Azure数据存储加密？

Question

我正在创建一个azure的应用程序，必须是pci兼容。我的公司内部有一个共识，即为了满足这一要求，任何个人身份信息(PII)都应该加密存储。

我有几个问题。

pci合规性意味着在数据存储中加密PII，这是真的吗？

我在Azure上有哪些选项？

我希望将数据存储在documentdb中，因为这将与应用程序中的数据格式最接近。大多数数据都是基于文档和json的。这是否符合PCI合规性标准？

如果包含支付和卡信息的数据存储与包含PII的数据存储不同，会有区别吗？

Answer 1

有关PCI合规性要求的问题最好直接咨询贵组织的合规性官员。他们是最终必须在你的解决方案上“签字”的人，这样他们才能控制你正在努力的规范。

至于您的选择是什么，mfanto指出了对新层的SQL支持。还有Azure Storage，现在有了encryption extensions。据我所知，Document DB还没有任何东西。如果您正在运行自己的数据库，Windows虚拟机支持数据驱动器上的bitlocker驱动器加密已经有一段时间了。

Answer 2

虽然示例使用本地文件，但应该注意的是，Azure Encryption Extensions还支持所有上传/下载方法的流-并且没有任何内容写入磁盘(流是动态加密/解密的)。

UploadFromStreamEncrypted(...) DownloadToStreamEncrypted(...)

https://github.com/stefangordon/azure-encryption-extensions/blob/master/AzureEncryptionExtensionsTests/FunctionalTests.cs#L107

Answer 3

Cosmos DB (以前的DocumentDB)现在支持静态加密。每个地域默认开启。这对成本或性能SLA没有影响。注意:本地仿真器不支持静态加密(尽管仿真器仅用于开发/测试目的)。

就合规性而言，您需要与合规性/法律专家进行交谈。

有关Cosmos DB静态加密的更多信息，请参阅this post。