Асурэо расшифровка: Оперативный журнал | АСУРЭО

Содержание

Оперативный журнал | АСУРЭО

Ведение всех видов журналов в единой системе на всех уровнях оперативно-диспетчерского управления

Автоматизированный сбор различных событий со всех подразделений и отправка отчетной информации в любые организации
  • Россети
  • СО ЕЭС (ОДУ, РДУ)
  • Минэнерго
  • Энергосбыт
  • Другие организации
Ввод информации по событиям
Подсистема включает журналы различных форматов:
  • Журнал технологических нарушений
  • Журнал актов расследований технологических нарушений
  • Журнал по форме 8.1 для МинЭнерго (Журнал учета данных первичной информации по всем прекращениям передачи электрической энергии произошедших на объектах сетевой организации)
  • Журнал плавок гололёдно-изморозевых отложений
    • паспортизация программ плавок
    • фиксация осмотров
    • фиксация плавок
  • Журналы пожаров и паводков
  • Также возможно создание других журналов в любом формате
Автоматизация работы с различными событиями
Контроль аварийно-восстановительных работ
  • Автоматическая передача информации между уровнями оперативно-диспетчерского управления
  • Благодаря системе оповещения пользователей повышается оперативность реагирования на нештатные ситуации
  • Возможность передавать информацию с помощью sms-сообщений. Возможность создания групп рассылок
  • Формирование связей между событиями
Автоматизация процедуры формирования внутренней отчетности
  • Диспетчерские донесения:
    • На 6 и 16 часов
    • В сетях 6-10-35 кВ
    • О технологических нарушениях
    • По аварийным отключениям
    • За период (сутки, неделя, месяц)
  • Отчеты об авариях в электроэнергетике по форме 8.1 для Минэнерго
  • Отчеты по плавкам гололеда:
    • Отчет о выполнении графика плавок гололеда
    • Полный отчет по проведенным плавкам гололеда
    • Список схем плавки гололеда
  • Прочие отчеты:
    • Оперативная обстановка в филиале
    • Отчет диспетчера ОСЦ
    • Отчет о предоставлении донесений

Пользователи могут самостоятельно формировать свои шаблоны отчетов, используя конструктор отчетов.

Возможность интеграции со сторонними системами:
  • SAP
  • ПК «Аварийность», ОЖУР (Россети)
  • Геоинформационные системы (ГИС)
  • Ситуационно-аналитические центры (САЦ)
  • Системы учета актов расследований технологических нарушений (АРТН)


Демонстрационный экземпляр Оперативного журнала

Предлагаем Вам ознакомиться с демо-версией Оперативного журнала, которая продемонстрирует весь функционал и возможности системы.

Требования к программным средствам рабочей станции:
  • на рабочих станциях возможно использование ОС MS Windows XP (SP3) и выше с установленной программой браузером MS Internet Explorer (IE) версии 8.0 и выше.
  • для корректной работы ПК необходимо, чтобы на рабочей станции были установлены пакеты:
    • .NET Framework 4.0
    • Framework Multi-targeting pack for Microsoft .Net framework 4.0.2.
  • для проверки полного функционала необходим так же MS Excel 2007 и выше.
Требования к аппаратным средствам рабочей станции:
  • процессор не ниже Intel Pentium IV 1,6 ГГц, Intel Core 2 Duo, Intel Core i3-i5 или Intel Xeon Х3330
  • ОЗУ 2 Гб и более
  • свободное пространство на жестком диске не менее 1 Гб
  • наличие сетевой платы Ethernet 100
  • видеосистема (монитор ЖКИ-17 дюймов + видеоплата) с разрешением экрана не ниже 1024*768

В случае возникновения вопросов обращайтесь в службу поддержки:

Оперативные заявки.

Легкий клиент | АСУРЭО

Мобильный клиент для удаленной работы с оперативными заявками

«Оперативные Заявки. Легкий клиент» – эффективный, удобный и простой инструмент, который обеспечивает работу пользователей программного комплекса АСУРЭО с заявками на ремонт энергетического оборудования с мобильных устройств при минимальных затратах трафика

Легкий клиент является внешним клиентом, который работает в среде веб-браузера, и взаимодействует с сервером приложений АСУРЭО для выполнения действий над заявками. Благодаря тому, что в подсистеме используется веб-интерфейс, нет привязки к операционным системам, на которых будет вестись работа с Легким клиентом — для работы необходим лишь веб-браузер и доступ в корпоративную сеть или интернет.

Работа с оперативными заявками доступна сразу после перехода на страницу клиента в веб-браузере.

Назначение

  • Для дистанционной работы сотрудников с диспетчерскими заявками с помощью планшетов и смартфонов на ОС Android, iOS, Windows и др.

    • создание заявок на вывод оборудования в ремонт
    • просмотр списка заявок
    • рассмотрение и согласование заявок
  • Для подачи и отслеживания диспетчерских заявок потребителями электроэнергии (нефтегазовые, телекоммуникационные, железнодорожные и другие компании)

    • создание заявок на вывод собственного оборудования в ремонт
    • подача заявок на согласование в электронном виде в экземпляр АСУРЭО, установленный у сетевой компании
    • возможность разграничения перечня объектов, по которым пользователь может работать с заявкам
    • просмотр поданных заявок и результатов их рассмотрения
    • возможность редактирования ранее поданных заявок
    • получение уведомлений о заявках из экземпляра АСУРЭО сетевой компании
    • формирование отчетов

Легкий клиент полностью адаптирован под использование на мобильных устройствах

Интерфейс автоматически подстраивается под разрешение и расположение экрана.
Работать в АСУРЭО через Легкий клиент так же удобно, как и через настольный клиент

Отображение списка заявок в компактной форме

Просмотр основных полей заявки, примечаний, результатов рассмотрения

Блокировка и редактирование заявки

Принятие решений по заявке


Адаптивное отображение информации по заявкам на различных экранах и устройствах

Возможности

  • Авторизация

    • используется информация о пользователях, заведенных в АСУРЭО
  • Список заявок

    • Отображение списка заявок в табличной форме (для больших экранов) и компактной форме (для небольших экранов сотовых телефонов)
    • Настройка отображаемых столбцов в списке заявок
    • Подсветка заявок, рассмотренных пользователем, и заявок для рассмотрения
  • Фильтрация списка заявок

    • Выбор из списка сохраненных фильтров, настроенных пользователем в интерфейсе пользователя АСУРЭО
    • Создание нового фильтра или изменение условий существующего фильтра, с сохранением измененного фильтра в общем списке фильтров пользователя АСУРЭО
    • Удаление выбранного сохраненного фильтра;
    • Запись выбранного фильтра под другим именем (создание копии фильтра для последующего изменения)
  • Форма просмотра заявки

    • Открытие заявки на просмотр из списка заявок
    • Отображение на форме просмотра заявок основных полей заявки, текстовых примечаний, результатов предыдущего рассмотрения
    • Адаптивное отображение формы заявки для различных разрешений экранов
  • Форма редактирования заявки

    • Открытие заявки на редактирование из списка заявок
    • Переход в режим редактирования из формы просмотра заявки
    • Блокировка заявки;
    • Редактирование основных полей заявки и текстовых примечаний
    • Сохранение изменений, разблокировка заявки
  • Мастер создания заявки

    • Запуск мастера создания новой заявки из списка заявок
    • Ввод / выбор значений полей заявки, заполнение текстовых примечаний
    • Сохранение созданной заявки
  • Рассмотрение заявки

    • Отображение перечня действий над заявкой при открытии заявки в режиме редактирования: «Разрешить», «Отказать», «Принять к сведению», «Отложить», «Снять»
    • Заполнение сроков и комментариев при принятии решения
    • Использование /передача права последней подписи

Преимущества внедрения

Легкий клиент обеспечивает мобильный доступ и необходимые сценарии работы с подсистемой «Оперативные заявки» вне рабочего места.
В результате ускоряются бизнес-процессы, в которых участвуют мобильные сотрудники, принимающие активное участие в работе с оперативными заявками

Повышение оперативности работы с заявками:

  • работа в любом месте с заявками через интернет или корпоративную сеть
  • оперативное получение информации о заявках
  • безопасный доступ для потребителей электроэнергии для подачи и отслеживания заявок
  • полнота и достоверность информации
  • минимизация рисков нарушения регламентов

Метролог | АСУРЭО

Метролог

Автоматизация деятельности метрологических служб

Метролог

Автоматизация полного цикла процессов метрологического обеспечения

  • паспортизация и учет средств измерений (СИ)
  • описание структуры метрологических служб, включая информацию по специалистам-метрологам
  • планирование и контроль работ по техническому обслуживанию
  • контроль работоспособности СИ
  • фиксация результатов аудита метрологических служб с возможностью автоматического контроля срока устранения замечаний
  • автоматическое формирование всех видов документации

Паспортизация и учет средств измерений

  • единая база оборудования АСУРЭО для всех подсистем
  • описание средств измерений более чем по 50 параметрам
  • специализированные справочники, позволяющие унифицировано описать объекты учета
  • учет мест установки средств измерений, а также их привязки к измерительным каналам и информационно-измерительным системам
  • простая регистрация больших партий однотипных приборов
  • оперативный поиск с помощью QR-кодов
  • интеграция с сайтом Госреестра:

Описание структуры Метрологических служб

  • создание иерархического дерева Метрологических служб
  • формирование Паспортов и Аттестатов служб
  • учет сертификатов сотрудников на право проведения метрологических работ и образования
  • формирование свода по специалистам-метрологам в разбивке по филиалам и в целом по компании

Планирование и проведение работ по метрологическому обеспечению

  • автоматическое формирование графиков метрологического обеспечения, исходя из межповерочных и межкалибровочных интервалов
  • согласование графиков в подсистеме «Планы ремонтов»
  • автоматическая передача информации об отказах средств измерений из подсистемы «Анализ»
  • возможность анализа остановов основного оборудования
  • фиксация результатов проведенных поверок, калибровок, проверок работоспособности и аттестаций
  • автоматический контроль за несвоевременным выполнением работ


Фиксация результатов проведенных аудитов метрологических служб

  • регистрация внутренних, внешних, собственных аудитов Метрологических служб с указанием списка замечаний, установленных по результатам аудита
  • контроль за плановыми и фактическими сроками устранения зафиксированных замечаний
  • оперативная аналитика по зафиксированным аудитам

Автоматизированное формирование всех видов документации

  • гибкий конструктор отчетов
  • сопоставление планируемых и фактически выполненных работ
  • статистический учет средств измерений, находящихся в эксплуатации, на складе, в ремонте, отказе или списании
  • формирование сертификатов калибровки, замены СИ, аттестации персонала, актов на списание СИ
  • формирование журналов поверок, калибровки, отказов и др.

