تنفيذ تشفير البيانات في وحدة تخزين Azure

تنفيذ تشفير البيانات في وحدة تخزين Azure

01/03/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ وتكوين تشفير البيانات أثناء التخزين في Azure Storage. تعد حماية البيانات المخزنة إجراءً أمنيًا أساسيًا. يوفر Azure Storage تشفيرًا قويًا بشكل افتراضي باستخدام مفاتيح Microsoft المُدارة (MMK)، ويسمح باستخدام المفاتيح المُدارة للعملاء (CMK) من خلال Azure Key Vault لمزيد من التحكم [1].

مقدمة

يضمن تشفير البيانات غير النشطة حماية البيانات المخزنة من الوصول غير المصرح به. في Azure، يتم تشفير كافة البيانات الموجودة في Azure Storage بشكل افتراضي [2]. بالنسبة للمؤسسات التي لديها متطلبات امتثال صارمة، يعد استخدام CMK أمرًا ضروريًا لأنه يمنح التحكم الكامل في دورة حياة مفاتيح التشفير (الإنشاء والتدوير والإلغاء).

سيغطي هذا الدليل تكوين كلا نموذجي التشفير، مع التركيز على تنفيذ المفاتيح التي يديرها العميل والتحقق من صحتها.

ما أهمية تشفير البيانات أثناء عدم النشاط؟

  • الحماية ضد الوصول غير المصرح به: يضمن أن البيانات غير قابلة للقراءة بدون مفتاح فك التشفير.
  • الامتثال التنظيمي: يساعد في تلبية اللوائح التنظيمية مثل LGPD، وGDPR، وHIPAA، وما إلى ذلك.
  • التحكم في المفاتيح: باستخدام CMK، تحتفظ المؤسسات بالتحكم الكامل في مفاتيح التشفير.

المتطلبات الأساسية

  1. اشتراك Azure النشط.
  2. ** الوصول الإداري **: أذونات لإدارة حسابات التخزين وخزائن المفاتيح.
  3. حساب تخزين Azure الحالي (يفضل StorageV2).
  4. Azure Key Vault لتخزين CMKs.

خطوة بخطوة: تكوين التشفير

1. التشفير باستخدام مفاتيح Microsoft المُدارة (افتراضي)

هذا هو الإعداد الافتراضي والتلقائي. للتحقق:

  1. انتقل إلى حساب التخزين الخاص بك في بوابة Azure.
  2. ضمن "الأمان + الشبكة"، حدد التشفير.
  3. تأكد من أن "نوع التشفير" الافتراضي هو "مفاتيح Microsoft المُدارة".

2. تنفيذ التشفير باستخدام المفاتيح التي يديرها العميل (CMK)

2.1. إنشاء Azure Key Vault والمفتاح

  1. قم بإنشاء Azure Key Vault جديد. هام: قم بتمكين Purge Protection أثناء الإنشاء.
  2. داخل Key Vault، انتقل إلى Keys وانقر فوق Generate/Import لإنشاء مفتاح جديد (على سبيل المثال: storage-cmk-key).

2.2. تكوين الوصول إلى حساب التخزين

  1. انتقل إلى حساب التخزين الخاص بك.
  2. انتقل إلى التشفير وقم بتغيير نوع التشفير إلى المفاتيح التي يديرها العميل.
  3. حدد خيار استخدام مفتاح من Key Vault. عند القيام بذلك، سيطالبك Azure بإنشاء هوية مُدارة لحساب التخزين. يسمح.
  4. الآن، ارجع إلى Key Vault وانتقل إلى سياسات الوصول.
  5. إنشاء سياسة وصول جديدة. امنح أذونات المفاتيح "Get" و"Wrap Key" و"Unwrap Key".
  6. في خطوة "مبدأ الأمان"، ابحث عن الهوية المُدارة لحساب التخزين الخاص بك وحدِّدها.
  7. احفظ سياسة الوصول.

