Přehled Azure Disk EncryptionAzure Disk Encryption overview

Azure Disk Encryption pomáhá chránit a chránit vaše data, aby splňovala závazky zabezpečení vaší organizace a dodržování předpisů.Azure Disk Encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Používá funkci BitLocker systému Windows a funkci dm-crypt systému Linux k poskytování šifrování svazku pro operační systém a datové disky virtuálních počítačů Azure (VM).It uses the BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and data disks of Azure virtual machines (VMs). Integruje se také s Azure Key Vault , která vám usnadní kontrolu a správu klíčů a tajných kódů disku a zajišťuje, aby všechna data na discích virtuálních počítačů byla v klidovém stavu zašifrovaná v úložišti Azure Storage.It is also integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets, and ensures that all data on the VM disks are encrypted at rest while in Azure storage. Azure Disk Encryption pro virtuální počítače s Windows a Linux je všeobecně dostupná ve všech veřejných oblastech Azure a oblasti Azure Government pro standardní virtuální počítače a virtuální počítače s Azure Premium Storage.Azure Disk Encryption for Windows and Linux VMs is in General Availability in all Azure public regions and Azure Government regions for Standard VMs and VMs with Azure Premium Storage.

Pokud používáte Azure Security Center, budete upozorněni, pokud máte virtuální počítače, které nejsou šifrovány.If you use Azure Security Center, you're alerted if you have VMs that aren't encrypted. Zobrazit výstrahy jako vysokou závažností a doporučuje se pro šifrování tyto virtuální počítače.The alerts show as High Severity and the recommendation is to encrypt these VMs.

Upozornění šifrování disku Azure Security Center

Poznámka

Některá doporučení může zvýšit dat, sítě, nebo využití výpočetních prostředků a výsledkem další náklady na licence nebo předplatné.Certain recommendations might increase data, network, or compute resource usage and result in additional license or subscription costs.

Šifrovací scénářeEncryption scenarios

Pomocí Azure Disk Encryption můžete řešit požadavky organizace na zabezpečení a dodržování předpisů díky zabezpečení virtuálních počítačů Azure v klidovém prostředí pomocí standardní šifrovací technologie v oboru.With Azure Disk Encryption, you can address organizational security and compliance requirements by securing your Azure VMs at rest using industry-standard encryption technology. Virtuální počítače můžete také nakonfigurovat tak, aby se spouštěly v rámci klíčů a zásad řízených zákazníkem (BYOK), a auditovat používání těchto klíčů v trezoru klíčů.You can also configure VMs to boot under customer-controlled keys and policies (BYOK), and audit the usage of these keys in your key vault.

Azure Disk Encryption podporuje následující scénáře zákazníků:Azure Disk Encryption supports the following customer scenarios:

  • Povolování a zakazování šifrování u nových virtuálních počítačů vytvořených z podporovaných imagí Galerie Azure.Enabling and disabling encryption on new VMs created from the supported Azure Gallery images.
  • Povolování a zakazování šifrování u stávajících virtuálních počítačů, které běží v Azure.Enabling and disabling encryption on existing VMs that run in Azure.
  • Povolování a zakazování šifrování pro nové virtuální počítače s Windows vytvořené z předem zašifrovaného virtuálního pevného disku a šifrovacích klíčů.Enabling and disabling encryption on new Windows VMs created from pre-encrypted VHD and encryption keys.
  • Povolení a zakázání šifrování ve Windows Virtual Machine Scale Sets.Enabling and disabling encryption on Windows virtual machine scale sets.
  • Povolování a zakazování šifrování u datových jednotek pro systémy Linux Virtual Machine Scale Sets.Enabling and disabling encryption on data drives for Linux virtual machine scale sets.
  • Povolení a zakázání šifrování virtuálních počítačů se spravovanými disky.Enabling and disabling encryption of managed disk VMs.
  • Aktualizuje se nastavení šifrování stávajícího šifrovaného a nePremium Storageho virtuálního počítače na úrovni Premium.Updating encryption settings of an existing encrypted Premium and non-Premium Storage VM.
  • Zálohování a obnovení šifrovaných virtuálních počítačů.Backing up and restoring encrypted VMs.
  • Využijte vlastní šifrování (BYOE) a přineste si vlastní klíče (BYOK), ve kterých zákazníci používají vlastní šifrovací klíče a ukládají je do trezoru klíčů Azure.Bring your own encryption (BYOE) and bring your own key (BYOK) scenarios, in which the customers use their own encryption keys and store them in an Azure key vault.