Часто задаваемые вопросы | АСУРЭО

Требования аппаратному обеспечению рабочей станции

На рабочих станциях возможно использование ОС MS Windows XP (SP 3 или выше), MS Windows 7 с установленной программой браузером MS Internet Explorer (IE).

Требования к настройке Internet Explorer:
  • Версия 7.0 и выше (32-битная)
  • IE установлен как браузер по умолчанию в системе
  • Настройки безопасности IE разрешают выполнение ActiveX компонент для зон «Местная интрасеть», «Интернет»

Для корректной работы ПК необходимо, чтобы на рабочей станции был установлен пакет MS XML (версии 4.0, 6.0).

Для возможности печати и экспорта списка заявок в формат Excel, Word необходимо, чтобы на рабочих станциях также был установлен Microsoft Excel, Word не ниже версии 2003.

Требования к браузеру Internet Explorer для загрузки клиентской части АСУРЭО

В 64–битной версии ОС Windows, как правило, предустановленно две версии браузера Internet Explorer: 64 и 32–битные версии.

При запуске АСУРЭО необходима 32–битная версия браузера Internet Explorer. Для запуска 32–битной версии Internet Explorer необходимо открыть папку «C:\Program Files (x86)\Internet Explorer». В этой папке необходимо найти и запустить ярлык с именем «iexplore.exe». Для удобства работы можно скопировать этот ярлык на «Рабочий стол» компьютера или закрепить в меню «Пуск». Для проверки версии Internet Explorer необходимо запустить браузер и в выпадающем списке меню «Справка» выбрать пункт «О программе».

Настройка компонентов ActiveX для загрузки интерфейсов АСУРЭО

Для работы пользователей необходимо, чтобы клиентские интерфейсы были скопированы и зарегистрированы на рабочей станции, для этого требуется:
  • права администратора на локальную машину
  • произвести первый запуск приложения с правами администратора. При этом клиентские интерфейсы будут зарегистрированы в системе и станут доступны для запуска обычным пользователям. Обновление клиентских интерфейсов также производится с правами администратора
Пользователи с ограниченными правами не могут загружать и выполнять новые, ранее не зарегистрированные в системе компоненты ActiveX. Работа с зарегистрированными ранее компонентами допускается. Для корректной работы рабочих мест следует выполнить следующие настройки для клиентских рабочих машин:
  1. Выбрать в меню «Свойства обозревателя Internet Explorer» закладку «Безопасность»
  2. Выбрать соответствующую зону безопасности: Если сервер приложений находится в местной интрасети, то выбрать зону «Местная интрасеть», Если сервер приложений находится на удаленном сервере в Интернет, то выбрать зону «Надежные сайты». В данном случае необходимо внести удаленный узел АСУРЭО в список надежных веб-сайтов(нажать кнопку «Сайты» и добавить в доверенную зону web-узел АСУРЭО)
  3. Разрешить загрузку и выполнение подписанных ActiveX компонентов. Для этого необходимо:
  • Для выбранной зоны нажать кнопку «Другой» и выбрать параметр «Элементы ActiveX и модули подключения»
  • Установить параметр «Предлагать» или «Разрешить» для опции «Загрузка подписанных элементов ActiveX»
  • Установить параметр «Разрешить» для опции «Запуск элементов ActiveX и модулей подключения»
Файлы ActiveX компонента записывается в директорию C:\Windows\Downloaded Program Files, пользователю необходимо иметь права на запись в эту папку.

Первый запуск и настройка клиентского рабочего места

При первом открытии страницы АСУРЭО пользователю предлагается установка компонентов программного комплекса на клиенте. Внизу страницы отображаются ссылки со списком интерфейсов.

При нажатии на кнопку «Установить» запускается процесс установки компонентов комплекса на рабочую станцию пользователя.

На данном шаге с сервера приложений запрашиваются и записываются на рабочую станцию пользователя файлы в директорию C:\Documents and Settings\\Application Data\ZVK (для ОС MS Windows XP) или в директорию С:\ProgramData\ZVK (для ОС MS Windows 7).

ZVK.exe – загрузчик клиентских интерфейсов, обеспечивающий обновление исполняемых файлов интерфейсов на машине пользователя при их обновлении на сервере приложений.
ZVK.ini – файл, автоматически создаваемый при первой загрузке, в котором хранятся параметры соединения с сервером приложений.
После создания файлов загрузки, пользователю выдается сообщение об успешной установке АСУРЭО на рабочую станцию.

При нажатии на кнопку «Запустить» автоматически запускается процесс установки компонентов интерфейса пользователя для текущей версии АСУРЭО на рабочую станцию пользователя.

Для интерфейсов Администратора и Оборудования необходимо запустить загрузку компонентов с сервера вручную, по соответствующим ссылкам для интерфейса.

При загрузке с сервера приложений компонентов интерфейсов на рабочей станции пользователя в директории C:\Documents and Settings\\Application Data\ZVK (для ОС MS Windows XP) или в директории С:\ProgramData\ZVK (для ОС MS Windows 7) создается папка с номером версии АСУРЭО, соответствующая версии программного комплекса на сервере. В папке содержатся файлы интерфейсов, относящиеся к данной версии.

Пример:

C:\ProgramData\ZVK\
V8.1506.10.216
– каталог, содержащий файлы интерфейсов АСУРЭО версии 8.1506.10.216
ZVKUser. exe
ZVKAdmin.exe
DeviceDescr.exe
RPUser.exe
– файлы интерфейсов оборудования, администратора и пользователя для версии 8.1506.10.216
alert.wav
majoralert.wav
– файлы звукового оповещения о приходе новых заявок для рассмотрения и заявок повышенной категории (подгружается вместе с ZVKUser.exe)

После загрузки с сервера компонентов интерфейса на рабочую станцию пользователю открывается окно приложения АСУРЭО с приглашением входа в систему. В окне необходимо ввести имя и пароль пользователя.

Номер версии установленного экземпляра АСУРЭО

Информацию о номере текущей версии экземпляра АСУРЭО можно просмотреть в диалоговом окне входа в систему (при запуске любого интерфейса) или в правой части строки состояния.

Вызов контекстной справки

Для просмотра документации по приложению в электронном виде пользователю необходимо вызвать меню «Помощи». При этом, в новом окне будет отображен раздел документации, относящейся к открытому в текущей момент режиму интерфейса.

Решение проблемы с кодировкой пользовательского интерфейса при работе на ОС с англоязычной локалью

Несколько возможных вариантов решения:
  1. Проблемы с кодировкой могут быть связаны с неправильно настроенными кодовыми страницами. Проблема может возникнуть на одной рабочей станции и решаться на ней же или на всех рабочих станциях, тогда решать ее следует на сервере. Для ее решения необходимо установить в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage в реестре для параметров 1250, 1251, 1252 значения c_1251.nls после чего необходимо перезагрузить сервер или рабочую станцию соответственно.
  2. Зайдите под своим логином (или логином того пользователя, у которого возникли проблемы с кодировкой столбцов) в интерфейс пользователя и установите для своего профиля настройки по умолчанию (Интерфейс пользователя — режим Настройки — Общие — Загрузить настройки по умолчанию — Сохранить настройки). Перезапустите приложение.
  3. Выберете в настройках рабочего стола «Оформление» другой стиль, например классический, примените его, а затем снова выберете стиль Windows.
  4. Перейдите на Пуск — Панель управления — Языковые и региональные стандарты, выберите язык, для которого нужно установить поддержку unicode — русский, и нажмите «OK». Вставьте диск с дистрибутивами ОС Windows и перезагрузите машину.

В случае возникновения дополнительных вопросов Вы можете обратиться в службу технической поддержки по следующим контактам:

  • E-Mail: [email protected]
  • Тел: +7(846) 205-79-00
  • СМС-Автоматизация ГК — Профсектор

    Адрес: 127322, Россия, Московская область, Москва, Огородный проезд, дом 20, стр. 25, этаж 1

    Сайт организации: www. sms-automation.ru/

    Электронная почта организации: [email protected]

    Телефон организации: 84952230740

    Код поставщика: SS505

    Описание

    Группа компаний «СМС-Автоматизация» создает и внедряет системы автоматизации с 1991 г.

