Omówienie opcji szyfrowania dysków zarządzanych
Istnieje kilka typów szyfrowania dostępnych dla dysków zarządzanych, w tym usługi Azure Disk Encryption (ADE), szyfrowania po stronie serwera (SSE) i szyfrowania na hoście.
Szyfrowanie po stronie serwera usługi Azure Disk Storage (nazywane również szyfrowaniem magazynowanym lub szyfrowaniem usługi Azure Storage) jest zawsze włączone i automatycznie szyfruje dane przechowywane na dyskach zarządzanych platformy Azure (system operacyjny i dyski danych) podczas utrwalania w klastrach magazynu. Po skonfigurowaniu przy użyciu zestawu szyfrowania dysków (DES) obsługuje również klucze zarządzane przez klienta. Nie szyfruje dysków tymczasowych ani pamięci podręcznych dysków. Aby uzyskać szczegółowe informacje, zobacz Szyfrowanie po stronie serwera usługi Azure Disk Storage.
Szyfrowanie na hoście to opcja maszyny wirtualnej, która zwiększa szyfrowanie po stronie serwera usługi Azure Disk Storage w celu zapewnienia szyfrowania wszystkich dysków tymczasowych i pamięci podręcznych dysków magazynowanych i przepływu zaszyfrowanego w klastrach magazynu. Aby uzyskać szczegółowe informacje, zobacz Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej.
Usługa Azure Disk Encryption pomaga chronić dane i chronić je w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Program ADE szyfruje dyski systemu operacyjnego i danych maszyn wirtualnych platformy Azure na maszynach wirtualnych przy użyciu funkcji DM-Crypt systemu Linux lub funkcji BitLocker systemu Windows. Usługa ADE jest zintegrowana z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy szyfrowania dysków i wpisów tajnych oraz zarządzanie nimi, przy użyciu opcji szyfrowania za pomocą klucza szyfrowania klucza (KEK). Aby uzyskać szczegółowe informacje, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux lub Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows.
Szyfrowanie dysków poufnych wiąże klucze szyfrowania dysku z modułem TPM maszyny wirtualnej i udostępnia chronioną zawartość dysku tylko maszynie wirtualnej. Stan gościa modułu TPM i maszyny wirtualnej jest zawsze szyfrowany w zaświadczanym kodzie przy użyciu kluczy zwolnionych przez bezpieczny protokół, który pomija funkcję hypervisor i system operacyjny hosta. Obecnie dostępny tylko dla dysku systemu operacyjnego; Obsługa dysku tymczasowego jest dostępna w wersji zapoznawczej. Szyfrowanie na hoście może być używane w przypadku innych dysków na poufnej maszynie wirtualnej oprócz szyfrowania dysków poufnych. Aby uzyskać szczegółowe informacje, zobacz Poufne maszyny wirtualne serii DCasv5 i ECasv5.
Szyfrowanie jest częścią warstwowego podejścia do zabezpieczeń i powinno być używane z innymi zaleceniami dotyczącymi zabezpieczania maszyn wirtualnych i ich dysków. Aby uzyskać szczegółowe informacje, zobacz Zalecenia dotyczące zabezpieczeń maszyn wirtualnych na platformie Azure i Ograniczanie dostępu importu/eksportu do dysków zarządzanych.
Porównanie
Poniżej przedstawiono porównanie funkcji SSE, ADE, szyfrowania na hoście i szyfrowania dysków poufnych.
| Szyfrowanie po stronie serwera usługi Azure Disk Storage | Szyfrowanie na hoście | Usługa Azure Disk Encryption | Szyfrowanie dysków poufnych (tylko dla dysku systemu operacyjnego) | |
|---|---|---|---|---|
| Szyfrowanie magazynowane (dyski systemu operacyjnego i danych) | ✅ | ✅ | ✅ | ✅ |
| Szyfrowanie dysku tymczasowego | ❌ | ✅ Obsługiwane tylko w przypadku klucza zarządzanego przez platformę | ✅ | ✅W wersji zapoznawczej |
| Szyfrowanie pamięci podręcznych | ❌ | ✅ | ✅ | ✅ |
| Przepływy danych szyfrowane między obliczeniami i magazynem | ❌ | ✅ | ✅ | ✅ |
| Kontrola klienta nad kluczami | ✅ Po skonfigurowaniu z des | ✅ Po skonfigurowaniu z des | ✅ Po skonfigurowaniu przy użyciu klucza KEK | ✅ Po skonfigurowaniu z des |
| Obsługa modułu HSM | Usługa Azure Key Vault — wersja Premium i zarządzany moduł HSM | Usługa Azure Key Vault — wersja Premium i zarządzany moduł HSM | Azure Key Vault Premium | Usługa Azure Key Vault — wersja Premium i zarządzany moduł HSM |
| Nie używa procesora CPU maszyny wirtualnej | ✅ | ✅ | ❌ | ❌ |
| Działa w przypadku obrazów niestandardowych | ✅ | ✅ | ❌ Nie działa w przypadku niestandardowych obrazów systemu Linux | ✅ |
| Rozszerzona ochrona kluczy | ❌ | ❌ | ❌ | ✅ |
| stan szyfrowania dysku Microsoft Defender dla Chmury* | Nieprawidłowy | Dobra kondycja | Dobra kondycja | Nie dotyczy |
Ważne
W przypadku szyfrowania dysków poufnych Microsoft Defender dla Chmury obecnie nie ma zalecenia, które ma zastosowanie.
* Microsoft Defender dla Chmury ma następujące zalecenia dotyczące szyfrowania dysków:
- Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście (wykrywa tylko szyfrowanie na hoście)
- Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem (wykrywa tylko usługę Azure Disk Encryption)
- Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost (wykrywa zarówno usługę Azure Disk Encryption, jak i szyfrowanieAtHost)
- Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost (wykrywa zarówno usługę Azure Disk Encryption, jak i EncryptionAtHost)
Następne kroki
- Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux
- Azure Disk Encryption dla maszyn wirtualnych z systemem Windows
- Szyfrowanie po stronie serwera usługi Azure Disk Storage
- Szyfrowanie na hoście
- Poufne maszyny wirtualne serii DCasv5 i ECasv5
- Podstawy zabezpieczeń platformy Azure — omówienie usługi Azure Encryption