Azure Cosmos DB 中的数据加密

适用于： NoSQL MongoDB Cassandra Gremlin Table

静态加密 是一个短语，通常指非易失性存储设备（如固态硬盘（SSD）和硬盘驱动器（HDD）上的数据加密。 Azure Cosmos DB 将其主数据库存储在 SSD 上。 其媒体附件和备份存储在 Azure Blob 存储中，通常由 HDD 备份。 随着 Azure Cosmos DB 静态加密功能的发布，所有数据库、媒体附件以及备份都将进行加密。 现在无论是在传输过程中（通过网络）还是处于静态（永久性存储），数据都处于加密状态，采用端到端的加密。

作为平台即服务 (PaaS)，Azure Cosmos DB 易于使用。 存储在 Azure Cosmos DB 中的所有用户数据无论是在传输过程中，还是处于静态时都处于加密状态，因此无需采取任何措施。 换句话说，静态加密默认为“开启”。 无法控制开启或关闭此功能。 Azure Cosmos DB 在帐户运行的所有区域中使用 AES-256 加密。

我们在提供此功能的同时也会遵守可用性和性能服务级别协议 (SLA)。 存储在 Azure Cosmos DB 帐户中的数据将自动使用 Microsoft 管理的密钥（服务托管密钥）进行无缝加密。 或者，可以选择使用自己的密钥来添加另一层加密，如客户托管的密钥一文中所述。

静态加密的实现

在 Azure Cosmos DB 中，静态加密通过使用多种安全技术来实现，包括安全密钥存储系统、加密网络和加密 API。 对数据进行解密和处理的系统必须与管理密钥的系统进行通信。 该图展示了加密数据的存储和密钥管理的不同之处。

用户请求的基本流程为：

• 用户数据库帐户准备就绪，通过向管理服务资源提供程序 (RP) 发出请求来检索存储密钥。
• 用户通过 HTTPS/安全传输创建与 Azure Cosmos DB 的连接。 SDK 抽象化详细信息。
• 用户通过之前创建的安全连接发送要存储的 JSON 文档。
• 除非用户关闭索引，否则会索引 JSON 文档。
• 将 JSON 文档和索引数据都写入到安全存储中。
• 定期从安全存储中读取数据并将其备份到 Azure 加密 Blob 存储中。

常见问题

查找有关加密的常见问题的解答。

如果启用存储服务加密，需另付多少 Azure 存储费用？

没有额外费用。

加密密钥由谁管理？

Azure Cosmos DB 帐户中存储的数据将使用服务托管密钥通过 Microsoft 管理的密钥进行自动无缝加密。 或者，你可以选择使用你管理的密钥（通过使用客户管理的密钥）添加另一层加密。

加密密钥多久轮换一次？

Microsoft 有一套关于加密密钥轮换的内部指导，Azure Cosmos DB 按该指导执行。 具体指导方针不对外公布。 Microsoft 发布了安全开发生命周期，可以将其视为内部指导原则的一部分，其中提供的最佳做法对开发人员很有用。

我可以使用自己的加密密钥吗？

是，此功能适用于新的 Azure Cosmos DB 帐户。 应在创建帐户时部署它。 有关详细信息，请参阅通过 Azure 密钥保管库为 Azure Cosmos DB 帐户配置客户管理的密钥。

哪些区域已开启了此加密？

所有 Azure Cosmos DB 区域都已针对所有用户数据开启了此加密。

加密是否会影响性能延迟和吞吐量 SLA？

对性能 SLA 没有影响或更改，因为现已为所有现有帐户和新帐户启用了静态加密。 若要查看最新保证，请参阅适用于 Azure Cosmos DB 的 SLA。

本地模拟器是否支持静态加密？

模拟器是一项独立的开发/测试工具，不使用托管 Azure Cosmos DB 服务使用的密钥管理服务。 建议在存储敏感模拟器测试数据的驱动器上启用 BitLocker。 仿真器支持更改默认数据目录和使用已知位置。

后续步骤

• 通过 Azure Key Vault 为 Azure Cosmos DB 帐户配置客户管理的密钥