    Основной вид деятельности — автоматизация в промышленности, в том числе:

    создание и поддержка систем автоматизации технологических процессов (АСУ ТП), MES и информационных систем
    поставка оборудования и программного обеспечения для систем автоматизации
    сборка и монтаж шкафов управления, щитов, панелей, пультов
    обучение персонала и переподготовка специалистов
    сопровождение внедренных систем и консалтинг

    Компания поставляет следующие классы обрудования:
    • Низковольтная аппаратура (НВА)
    • Аппаратура управления и индикации
    • Трансформаторы
    • Контрольно-измерительное оборудование
    • Комплектные устройства (КУ)
    • Не классифицированная продукция (без описаний)
    Компания поставляет продукцию следующих производителей:

    Годовой отчет ОАО «ÐœÐžÐ­Ð¡Ðš» за 2011 год

  • Page 2 and 3: Оглавление Основны
  • Page 4 and 5: Основные результат
  • Page 6 and 7: производственно-хо
  • Page 8 and 9: ключевым финансовы
  • Page 10 and 11: Ключевые события и
  • Page 12 and 13: ОАО «МОЭСК» запуст
  • Page 14 and 15: Ключевые события и
  • Page 16 and 17: ОАО «МОЭСК» уверен
  • Page 18 and 19: 1. 3. Приоритетные це
  • Page 20 and 21: экономической эффе
  • Page 22 and 23: коммерческой готов
  • Page 24 and 25: Структура отпуска
  • Page 26 and 27: 2.2. Энергосбережени
  • Page 28 and 29: контроль над работ
  • Page 30 and 31: фактического полез
  • Page 32 and 33: запланированными о
  • Page 34 and 35: Наименование показ
  • Page 36 and 37: которым превышает 7
  • Page 38 and 39: информационные цен
  • Page 40 and 41: № п/п 2.5. Ремонтно-э
  • Page 42 and 43: 2.6. Тарифы на оказан
  • Page 44 and 45: Динамика среднего
  • Page 46 and 47: Динамика средних т
  • Page 48 and 49: 2.7. Промышленная и п
  • Page 50 and 51: За 2011 г. в Обществе
  • Page 52 and 53:

    Организация подгот

  • Page 54 and 55:

    В целях своевремен

  • Page 56 and 57:

    медицинское обеспе

  • Page 60 and 61:

    3. Инвестиционная д

  • Page 62 and 63:

    Выполнение инвести

  • Page 64 and 65:

    способности до 1000 А

  • Page 66 and 67:

    Структура капиталь

  • Page 68 and 69:

    Структура выручки

  • Page 72 and 73:

    Аналитический бала

  • Page 74 and 75:

    4.2. Кредитная полит

  • Page 76 and 77:

    основной распредел

  • Page 78 and 79:

    Динамика показател

  • Page 80 and 81:

    обязательств по до

  • Page 84 and 85:

    4.7. Дивидендная пол

  • Page 86 and 87:

    4.9. Информация об ау

  • Page 88 and 89:

    Прозрачность Общес

  • Page 90 and 91:

    арендные отношения

  • Page 92 and 93:

    Внедрение системы

  • Page 96 and 97:

    принятие решений о

  • Page 98 and 99:

    выдвижение Обществ

  • Page 100 and 101:

    4. Большаков Дмитри

  • Page 102 and 103:

    Голубев Павел Влад

  • Page 104 and 105:

    2 — в составе, избран

  • Page 108 and 109:

    i) Перечня первооче

  • Page 110 and 111:

    Информация о сделк

  • Page 112 and 113:

    В 2011 г. состоялось 11

  • Page 114 and 115:

    Положение о Комите

  • Page 118 and 119:

    Явка на заседания К

  • Page 120 and 121:

    Михаил Юрьевич (Пре

  • Page 122 and 123:

    по стратегии и разв

  • Page 124 and 125:

    6. Ярош Денис Никола

  • Page 126 and 127:

    рассмотрение отдел

  • Page 130 and 131:

    Заместитель генера

  • Page 132 and 133:

    12.03.2010 № 104). Сведени

  • Page 134 and 135:

    Людмила Дмитриевна

  • Page 136 and 137:

    выполнения Обществ

  • Page 138 and 139:

    2. 4. 5. 250000000 Объем то

  • Page 142 and 143:

    Электроэнергетики

  • Page 144 and 145:

    4. Открытое акционе

  • Page 146 and 147:

    5.7. Управление собс

  • Page 148 and 149:

    Изменения стоимост

  • Page 150 and 151:

    6.2. Система внутрен

  • Page 154 and 155:

    оптимизации контро

  • Page 156 and 157:

    Ключевые риски и де

  • Page 158 and 159:

    присоединения, зак

  • Page 160 and 161:

    компенсировать в р

  • Page 162 and 163:

    6.5. Информационные

  • Page 166 and 167:

    Основные результат

  • Page 168 and 169:

    совместного функци

  • Page 170 and 171:

    автономные, компле

  • Page 172 and 173:

    Уровень обеспеченн

  • Page 176 and 177:

    по 72-часовой учебно

  • Page 178 and 179:

    соответствие долго

  • Page 180 and 181:

    платы сложившейся

  • Page 182 and 183:

    взаимодействует с

  • Page 184 and 185:

    За 2011 г. отмечается

  • Page 188 and 189:

    8. Закупочная деяте

  • Page 190 and 191:

    8.2. Результаты заку

  • Page 192 and 193:

    9. Связи с обществен

  • Page 194 and 195:

    антикризисным комм

  • Page 196 and 197:

    ТСО — территориальн

  • Page 200 and 201:

    200

  • Page 202 and 203:

    202

  • Page 204 and 205:

    204

  • Page 206 and 207:

    206

  • Page 208 and 209:

    210

  • Page 212 and 213:

    212

  • Page 214 and 215:

    214

  • Page 216 and 217:

    216

  • Page 218 and 219:

    218

  • Page 220 and 221:

    220

  • Page 222 and 223:

    224

  • Page 226 and 227:

    226

  • Page 228 and 229:

    228

  • Page 230 and 231:

    230

  • Page 232 and 233:

    Пояснительная запи

  • Page 234 and 235:

    запись о создании о

  • Page 236 and 237:

    — Положения по бухг

  • Page 240 and 241:

    оказания услуг) и п

  • Page 242 and 243:

    № п/п Итого 26 724 540 39

  • Page 244 and 245:

    — Члены Совета дире

  • Page 246 and 247:

    Информация о движе

  • Page 248 and 249:

    Приложение 2. Аудит

  • Page 252 and 253:

    252

  • Page 254 and 255:

    254

  • Page 256 and 257:

    256

  • Page 258 and 259:

    Приложение 4. Финан

  • Page 260 and 261:

    262

  • Page 264 and 265:

    264

  • Page 266 and 267:

    266

  • Page 268 and 269:

    268

  • Page 270 and 271:

    270

  • Page 272 and 273:

    272

  • Page 274 and 275:

    276

  • Page 278 and 279:

    278

  • Page 280 and 281:

    280

  • Page 282 and 283:

    282

  • Page 284 and 285:

    284

  • Page 286 and 287:

    286

  • Page 288 and 289:

    290

  • Page 292 and 293:

    292

  • Page 294 and 295:

    294

  • Page 296 and 297:

    296

  • Page 298 and 299:

    298

  • Page 300 and 301:

    300

  • Page 302 and 303:

    302

  • Page 304 and 305:

    304

  • Page 306 and 307:

    306

  • Page 308 and 309:

    308

  • Page 310 and 311:

    310

  • Page 312 and 313:

    312

  • Page 314 and 315:

    314

  • Page 316 and 317:

    316

  • Page 318 and 319:

    318

  • Page 320 and 321:

    320

  • Page 322 and 323:

    6. Обязательное при

  • Page 324 and 325:

    проведении заседан

  • Page 326 and 327:

    38. Наличие в уставе

  • Page 328 and 329:

    49. Наличие в акцион

  • Page 330 and 331:

    существенное влиян

  • Page 332 and 333:

    Приложение 6. Инфор

  • Page 334 and 335:

    Приложение 7. Хрони

  • Page 336 and 337:

    15) Договор поставки

  • Page 338 and 339:

    29) Дополнительное с

  • Page 340 and 341:

    электрические сети

  • Page 342 and 343:

    Заинтересованные л

  • Page 344 and 345:

    РЭТО» на общую сумм

  • Page 346 and 347:

    96) Договор по перед

  • Page 348 and 349:

    109) Рамочное соглаш

  • Page 350:

    Приложение 8. Конта

  • моделей шифрования данных в Microsoft Azure

    • 10 минут на чтение

    В этой статье

    Понимание различных моделей шифрования, их плюсов и минусов необходимо для понимания того, как различные поставщики ресурсов в Azure реализуют шифрование в состоянии покоя. Эти определения используются всеми поставщиками ресурсов в Azure для обеспечения общего языка и таксономии.

    Существует три сценария шифрования на стороне сервера:

    • Шифрование на стороне сервера с использованием ключей, управляемых службами

      • Поставщики ресурсов Azure выполняют операции шифрования и дешифрования
      • Microsoft управляет ключами
      • Полная облачная функциональность
    • Шифрование на стороне сервера с использованием ключей, управляемых клиентом, в Azure Key Vault

      • Поставщики ресурсов Azure выполняют операции шифрования и дешифрования
      • Клиент управляет ключами через Azure Key Vault
      • Полная облачная функциональность
    • Шифрование на стороне сервера с использованием ключей, управляемых заказчиком, на аппаратном обеспечении, управляемом заказчиком

      • Поставщики ресурсов Azure выполняют операции шифрования и дешифрования
      • Клавиши управления клиентом на аппаратном обеспечении, управляемом заказчиком
      • Полная облачная функциональность

    Модели шифрования на стороне сервера относятся к шифрованию, выполняемому службой Azure.В этой модели поставщик ресурсов выполняет операции шифрования и дешифрования. Например, служба хранилища Azure может получать данные в виде текстовых операций и выполнять внутреннее шифрование и дешифрование. Поставщик ресурсов может использовать ключи шифрования, которыми управляет Microsoft или клиент, в зависимости от предоставленной конфигурации.