Podporuje také následující scénáře pro virtuální počítače, pokud jsou povolené v Microsoft Azure:It also supports the following scenarios for VMs when they're enabled in Microsoft Azure:

  • Integrace se službou Azure Key Vault.Integration with Azure Key Vault.

  • Virtuální počítače úrovně Standard , které splňují minimální požadavky na paměť.Standard tier VMs that meet the minimum memory requirement.

  • Povolení šifrování na virtuálních počítačích s Windows a Linux, spravovaných discích a virtuálních počítačích sady škálování z podporovaných imagí Galerie AzureEnabling encryption on Windows and Linux VMs, managed disk, and scale set VMs from the supported Azure Gallery images.

  • Zakázání šifrování v operačních systémech a datových jednotkách pro virtuální počítače s Windows, virtuální počítače s nastavenou velikostí a virtuální počítače se spravovanými disky.Disabling encryption on OS and data drives for Windows VMs, scale set VMs, and managed disk VMs.

  • Zakážete šifrování na datových jednotkách pro virtuální počítače se systémem Linux, virtuální počítače s možností škálování a virtuální počítače se spravovanými disky.Disabling encryption on data drives for Linux VMs, scale set VMs, and managed disk VMs.

  • Povoluje se šifrování na virtuálních počítačích, na kterých běží klientský operační systém Windows.Enabling encryption on VMs that run the Windows Client OS.

  • Povoluje se šifrování u svazků s cestami připojení.Enabling encryption on volumes with mount paths.

  • Povolení šifrování pro virtuální počítače se systémem Linux, které jsou konfigurovány pomocí diskového disku RAID, pomocí mdadm.Enabling encryption on Linux VMs that are configured with disk striping (RAID) by using mdadm.

  • Povolení šifrování u virtuálních počítačů se systémem Linux, které pro datové disky používají LVMEnabling encryption on Linux VMs that use LVM for data disks.

  • Povolení šifrování na discích s operačním systémem Linux a datových disků.Enabling encryption on the Linux VM OS and data disks.

    Poznámka

    Šifrování jednotky operačního systému u některých Linuxových distribucích se nepodporuje.OS drive encryption for some Linux distributions isn't supported. Další informace najdete v tématu Podporované operační systémy Azure Disk Encryption: Linux.For more information, see the Azure Disk Encryption supported operating systems: Linux.

  • Povolení šifrování u virtuálních počítačů, které jsou nakonfigurované s prostory úložiště Windows počínaje Windows serverem 2016.Enabling encryption on VMs that are configured with Windows Storage Spaces beginning in Windows Server 2016. Prostory úložiště s přímým přístupem (S2D) ještě není podporovaný.Storage Spaces Direct (S2D) isn't supported yet.

  • Zálohování a obnovení šifrovaných virtuálních počítačů pro KEK (Key Encryption Key) i pro jiné scénáře než KEK.Back up and restoration of encrypted VMs for both key encryption key (KEK) and non-KEK scenarios.

Azure Disk Encryption nefunguje v následujících scénářích, funkcích a technologiích:Azure Disk Encryption does not work for the following scenarios, features, and technology:

  • Šifrování virtuálních počítačů nebo virtuálních počítačů na úrovni Basic vytvořených prostřednictvím metody vytváření virtuálních počítačůEncrypting basic tier VM or VMs created through the classic VM creation method.
  • Zakázání šifrování na jednotce operačního systému nebo datové jednotce virtuálního počítače se systémem Linux, pokud je jednotka operačního systému zašifrovaná.Disabling encryption on an OS drive or data drive of a Linux VM when the OS drive is encrypted.
  • Šifrování jednotky operačního systému pro systém Linux Virtual Machine Scale Sets.Encrypting OS drive for Linux virtual machine scale sets.
  • Šifrování virtuálních počítačů s Windows nakonfigurovaných s využitím softwarových systémů RAID.Encrypting Windows VMs configured with software-based RAID systems.
  • Šifrování vlastních imagí na virtuálních počítačích se systémem Linux.Encrypting custom images on Linux VMs.
  • Integrace s místním systémem správy klíčů.Integration with an on-premises key management system.
  • Soubory Azure (sdílený systém souborů).Azure Files (shared file system).
  • Network File System (NFS).Network File System (NFS).
  • Dynamické svazky.Dynamic volumes.
  • Kontejnery Windows serveru, které vytvářejí dynamické svazky pro každý kontejner.Windows Server containers, which create dynamic volumes for each container.
  • Dočasné disky s operačním systémem.Ephemeral OS disks.
  • Šifrování sdílených/distribuovaných systémů souborů (ale ne omezené na): DFS, GFS, DRDB, CephFS atd.Encryption of shared/distributed file systems like (but not limited to): DFS, GFS, DRDB, CephFS, etc

