sở dữ liệu tại chỗ cho các bên thứ ba và duy trì sự tách biệt giữa những người sở hữu và có thể xem dữ liệu và những người quản lý nó nhưng không nên truy cập nó.
  • Azure Cosmos DB không yêu cầu bạn thực hiện hành động nào — dữ liệu người dùng được lưu trữ trong Azure Cosmos DB trong bộ nhớ không bay hơi (ổ cứng thể rắn) được mã hóa theo mặc định và không có điều khiển nào để bật hoặc tắt nó.

Bạn có thể sử dụng các tính năng sau để mã hóa dữ liệu khi chuyển tiếp:

  • VPN Gateway có thể được sử dụng để mã hóa lưu lượng giữa mạng ảo và vị trí tại chỗ của bạn qua kết nối công cộng hoặc giữa các mạng ảo Azure.
  • Mã hóa TLS / SSL bảo vệ dữ liệu khi dữ liệu di chuyển giữa các dịch vụ đám mây và khách hàng. TLS (Bảo mật lớp truyền tải) cung cấp xác thực mạnh mẽ, quyền riêng tư của thư và tính toàn vẹn.
  • Mã hóa SMB 3.0 trong máy ảo chạy Windows Server 2012 trở lên có thể được sử dụng để thực hiện việc truyền an toàn bằng cách mã hóa dữ liệu khi truyền qua mạng ảo Azure.

Leave a Reply

Your email address will not be published. Required fields are marked *