    Каждая из моделей неактивного шифрования на стороне сервера подразумевает особые характеристики управления ключами. Это включает в себя, где и как создаются и хранятся ключи шифрования, а также модели доступа и процедуры ротации ключей.

    Для шифрования на стороне клиента учтите следующее:

    • Службы Azure не могут видеть расшифрованные данные
    • Клиенты управляют ключами и хранят их локально (или в других защищенных хранилищах). Ключи недоступны для служб Azure
    • Ограниченная облачная функциональность

    Поддерживаемые модели шифрования в Azure разделены на две основные группы: «Шифрование клиента» и «Шифрование на стороне сервера», как упоминалось ранее. Независимо от используемой модели шифрования в состоянии покоя службы Azure всегда рекомендуют использовать безопасный транспорт, такой как TLS или HTTPS.Следовательно, шифрование на транспорте должно рассматриваться транспортным протоколом и не должно быть основным фактором при определении того, какую модель шифрования в состоянии покоя использовать.

    Модель шифрования клиента

    Модель шифрования клиента

    относится к шифрованию, которое выполняется за пределами поставщика ресурсов или Azure службой или вызывающим приложением. Шифрование может выполняться приложением-службой в Azure или приложением, работающим в центре обработки данных клиента. В любом случае при использовании этой модели шифрования поставщик ресурсов Azure получает зашифрованный большой двоичный объект данных без возможности расшифровать данные каким-либо образом или получить доступ к ключам шифрования.В этой модели управление ключами осуществляется вызывающей службой / приложением и непрозрачно для службы Azure.

    Шифрование на стороне сервера с использованием ключей, управляемых службами

    Для многих клиентов основным требованием является обеспечение шифрования данных, когда они хранятся. Шифрование на стороне сервера с использованием ключей, управляемых службой, позволяет использовать эту модель, позволяя клиентам отмечать конкретный ресурс (учетную запись хранения, базу данных SQL и т. Д.) Для шифрования и оставляя все аспекты управления ключами, такие как выдача ключей, ротация и резервное копирование, в Microsoft.Большинство служб Azure, которые поддерживают шифрование в состоянии покоя, обычно поддерживают эту модель передачи управления ключами шифрования в Azure. Поставщик ресурсов Azure создает ключи, помещает их в безопасное хранилище и при необходимости извлекает их. Это означает, что служба имеет полный доступ к ключам и полностью контролирует управление жизненным циклом учетных данных.

    Таким образом, шифрование на стороне сервера с использованием ключей, управляемых службой, быстро устраняет необходимость в хранении шифрования с низкими накладными расходами для клиента.Когда он доступен, клиент обычно открывает портал Azure для целевой подписки и поставщика ресурсов и устанавливает флажок, указывающий, что он хотел бы, чтобы данные были зашифрованы. В некоторых диспетчерах ресурсов шифрование на стороне сервера с ключами, управляемыми службами, включено по умолчанию.

    Шифрование на стороне сервера с ключами, управляемыми корпорацией Майкрософт, подразумевает, что служба имеет полный доступ для хранения ключей и управления ими. Хотя некоторые клиенты могут захотеть управлять ключами, потому что они чувствуют, что получают большую безопасность, при оценке этой модели следует учитывать стоимость и риски, связанные с заказным решением для хранения ключей.Во многих случаях организация может определить, что ограничения ресурсов или риски локального решения могут быть больше, чем риск облачного управления ключами шифрования в состоянии покоя. Однако этой модели может быть недостаточно для организаций, у которых есть требования к управлению созданием или жизненным циклом ключей шифрования или к тому, чтобы иметь другой персонал, управляющий ключами шифрования службы, чем те, кто управляет службой (то есть отделение управления ключами от общего управления модель для службы).

    Ключ доступа

    Когда используется шифрование на стороне сервера с ключами, управляемыми службой, создание ключей, хранение и доступ к службам управляются службой. Как правило, основные поставщики ресурсов Azure хранят ключи шифрования данных в хранилище, которое близко к данным и быстро доступно и доступно, в то время как ключи шифрования ключей хранятся в защищенном внутреннем хранилище.

    Преимущества

    • Простая установка
    • Microsoft управляет ротацией ключей, резервным копированием и резервированием
    • Заказчик не несет затрат, связанных с внедрением специальной схемы управления ключами, или риска.

    Недостатки

    • Клиент не контролирует ключи шифрования (спецификация ключа, жизненный цикл, отзыв и т. Д.)
    • Нет возможности отделить управление ключами от общей модели управления для службы

    Шифрование на стороне сервера с использованием ключей, управляемых клиентом, в Azure Key Vault

    Для сценариев, в которых требуется шифрование хранимых данных и управление ключами шифрования, клиенты могут использовать шифрование на стороне сервера с использованием ключей, управляемых клиентом, в Key Vault.Некоторые службы могут хранить только корневой ключ шифрования ключа в Azure Key Vault и хранить зашифрованный ключ шифрования данных во внутреннем расположении ближе к данным. В этом сценарии клиенты могут принести свои собственные ключи в Key Vault (BYOK — Bring Your Own Key) или сгенерировать новые и использовать их для шифрования требуемых ресурсов. Хотя поставщик ресурсов выполняет операции шифрования и дешифрования, он использует настроенный ключ шифрования в качестве корневого ключа для всех операций шифрования.

    Потеря ключей шифрования означает потерю данных.По этой причине ключи не следует удалять. Ключи следует создавать резервные копии всякий раз, когда они создаются или вращаются. Для защиты от случайного или злонамеренного криптографического стирания в любом хранилище, в котором хранятся ключи шифрования, должна быть включена защита от мягкого удаления и очистки. Вместо удаления ключа рекомендуется установить значение false для ключа шифрования ключа.

    Ключ доступа

    Модель шифрования на стороне сервера с управляемыми клиентами ключами в Azure Key Vault включает в себя доступ службы к ключам для шифрования и дешифрования по мере необходимости.Ключи неактивного шифрования становятся доступными для службы через политику управления доступом. Эта политика предоставляет доступ к удостоверению службы для получения ключа. Службу Azure, работающую от имени связанной подписки, можно настроить с помощью удостоверения в этой подписке. Служба может выполнять проверку подлинности Azure Active Directory и получать токен проверки подлинности, идентифицирующий себя как эту службу, действующую от имени подписки. Затем этот токен может быть представлен в Key Vault для получения ключа, к которому ему был предоставлен доступ.

    Для операций с использованием ключей шифрования удостоверению службы может быть предоставлен доступ к любой из следующих операций: расшифровка, шифрование, unwrapKey, wrapKey, проверка, подпись, получение, список, обновление, создание, импорт, удаление, резервное копирование и восстановление.

    Чтобы получить ключ для использования при шифровании или расшифровке данных в состоянии покоя, удостоверение службы, которое будет запускать экземпляр службы Resource Manager, должно иметь UnwrapKey (для получения ключа для дешифрования) и WrapKey (для вставки ключа в хранилище ключей при создании новый ключ).

    Преимущества

    • Полный контроль над используемыми ключами — ключи шифрования управляются в хранилище ключей клиента под его контролем.
    • Возможность шифрования нескольких сервисов на одном главном устройстве
    • Может отделить управление ключами от общей модели управления для службы
    • Может определять сервис и ключевое местоположение в регионах

    Недостатки

    • Клиент несет полную ответственность за управление доступом к ключам
    • Заказчик несет полную ответственность за управление жизненным циклом ключей
    • Дополнительные накладные расходы на установку и конфигурацию

    Шифрование на стороне сервера с использованием ключей, управляемых заказчиком, в аппаратном обеспечении, управляемом заказчиком

    Некоторые службы Azure включают модель управления ключами Host Your Own Key (HYOK).Этот режим управления полезен в сценариях, где необходимо зашифровать хранимые данные и управлять ключами в собственном репозитории вне контроля Microsoft. В этой модели служба должна получать ключ с внешнего сайта. Это влияет на гарантии производительности и доступности, а конфигурация становится более сложной. Кроме того, поскольку служба имеет доступ к DEK во время операций шифрования и дешифрования, общие гарантии безопасности этой модели аналогичны тем, когда ключи управляются клиентом в Azure Key Vault.В результате эта модель не подходит для большинства организаций, если у них нет особых требований к управлению ключами. Из-за этих ограничений большинство служб Azure не поддерживают шифрование на стороне сервера с использованием ключей, управляемых сервером, в оборудовании, контролируемом заказчиком.

    Ключ доступа

    Когда используется шифрование на стороне сервера с использованием ключей, управляемых службой, в аппаратном обеспечении, управляемом заказчиком, ключи хранятся в системе, настроенной заказчиком. Службы Azure, поддерживающие эту модель, предоставляют средства для установления безопасного подключения к хранилищу ключей, предоставленному клиентом.