2.3. قم بتكوين حساب التخزين لاستخدام CMK

  1. ارجع إلى صفحة التشفير الخاصة بحساب التخزين الخاص بك.
  2. حدد Key Vault والمفتاح الذي قمت بإنشائه.
  3. حفظ التغييرات. من الآن فصاعدا، سيتم تشفير جميع البيانات المسجلة في الحساب بمفتاحك.

التحقق والاختبار

1. اختبار الوصول إلى البيانات

بعد تكوين CMK، قم بتحميل وتنزيل ملف. يجب أن تكون العملية شفافة.

# تحميل ملف الاختبار
تحميل blob للتخزين من الألف إلى الياء --اسم الحساب <storage_account> -c <container> -n "test.txt" -f "local/path/to/test.txt" --تسجيل الدخول إلى وضع المصادقة

# قم بتنزيل ملف الاختبار
تنزيل blob للتخزين من الألف إلى الياء --اسم الحساب <storage_account> -c <container> -n "test.txt" -f "local/path/to/downloaded.txt" - تسجيل الدخول إلى وضع المصادقة

2. اختبار إبطال الوصول إلى المفتاح

هذا هو الاختبار الأكثر أهمية لCMK.

  1. في Key Vault، انتقل إلى المفتاح المستخدم.
  2. انقر فوق إصدار المفتاح الحالي وقم بتغيير الإعداد ممكّن إلى لا.
  3. انتظر بضع دقائق.
  4. حاول الوصول إلى البيانات الموجودة في حساب التخزين الخاص بك (على سبيل المثال، حاول تنزيل كائن ثنائي كبير الحجم مرة أخرى).
  5. النتيجة المتوقعة: يجب أن تفشل العملية بسبب خطأ رفض الوصول (403 Forbidden)، مما يثبت أن لديك السيطرة الكاملة على الوصول إلى البيانات.
  6. لا تنس إعادة تمكين المفتاح لاستعادة الوصول.

دوران المفتاح

يعد تدوير المفاتيح ممارسة أمنية أساسية. مع CMK، لديك خياران:

  • التدوير اليدوي: قم بإنشاء إصدار جديد من المفتاح في Key Vault وقم بتحديث تكوين التشفير في حساب التخزين للإشارة إلى الإصدار الجديد.
  • التدوير التلقائي: عند تكوين CMK على حساب التخزين، لا تحدد إصدارًا رئيسيًا. سيتحقق حساب التخزين من Key Vault بشكل دوري وسيستخدم تلقائيًا أحدث إصدار من المفتاح [3].

أفضل الممارسات

  • تمكين حماية المسح والحذف الناعم في Key Vault الخاص بك لحماية مفاتيحك من الحذف العرضي أو الضار.
  • استخدم الهويات المُدارة للسماح لحساب التخزين بالوصول إلى Key Vault. إنه أكثر أمانًا من استخدام الطرق الأخرى.
  • مراقبة نشاط Key Vault: استخدم سجلات تشخيص Key Vault لتدقيق من يمكنه الوصول إلى مفاتيحك ومتى.
  • يلزم النقل الآمن (HTTPS): عند إعداد حساب التخزين الخاص بك، اطلب دائمًا النقل الآمن لتشفير البيانات أثناء النقل.

الخلاصة

يعد تشفير البيانات غير النشطة في Azure Storage طبقة أساسية من الدفاع. في حين أن المفاتيح التي تديرها Microsoft توفر الأمان بشكل افتراضي دون أي جهد، فإن المفاتيح التي تديرها العميل (CMK) توفر مستوى التحكم والضمان الذي تتطلبه العديد من المؤسسات لتلبية متطلبات الأمان والامتثال الصارمة. ومن خلال إتقان تنفيذ وإدارة CMK، فإنك تضمن بقاء بياناتك محمية وتحت سيطرتك.

المراجع

[1] مايكروسوفت. (2023). نظرة عامة على تشفير Azure Storage. [2] مايكروسوفت. (2023). تشفير خدمة التخزين Azure للبيانات غير النشطة. [3] مايكروسوفت. (2023). مفاتيح يديرها العميل لتشفير Azure Storage.