    Преимущества

    • Полный контроль над используемым корневым ключом — ключи шифрования управляются магазином, предоставленным клиентом
    • Возможность шифрования нескольких сервисов на одном главном устройстве
    • Может отделить управление ключами от общей модели управления для службы
    • Может определять сервис и ключевое местоположение в регионах

    Недостатки

    • Полная ответственность за хранение ключей, безопасность, производительность и доступность
    • Полная ответственность за управление доступом к ключам
    • Полная ответственность за управление жизненным циклом ключей
    • Значительные затраты на установку, настройку и текущее обслуживание
    • Повышенная зависимость от доступности сети между центром обработки данных клиента и центрами обработки данных Azure.

    Вспомогательные услуги

    Службы Azure, поддерживающие каждую модель шифрования:

    Продукт, функция или услуга На стороне сервера с использованием ключа, управляемого службой на стороне сервера с использованием ключа, управляемого клиентом на стороне клиента с использованием ключа, управляемого клиентом
    AI и машинное обучение
    Когнитивный поиск Azure Есть Есть
    Когнитивные службы Azure Есть Есть
    Машинное обучение Azure Есть Есть
    Студия машинного обучения Azure (классическая) Есть Предварительный просмотр, RSA 2048 бит
    Модератор содержимого Есть Есть
    Лицо Есть Есть
    Понимание языка Есть Есть
    Персонализатор Есть Есть
    QnA Maker Есть Есть
    Речевые службы Есть Есть
    Переводчик текста Есть Есть
    Power BI Есть Да, RSA 4096 бит
    Аналитика
    Azure Stream Analytics Есть Да **
    Концентраторы событий Есть Есть
    Функции Есть Есть
    Службы аналитики Azure Есть
    Каталог данных Azure Есть
    Azure HDInsight Есть Все
    Анализ приложений Azure Monitor Есть Есть
    Журнал аналитики Azure Monitor Есть Есть
    Обозреватель данных Azure Есть Есть
    Фабрика данных Azure Есть Есть
    Хранилище озера данных Azure Есть Да, RSA 2048 бит
    Контейнеры
    Служба Azure Kubernetes Есть Есть
    Экземпляры контейнеров Есть Есть
    Реестр контейнеров Есть Есть
    Вычислить
    Виртуальные машины Есть Есть
    Масштабируемый набор виртуальных машин Есть Есть
    SAP HANA Есть Есть
    Служба приложений Есть Да **
    Автоматика Есть Да **
    Функции Azure Есть Да **
    Портал Azure Есть Да **
    Логические приложения Есть Есть
    Приложения под управлением Azure Есть Да **
    Сервисный автобус Есть Есть
    Восстановление сайта Есть Есть
    Базы данных
    SQL Server на виртуальных машинах Есть Есть Есть
    База данных SQL Azure Есть Да, RSA 3072-бит Есть
    База данных Azure SQL для MariaDB Есть
    База данных SQL Azure для MySQL Есть Есть
    База данных Azure SQL для PostgreSQL Есть Есть
    Azure Synapse Analytics Есть Да, RSA 3072-бит
    База данных Stretch SQL Server Есть Да, RSA 3072-бит Есть
    Стол для хранения Есть Есть Есть
    Azure Cosmos DB Есть Есть
    Azure Databricks Есть Есть
    Служба миграции базы данных Azure Есть НЕТ *
    Идентификационный номер
    Azure Active Directory Есть
    Доменные службы Azure Active Directory Есть Есть
    Интеграция
    Сервисный автобус Есть Есть Есть
    Сетка событий Есть
    Управление API Есть
    IoT Services
    Центр Интернета вещей Есть Есть Есть
    Подготовка устройства концентратора Интернета вещей Есть Есть
    Менеджмент и руководство
    Восстановление сайта Azure Есть
    Перенос в Azure Есть Есть
    Медиа
    Медиа-услуги Есть Есть Есть
    Безопасность
    Центр безопасности Azure для Интернета вещей Есть Есть
    Лазурный страж Есть Есть
    Хранение
    Хранилище BLOB-объектов Есть Есть Есть
    Хранилище больших двоичных объектов премиум-класса Есть Есть Есть
    Дисковое хранилище Есть Есть
    Ультра-дисковое хранилище Есть Есть
    Управляемое дисковое хранилище Есть Есть
    Хранилище файлов Есть Есть
    Файловое хранилище премиум-класса Есть Есть
    Синхронизация файлов Есть Есть
    Хранилище очередей Есть Есть Есть
    Avere vFXT Есть
    Кэш Azure для Redis Есть НЕТ *
    Файлы Azure NetApp Есть Есть
    Архивное хранилище Есть Есть
    StorSimple Есть Есть Есть
    Резервное копирование Azure Есть Есть Есть
    Блок данных Есть Есть
    Пограничный ящик для данных Есть Есть

    * Эта служба не сохраняет данные.Временные кэши, если они есть, зашифрованы с помощью ключа Microsoft.

    ** Эта служба поддерживает хранение данных в вашем собственном хранилище ключей, учетной записи хранения или другой службе хранения данных, которая уже поддерживает шифрование на стороне сервера с ключом, управляемым клиентом.

    Следующие шаги

    Шифрование

    — проблема расшифровки с помощью CLE управляемого экземпляра SQL Azure на вторичном экземпляре группы отработки отказа

    У нас есть настроенная группа отработки отказа управляемого экземпляра SQL Azure с первичным и вторичным экземплярами. Проблема, с которой я сталкиваюсь, заключается в том, что мы используем шифрование на уровне ячеек (столбцов) (CLE) для некоторых столбцов таблицы нашей базы данных.Мое ограниченное понимание состоит в том, что их расшифровка зависит от главного ключа службы. Я думаю, что проблема в том, что главный ключ базы данных зашифровывается с помощью главного ключа службы, а затем базы данных синхронизируются между экземплярами, но синхронизация не выполняет данные уровня сервера (экземпляра), т.е. главный ключ службы… , поэтому на первичном экземпляре данные могут быть расшифрованы, но на экземпляре аварийного переключения это невозможно. . Следовательно, вы получите такую ​​ошибку:

    Пожалуйста, создайте мастер-ключ в базе данных или откройте мастер-ключ в сеансе перед выполнением этой операции.

    Если я запущу приведенный ниже SQL-код в своей пользовательской базе данных, он устранит проблему до тех пор, пока я не переключусь на сбой, после чего мне нужно будет запустить его снова. Это не идеально с точки зрения аварийного переключения, а также означает, что я не могу использовать вторичный экземпляр как экземпляр только для чтения.

      ОТКРЫТЬ ГЛАВНЫЙ КЛЮЧ С ПОМОЩЬЮ ПАРОЛЯ = «XXX»
    ALTER MASTER KEY DROP ENCRYPTION BY SERVICE MASTER KEY
    ОТКРЫТЬ ГЛАВНЫЙ КЛЮЧ С ПОМОЩЬЮ ПАРОЛЯ = «XXX»
    ИЗМЕНИТЬ ГЛАВНЫЙ КЛЮЧ ДОБАВИТЬ ШИФРОВАНИЕ С ПОМОЩЬЮ СЕРВИСНОГО ГЛАВНОГО КЛЮЧА
      

    Ниже я смог найти единственную статью с описанием проблемы (прокрутите до конца, где написано «Расшифровать данные в новой первичной реплике»), и она решает проблему, создавая резервную копию главного ключа службы из первичного экземпляра и восстанавливая его в вторичный экземпляр, но это локальная настройка по сравнению с нашей настройкой Azure, и проблема в . Я не знаю, как (или даже возможно) сделать резервную копию и восстановить главный ключ службы в Azure .

    Column-level SQL Server encryption with SQL Server Always On Availability Groups

    Я попытался создать резервную копию главного ключа службы из первичного экземпляра, чтобы восстановить его во вторичном экземпляре, но я не видел способа выполнить этот экспорт в управляемом экземпляре SQL Azure — https://docs.microsoft.com / en-us / sql / t-sql / statement / backup-service-master-key-transact-sql? view = sql-server-ver15… Я попытался указать ему место хранения BLOB-объектов, что было немного сложно, но это не так. не нравится:

      РЕЗЕРВНЫЙ ГЛАВНЫЙ КЛЮЧ СЛУЖБЫ К ФАЙЛУ = 'https: // ourstorage.blob.core.windows.net/database-backups/service_master_key.key 'ШИФРОВАНИЕ ПО ПАРОЛЮ =' ГГГГ ';
      

    Msg 3078, уровень 16, состояние 2, строка 69 Имя файла «https://pptefsaaseprd.blob.core.windows.net/database-backups/ase_prod_service_master_key» недействительно в качестве имени устройства резервного копирования для указанного типа устройства. Повторите инструкцию BACKUP, указав допустимое имя файла и тип устройства.

    Я слышал упоминание о возможном использовании Azure Key Vault вместо этого, но не смог найти никаких примеров и, в идеале, не хочу вносить какие-либо критические изменения в code / sql.

    Чтобы дать больше контекста, наши текущие хранимые процедуры делают что-то вроде следующего:

      ОТКРЫТЬ СИММЕТРИЧЕСКИЙ КЛЮЧ SSN_Key_Surname
              РАСШИФРОВКА ПО СВИДЕТЕЛЬСТВУ Фамилия;
     
           / * SQL, использующий расшифрованный столбец * /
     
           ЗАКРЫТЬ СИММЕТРИЧЕСКИЙ КЛЮЧ SSN_Key_Surname;
      

    Так вот где я нахожусь. Надеюсь, мне просто не хватает простого шага — ведь это не редкость? то есть , если у вас есть управляемые экземпляры SQL Azure в группе отработки отказа, с шифрованием на уровне столбца, где главный ключ базы данных зашифрован с помощью главного ключа службы, как вы настраиваете вещи, чтобы данные можно было дешифровать как на первичном, так и на вторичном экземпляре?

    Я полагаю, что для того, чтобы это сработало, вам потребуется создать резервную копию главного ключа службы из первичного экземпляра и восстановить его во вторичном экземпляре — возможно ли это в Azure?

    Объяснение шифрования Azure

    Что такое шифрование Azure?

    Microsoft Azure предоставляет комплексные возможности защиты данных , включая несколько вариантов шифрования ваших данных в облаке.

    Azure поддерживает шифрование данных как на стороне клиента, так и на стороне сервера, с тремя моделями управления ключами: ключи, управляемые службой, ключи, управляемые клиентом, и ключи, управляемые службой, на оборудовании, управляемом клиентом. По умолчанию Azure поддерживает шифрование в неактивном состоянии для всех служб хранения, а также надежное шифрование для всей связи внутри ресурсов Azure и центров обработки данных и между ними.

    Из этой статьи вы узнаете:

    Шифрование данных на стороне клиента и на стороне сервера

    Azure поддерживает две основные модели шифрования: шифрование на стороне клиента и на стороне сервера.

    Шифрование на стороне клиента

    Шифрование на стороне клиента включает данные, которые получает Azure в зашифрованном виде, или данные, зашифрованные в сервисном приложении клиента. Поскольку шифрование не выполняется в Azure, организация полностью контролирует ключи шифрования, не предоставляя Azure доступа для расшифровки данных. Однако организация по-прежнему может управлять ключами с помощью Azure Key Vault.

    Шифрование на стороне сервера

    Шифрование на стороне сервера существует в трех различных моделях, каждая из которых предлагает различные варианты управления ключами.К ним относятся:

    • Ключи, управляемые службами — управляет ключами прозрачным для приложений образом, обеспечивая при этом постоянное шифрование данных.

    • Ключи, управляемые клиентом — обеспечивает больший контроль над ключами и позволяет организации создавать новые. Модель также поддерживает собственные ключи (BYOK).

    • Ключи, управляемые службой, с использованием оборудования, управляемого заказчиком. — позволяет организации управлять ключами в собственном репозитории, также известном как «Размещать свой собственный ключ» (HYOK).Большинство служб Azure не поддерживают эту модель, и настройка может быть сложной.

    Шифрование данных Azure в состоянии покоя

    Azure использует симметричное шифрование для данных в состоянии покоя, используя тот же симметричный ключ шифрования, что и данные, записываемые в хранилище и расшифровываемые для использования в памяти. Если вы решите разделить свои данные, вы можете использовать разные ключи для каждого раздела.

    Azure хранит ключи в безопасном месте, защищенном политиками доступа и аудита на основе удостоверений.Ключ шифрования ключей Azure (KEK) шифрует эти ключи. Этот ключ шифрования хранится в хранилище ключей Azure с ограниченным доступом.

    Существует также специальное решение для шифрования службы баз данных Azure , известное как прозрачное шифрование данных для базы данных SQL Azure.

    Шифрование данных при передаче

    Azure предоставляет несколько функций для шифрования данных при передаче либо в облаке Azure, либо между центрами обработки данных.

    Шифрование уровня канала данных в Azure

    Azure применяет IEEE 802.Стандарт 1AE (MACsec) при перемещении клиентского трафика между центрами обработки данных, внешними по отношению к Azure. Пакеты зашифровываются и дешифруются на устройствах перед отправкой во внешний центр обработки данных.

    Это шифрование выполняется по умолчанию для всего трафика как внутри, так и за пределами регионов. Он применяется во всем оборудовании базовой сети без каких-либо действий со стороны клиента и без увеличения задержки. Это предотвращает атаки типа «злоумышленник посередине» или прослушивания телефонных разговоров.

    Шифрование TLS в Azure

    Для защиты данных при их перемещении между организацией и Azure вы также можете использовать безопасность транспортного уровня (TLS).Это обеспечивает аутентификацию и гарантирует конфиденциальность сообщений, при одновременном обнаружении перехвата или подделки. Другие преимущества включают возможность взаимодействия, возможность выбора алгоритмов шифрования и простоту развертывания.

    Если вы решите использовать TLS, центры обработки данных Microsoft будут согласовывать TLS-соединение между вашей организацией и службами Azure.

    Вы также можете использовать TLS Perfect Forward Security (PFS) для подключения систем организации и служб Azure с использованием уникальных ключей.PFS использует 2048-битный ключ шифрования RSA, что чрезвычайно затрудняет перехват передаваемых данных.

    Шифрование службы хранилища Azure

    Перед сохранением данных в хранилище, а затем и перед их извлечением служба хранилища Azure автоматически шифрует и расшифровывает их. Шифрование, дешифрование и управление ключами — это полностью прозрачные процессы, которые можно применять к хранилищу BLOB-объектов Azure и хранилищу файлов Azure . Вы можете использовать ключи шифрования, управляемые Microsoft, или свои собственные.

    Шифрование SMB в виртуальных сетях Azure

    Сетевые администраторы могут включить шифрование блока сообщений сервера (SMB) либо для всего сервера, либо для определенных общих ресурсов. По умолчанию только клиенты SMB 3.0 могут получить доступ к зашифрованным общим папкам. Вы можете использовать SMB 3.0 на виртуальных машинах под управлением Windows Server 2012 или более поздней версии.

    Безопасный доступ к виртуальным машинам Linux с помощью SSH

    Secure Shell (SSH) избавляет от необходимости вводить пароли для входа через незащищенные соединения. Он обеспечивает протокол безопасного соединения с использованием асимметрично зашифрованных пар открытого и закрытого ключей.Azure использует SSH в качестве протокола подключения по умолчанию для виртуальных машин на базе Linux в своей среде.

    Шифрование для хранилища Azure

    Azure использует 256-битное шифрование AES, соответствующее стандарту FIPS 140-2, для прозрачного шифрования и дешифрования данных в хранилище Azure. Он включен для всех учетных записей хранения — как с использованием Resource Manager, так и с использованием классической версии — и не может быть отключен. В результате нет необходимости изменять код или приложения.

    Подобно шифрованию Windows BitLocker, AES является чрезвычайно надежным шифром.Все хранимые данные зашифрованы, независимо от того, используется ли уровень хранения Standard или Premium. Метаданные, большие двоичные объекты, архивные большие двоичные объекты, диски, файлы, очереди, таблицы и другие ресурсы службы хранилища Azure зашифрованы — и все это без дополнительных затрат.

    Кроме того, все варианты избыточности хранилища Azure поддерживают шифрование. При включении георепликации данные в первичном и вторичном регионах зашифровываются.

    Заключение

    В этой статье мы рассмотрели несколько вариантов шифрования, предоставляемых облаком Microsoft Azure:

    • Шифрование на стороне клиента для клиентов, обращающихся к облаку Azure

    • Шифрование на стороне сервера для служб на основе Azure

    • Шифрование передаваемых данных с использованием шифрования на уровне канала данных, SSL / TLS, шифрования протокола SMB и безопасного доступа SSH к вычислительным экземплярам

    • Встроенное шифрование хранилища Azure для данных в состоянии покоя

    Я надеюсь, что это поможет вам спланируйте свою безопасность в облаке Azure, чтобы лучше соответствовать требованиям безопасности и соответствия вашей организации.

    Управление хранилищем больших двоичных объектов Microsoft Azure

    Вы можете выполнять следующие операции с хранилищем больших двоичных объектов Microsoft Azure и резервными копиями на уровне образов, хранящимися в этом хранилище.

    Редактирование настроек хранилища BLOB-объектов

    Чтобы изменить настройки хранилища BLOB-объектов, следуйте инструкциям, приведенным в разделе «Редактирование настроек внешнего репозитория» Руководства пользователя Veeam Backup & Replication.

    Повторное сканирование хранилища BLOB-объектов

    Чтобы синхронизировать резервные копии хранилища BLOB-объектов в инфраструктурах Veeam Backup & Replication и Veeam Backup для Microsoft Azure, следуйте инструкциям, приведенным в разделе «Повторное сканирование внешнего репозитория» Руководства пользователя Veeam Backup & Replication.

    Удаление резервных копий и снимков на уровне образов из хранилища BLOB-объектов

    Удалить резервные копии и снимки на уровне образов из хранилища BLOB-объектов можно только с помощью компонента веб-интерфейса Veeam Backup for Microsoft Azure. Дополнительные сведения об удалении снимков и резервных копий см. В разделе «Удаление резервных копий и снимков» в Руководстве пользователя Veeam Backup для Microsoft Azure.

    Расшифровка резервных копий на уровне образов

    Если вы укажете пароли расшифровки для хранилища BLOB-объектов при добавлении Veeam Backup для Microsoft Azure, Veeam Backup & Replication автоматически расшифрует файлы резервных копий, хранящиеся в хранилище BLOB-объектов.Если вы не укажете пароли дешифрования, файлы резервных копий останутся зашифрованными.

    Чтобы расшифровать файлы резервных копий:

    1. Откройте главный экран.
    2. На панели инвентаризации выберите Резервные копии> Внешний репозиторий (зашифрованный).
    3. В рабочей области выберите резервные копии на уровне образов, которые вы хотите расшифровать и которые имеют тот же пароль для расшифровки. Затем щелкните «Указать пароль» на ленте или щелкните правой кнопкой мыши одну из выбранных резервных копий и выберите «Указать пароль».
    4. В поле Пароль введите пароль.

    В поле Подсказка вы можете увидеть подсказку для пароля, используемого для шифрования файлов резервных копий. Воспользуйтесь этой подсказкой, чтобы вспомнить пароль.

    Кроме того, вы можете указать пароль для расшифровки на шаге «Контейнер» мастера редактирования внешнего репозитория. Подробнее о том, как открыть мастер, читайте в разделе «Редактирование настроек внешнего репозитория» в Руководстве пользователя Veeam Backup & Replication.

    Удаление хранилища BLOB-объектов

    Чтобы удалить хранилище BLOB-объектов из инфраструктуры Veeam Backup & Replication, следуйте инструкциям, приведенным в разделе «Удаление внешних репозиториев» Руководства пользователя Veeam Backup & Replication.Обратите внимание, что хранилище BLOB-объектов не будет удалено из инфраструктуры Veeam Backup for Microsoft Azure.

    Cisco Firepower Threat Defense Virtual для Microsoft Azure Cloud Руководство по началу работы — Управление виртуальной защитой Firepower Threat Defense с помощью диспетчера устройств Firepower [Cisco Firepower NGFW Virtual]

    Step 1

    Выберите «Устройство», затем нажмите «Просмотр конфигурации» в группе «Умная лицензия».

    Щелкните Включить для каждой из дополнительных лицензий, которые вы хотите использовать: Угроза, Вредоносное ПО, URL. Если вы зарегистрировали устройство во время настройки, вы можете также активируйте желаемую лицензию RA VPN. Прочтите объяснение каждой лицензии, если вы не уверены, нужна ли она вам.

    Если вы не зарегистрированы, вы можете сделать это с этой страницы.Нажмите «Запросить регистрацию» и следуйте инструкциям. Пожалуйста, зарегистрируйтесь до истечения срока действия ознакомительной лицензии.

    Например, активированная лицензия на угрозы должна выглядеть следующим образом:

    Рисунок 1. Включенная лицензия на угрозы
    Шаг 2

    Если вы настроили другие интерфейсы, выберите «Устройство», затем щелкните «Просмотр конфигурации» в группе «Интерфейсы» и настройте каждый интерфейс.

    Вы можете создать группу мостов для других интерфейсов, или настроить отдельные сети, или комбинацию того и другого. Нажмите значок редактирования () для каждого интерфейса, чтобы определить IP-адрес и другие настройки.

    В следующем примере настраивается интерфейс для использования в качестве «демилитаризованной зоны» (DMZ), где вы размещаете общедоступные активы, такие как ваш веб-сервер.По завершении нажмите Сохранить.

    Рисунок 2. Интерфейс редактирования
    Шаг 3

    Если вы настроили новые интерфейсы, выберите «Объекты», затем выберите «Зоны безопасности» в таблице содержания.

    При необходимости отредактируйте или создайте новые зоны. Каждый интерфейс должен принадлежать зоне, потому что вы настраиваете политики на основе безопасности. зоны, а не интерфейсы. Вы не можете поместить интерфейсы в зоны при их настройке, поэтому вы всегда должны редактировать объекты зоны. после создания новых интерфейсов или изменения назначения существующих интерфейсов.

    В следующем примере показано, как создать новую зону dmz для интерфейса dmz.

    Рисунок 3. Объект зоны безопасности
    Шаг 4

    Если вы хотите, чтобы внутренние клиенты использовали DHCP для получения IP-адреса от устройства, выберите, а затем выберите вкладку DHCP-серверы.

    DHCP-сервер уже настроен для внутреннего интерфейса, но вы можете изменить пул адресов или даже удалить его. Если если вы настроили другие внутренние интерфейсы, очень типично настроить DHCP-сервер на этих интерфейсах. Нажмите +, чтобы настроить сервер и пул адресов для каждого внутреннего интерфейса.

    Вы также можете настроить список WINS и DNS, предоставляемый клиентам, на вкладке Configuration.В следующем примере показано, как настроить DHCP-сервер на интерфейсе inside2 с пулом адресов 192.168.4.50-192.168.4.240.

    Рисунок 4. DHCP-сервер
    Шаг 5

    Выберите устройство, затем нажмите «Просмотр конфигурации» (или «Создать первый статический маршрут») в группе «Маршрутизация» и настройте маршрут по умолчанию.

    Маршрут по умолчанию обычно указывает на восходящий маршрутизатор или маршрутизатор ISP, который находится за пределами внешнего интерфейса. Маршрут IPv4 по умолчанию для any-ipv4 (0.0.0.0/0), тогда как маршрут IPv6 по умолчанию — для any-ipv6 (:: 0/0). Создайте маршруты для каждой используемой версии IP. Если вы используете DHCP для получения адреса для внешнего интерфейса, возможно, у вас уже есть маршруты по умолчанию, которые вам нужны.

    Примечание

    Маршруты, которые вы определяете на этой странице, предназначены только для интерфейсов данных. Они не влияют на интерфейс управления. Установить шлюз управления включен.

    В следующем примере показан маршрут по умолчанию для IPv4. В этом примере isp-gateway — это сетевой объект, который идентифицирует IP-адрес шлюза интернет-провайдера (вы должны получить адрес у своего интернет-провайдера). Вы можете создать этот объект, щелкнув Create New Network в нижней части раскрывающегося списка Gateway.

    Рисунок 5. Маршрут по умолчанию
    Шаг 6

    Выберите «Политики» и настройте политики безопасности для сети.

    Мастер настройки устройства включает поток трафика между внутренней и внешней зоной и интерфейс NAT для всех интерфейсов. при переходе к внешнему интерфейсу.Даже если вы настроите новые интерфейсы, если вы добавите их к объекту внутренней зоны, к ним автоматически применяется правило контроля доступа.

    Однако, если у вас есть несколько внутренних интерфейсов, вам нужно правило контроля доступа, чтобы разрешить поток трафика из внутренней зоны в внутри зоны. Если вы добавляете другие зоны безопасности, вам потребуются правила, разрешающие трафик в эти зоны и из них.Это были бы твои минимальные изменения.

    Кроме того, вы можете настроить другие политики для предоставления дополнительных услуг, а также настроить NAT и правила доступа, чтобы получить результаты, которые требуются вашей организации. Вы можете настроить следующие политики:

    • Расшифровка SSL — Если вы хотите проверить зашифрованные соединения (например, HTTPS) на предмет вторжений, вредоносных программ и т. Д., Вы должны расшифровать соединения.Используйте политику расшифровки SSL, чтобы определить, какие соединения необходимо расшифровать. Система повторно шифрует соединение после осмотра.

    • Identity — Если вы хотите соотнести сетевую активность с отдельными пользователями или управлять доступом к сети на основе членства пользователя или группы пользователей, используйте политику идентификации, чтобы определить пользователя, связанного с данным исходным IP-адресом.

    • Security Intelligence —Используйте политику Security Intelligence, чтобы быстро разорвать соединения с IP-адресами или URL-адресами, внесенными в черный список, или с ними. В черный список известные плохие сайты, вам не нужно учитывать их в своей политике контроля доступа.Cisco предоставляет регулярно обновляемые каналы известных неверных адресов и URL-адресов, чтобы черный список Security Intelligence обновлялся динамически. Используя каналы, вам не нужно для редактирования политики для добавления или удаления элементов в черном списке.

    • NAT (преобразование сетевых адресов) — Используйте политику NAT для преобразования внутренних IP-адресов во внешние маршрутизируемые адреса.

    • Контроль доступа —Используйте политику контроля доступа, чтобы определить, какие соединения разрешены в сети. Вы можете фильтровать по зоне безопасности, IP-адрес, протокол, порт, приложение, URL-адрес, пользователь или группа пользователей.Вы также применяете политики вторжений и файловые (вредоносные) политики, используя правила контроля доступа. Используйте эту политику для реализации фильтрации URL-адресов.

    • Вторжение —Используйте политики вторжений для проверки известных угроз.Хотя вы применяете политики вторжений с помощью правил контроля доступа, вы можете редактировать политики вторжений, чтобы выборочно включать или отключать определенные правила вторжений.

    В следующем примере показано, как разрешить трафик между внутренней зоной и dmz-зоной в политике контроля доступа.В этом Например, никакие параметры не установлены ни на одной из других вкладок, кроме «Ведение журнала», где выбран параметр «В конце соединения».

    Рисунок 6. Политика контроля доступа
    Шаг 7

    Выберите «Устройство», затем нажмите «Просмотр конфигурации» в группе «Обновления» и настройте расписания обновлений для системных баз данных.

    Если вы используете политики вторжений, настройте регулярные обновления для правил и баз данных VDB. Если вы используете Security Intelligence каналов, установите для них расписание обновления. Если вы используете геолокацию в любой политике безопасности в качестве критерия соответствия, установите обновление расписание для этой базы данных.

    Шаг 8

    Нажмите кнопку «Развернуть» в меню, затем нажмите кнопку «Развернуть сейчас» (), чтобы развернуть изменения на устройстве.

    Изменения не активны на устройстве, пока вы их не развернете.

    基本 文件 流程 错误 SQL 调试

    1. : 2021-09-23 12:16:53 HTTP / 1.1 GET: https://help.foxit.com/manuals/pdf-reader/foxit-reader-for-mac-linux/en-us/2.4/rms_encryption_and_decryption.html
    2. : 0.008110s [吞吐率 : 123.30 запросов / с] 内存 消耗 : 593.95kb 文件 加载 : 60
    3. 查询 信息: 0 запросов 0 записей
    4. 缓存 信息: 0 операций чтения, 0 записей
    1. /home/data/site/foxitsoftware_com/knowledge/htdocs/index.php (2,62 КБ)
    2. /home/data/site/foxitsoftware_com/knowledge/thinkphp/base.php (1.71 КБ)
    3. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Loader.php (12,70 КБ)
    4. /home/data/site/foxitsoftware_com/knowledge/vendor/composer/autpoload_static.ph 2,96 КБ)
    5. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Error.php (4,00 КБ)
    6. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / Container. php (15,53 КБ)
    7. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / App.php (26,71 КБ)
    8. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Env.php (2,85 КБ)
    9. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / Config.php (9,71 КБ)
    10. /home/data/site/foxitsoftware_com/knowledge/thinkphp/convention.php (11,74 КБ)
    11. /home/data/site/foxitsoftware_com/knowledge/application/tags.php (0,99 КБ )
    12. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Hook.php (5,58 КБ)
    13. / home / data / site / foxitsoftware_com / knowledge / application / common.php (28,31 КБ)
    14. /home/data/site/foxitsoftware_com/knowledge/thinkphp/helper.php (20,29 КБ)
    15. /home/data/site/foxitsoftware_com/knowledge/config/app.php (4,87 КБ)
    16. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/facade/Env.php (1,17 КБ)
    17. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Facade.php ( 3,44 КБ)
    18. /home/data/site/foxitsoftware_com/knowledge/config/cache.php (0,97 КБ)
    19. / home / data / site / foxitsoftware_com / knowledge / config / cookie.php (1,14 КБ)
    20. /home/data/site/foxitsoftware_com/knowledge/config/database.php (2,00 КБ)
    21. /home/data/site/foxitsoftware_com/knowledge/config/log.php (1,11 КБ)
    22. /home/data/site/foxitsoftware_com/knowledge/config/session.php (1,09 КБ)
    23. /home/data/site/foxitsoftware_com/knowledge/config/template.php (1,30 КБ)
    24. / home / data / site / foxitsoftware_com / knowledge / config / trace.php (0,86 КБ)
    25. / home / data / site / foxitsoftware_com / knowledge / vendor / topthink / think-captcha / src / helper.php (1,54 КБ)
    26. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/facade/Route.php (3,83 КБ)
    27. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / Route.php (25,79 КБ)
    28. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Request.php (57,17 КБ)
    29. / home / data / site / foxitsoftware_com / knowledge / thinkphp / библиотека / think / route / Domain.php (7,07 КБ)
    30. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / route / RuleGroup.php (16,45 КБ)
    31. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/route/Rule.php (28,50 КБ)
    32. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / route / RuleItem.php (8,69 КБ)
    33. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/route/RuleName.php (3,92 КБ)
    34. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / фасад / Validate.php (4,83 КБ)
    35. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / Validate.php (43,83 КБ)
    36. /home/data/site/foxitsoftware_com/knowledge/vendor/topthink/think-helper/src/helper.php (1,65 КБ)
    37. / home / data / site / foxitsoftware_com / knowledge / vendor / topthink / think-migration / src / config.php (0,83 КБ)
    38. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Console.php (23,27 КБ)
    39. / home / data / site / foxitsoftware_com / knowledge / vendor / topthink / think-worker / src / command.php (0,81 КБ)
    40. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / DB.php (7,67 КБ)
    41. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Lang.php (7,38 КБ)
    42. /home/data/site/foxitsoftware_com/knowledge/route/route.php ( 1,11 КБ)
    43. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/route/dispatch/Url.php (5,23 КБ)
    44. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / route / Dispatch.php (9,27 КБ)
    45. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / exception / HttpException.php (1,13 КБ)
    46. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/exception/Handle.php (8,96 КБ)
    47. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / Response.php (9,68 КБ)
    48. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/response/View.php (2,28 КБ)
    49. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / View.php (5,71 КБ)
    50. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / view / driver / Think.php (6,12 КБ)
    51. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Template.php (47,31 КБ)
    52. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / template / driver / File.php (2,29 КБ)
    53. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/Cache.php (3,27 КБ)
    54. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / cache / driver / File.php (7,91 КБ)
    55. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / cache / Driver.php (8,58 КБ)
    56. /home/data/site/foxitsoftware_com/knowledge/runtime/temp/71f19782f663db90d5f0b6155f5e5493.php (1,78 КБ)
    57. / home / think / site / foxitsoftware_debug / knowledge / php (7,57 КБ)
    58. /home/data/site/foxitsoftware_com/knowledge/thinkphp/library/think/debug/Html.php (4,02 КБ)
    59. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / Log.php (8,81 КБ)
    60. / home / data / site / foxitsoftware_com / knowledge / thinkphp / library / think / log / driver / File.php (8,95 КБ)

    Шифрование Azure в состоянии покоя

    Введение

    Из этой статьи вы узнаете о шифровании Azure.

    Что такое шифрование данных?

    Шифрование данных — это процесс безопасности, позволяющий зашифровать ваши данные и защитить их от посторонних глаз. Этот процесс состоит из входного текста, алгоритма шифрования, ключа шифрования и выходных данных, закодированных следующим образом:

    1. Входная информация, которая может быть любым видом данных в виде обычного текста, который вы хотите зашифровать, или вашими закодированными данными, если вы хотите их расшифровать.
    2. Ключ шифрования, который будет использоваться для шифрования / дешифрования ваших данных. Есть два типа ключей шифрования:
    • Симметричный, где у вас есть только один ключ для шифрования и дешифрования.
    • Асимметричный, где у вас есть один ключ для шифрования и другой другой ключ для дешифрования.
  • Алгоритм шифрования, за который отвечает, применяет ваш ключ шифрования к вашему входу, чтобы зашифровать / расшифровать его.
  • Выход, который представляет собой вашу закодированную / декодированную информацию.
  • Зачем нужно шифровать данные?

    Безопасность. Это прямой ответ, когда мы спрашиваем, зачем нам шифровать наши данные, безопасность — это главная цель. Кроме того, у вас также есть некоторые юридические причины.

    Без шифрования наших данных в состоянии покоя информация, потребляемая приложениями, которая должна быть сохранена, например пароли или данные кредитных карт, могла бы быть полностью открыта любому, кто может получить к ней доступ. Таким образом, шифрование делает данные совершенно бесполезными, если у вас нет ключа дешифрования.

    Вот некоторые типы данных, которые хранятся и должны быть зашифрованы:

    • Пароли;
    • Кредитные карты;
    • Данные банковского счета;
    • История навигации;
    • Многие, многие другие …

    Шифрование с помощью Azure

    Azure использует два основных компонента для обеспечения гарантированного процесса безопасности при шифровании или дешифровании данных, а именно:

    • Azure Active Directory, обработка разрешений для управления ключами шифрования, хранящимися в Azure Key Vault, или доступа к ним.
    • Azure Key Vault, хранение, а также управление ключами шифрования.

    Кроме того, в Azure используются два разных типа ключей:

    • Ключ шифрования данных (DEK) — используется для шифрования / дешифрования раздела или блока данных. Если этот ключ создается повторно, данные необходимо повторно зашифровать с помощью нового ключа.
    • Ключ шифрования ключа (KEK) — используется для шифрования / дешифрования ключа шифрования данных. Это очень полезно. Использование этого ключа повышает безопасность, поскольку ключи KEK и DEK хранятся в разных местах, и только службы, которые обращаются к KEK, могут расшифровать DEK, чтобы расшифровать / зашифровать данные.
    • Документация по хранилищу ключей Azure.
    • Документация по Azure Active Directory.
    Модели шифрования

    , поддерживаемые Azure

    Azure поддерживает шифрование на стороне клиента и три различные модели шифрования на стороне сервера, а именно:

    Шифрование на стороне клиента

    В этой модели шифрования Azure только хранит данные и не знает о ключе шифрования, тогда Azure не может расшифровать и прочитать данные.Итак, клиент владеет ключом шифрования и отвечает за процесс шифрования и дешифрования.

    Шифрование на стороне сервера

    В этой модели шифрования Azure несет ответственность за шифрование и расшифровку данных, но ключ шифрования может управляться Azure, а также клиентом. Клиент отправляет и получает необработанные данные, а Azure отвечает за шифрование и дешифрование.

    У нас есть три различных процесса шифрования, в зависимости от того, как мы управляем ключами шифрования, а именно:

    • Ключи, управляемые службой, которые проще настроить и оставляют полный контроль за Azure в отношении управления ключами шифрования.
    • Использование хранилища ключей Azure, где управление ключами осуществляется хранилищем ключей Azure, оставляя заказчику полный контроль над ключами шифрования.
    • Аппаратное обеспечение, управляемое клиентом, которое сложнее настроить и оставляет полный контроль за клиентом в отношении управления ключами шифрования.

    Шифрование на стороне сервера с ключами, управляемыми службами

    Это самый простой способ зашифровать ваши данные в неактивном состоянии.Все, что вам нужно сделать, это включить эту функцию в своей службе Azure, и Azure будет обрабатывать все управление ключами шифрования для хранения ваших зашифрованных данных.

    Шифрование на стороне сервера с помощью Azure Key Vault

    С помощью модели шифрования Azure Key Vault заказчик контролирует ключи шифрования в Azure Key Vault и связывает их ключи со службами Azure, которые будут хранить данные. Процессом шифрования и дешифрования занимается поставщик ресурсов.

    Шифрование на стороне сервера с использованием оборудования под управлением клиента

    Это самая сложная модель шифрования для реализации, а также для обслуживания, помимо низкой производительности из-за необходимости дополнительных круговых обходов для дешифрования данных.

    Добавить комментарий

    Ваш адрес email не будет опубликован.