Funkce šifrováníEncryption features

Když povolíte a nasadíte Azure Disk Encryption pro virtuální počítače Azure, můžete nakonfigurovat následující funkce, které se mají povolit:When you enable and deploy Azure Disk Encryption for Azure VMs, you can configure the following capabilities to be enabled:

  • Šifrování svazku operačního systému pro ochranu spouštěcího svazku v klidovém úložišti.Encrypting the OS volume to protect the boot volume at rest in your storage.
  • Šifrování datových svazků pro ochranu datových svazků v klidovém úložišti.Encrypting data volumes to protect the data volumes at rest in your storage.
  • Zákaz šifrování v operačním systému a datových jednotkách pro virtuální počítače s WindowsDisabling encryption on the OS and data drives for Windows VMs.
  • Zakázání šifrování na datových jednotkách pro virtuální počítače se systémem Linux (pouze v případě, že jednotka operačního systému není šifrovaná).Disabling encryption on the data drives for Linux VMs (only when the OS drive isn't encrypted).
  • Ochrana šifrovacích klíčů a tajných kódů v předplatném Azure Key Vault.Safeguarding the encryption keys and secrets in your Azure Key Vault subscription.
  • Oznamuje se stav šifrování šifrovaného virtuálního počítače.Reporting the encryption status of the encrypted VM.
  • Odebírá se nastavení konfigurace šifrování disku z virtuálního počítače.Removing the disk encryption configuration settings from the VM.
  • Zálohování a obnovení šifrovaných virtuálních počítačů pomocí služby Azure Backup.Backing up and restoring the encrypted VMs by using the Azure Backup service.

Azure Disk Encryption pro virtuální počítače pro systémy Windows a Linux zahrnují:Azure Disk Encryption for VMs for Windows and Linux includes:

Poznámka

Není k dispozici bez dalších poplatků k šifrování disků virtuálních počítačů pomocí Azure Disk Encryption.There's no additional charge to encrypt VM disks with Azure Disk Encryption. Standardní cenách služby Key Vault platí pro trezor klíčů, který se používá k ukládání šifrovacích klíčů.Standard Key Vault pricing applies to the key vault that's used to store the encryption keys.

Pracovní postup šifrováníEncryption workflow

Pokud chcete povolit disk encryption pro Windows a virtuální počítače s Linuxem, proveďte následující kroky:To enable disk encryption for Windows and Linux VMs, do the following steps:

  1. Přihlásit se k povolení šifrování disků pomocí šablony Azure Disk Encryption Resource Manageru, rutin prostředí PowerShell nebo rozhraní příkazového řádku Azure a zadejte požadovanou konfiguraci šifrování.Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • Pro virtuální pevný disk scénář šifrované zákazníka nahrání šifrovaného virtuálního pevného disku do účtu úložiště a šifrovací klíče do trezoru klíčů.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Pak zadejte konfiguraci šifrování pro povolení šifrování u nového virtuálního počítače.Then, provide the encryption configuration to enable encryption on a new VM.
    • Pro nové virtuální počítače, které jsou vytvořené z podporovaných imagí galerie, a stávající virtuální počítače, které už běží v Azure, poskytněte konfiguraci šifrování, aby se povolilo šifrování na virtuálním počítači.For new VMs that are created from supported gallery images, and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  2. Udělte platformě Azure přístup ke čtení materiálu šifrovacího klíče (šifrovací klíče BitLockeru pro systémy Windows a přístupové heslo pro Linux) z trezoru klíčů, aby se povolilo šifrování na VIRTUÁLNÍm počítači.Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  3. Azure aktualizuje model služby virtuálního počítače s šifrováním a konfigurace služby key vault a nastaví šifrovaný virtuální počítač.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

    Microsoft Antimalware v Azure

Dešifrování pracovního postupuDecryption workflow

Pokud chcete zakázat šifrování disku pro virtuální počítače, proveďte následující kroky vysoké úrovně:To disable disk encryption for VMs, complete the following high-level steps:

  1. Zvolte Zakázání šifrování (dešifrování) na běžícím virtuálním počítači v Azure a určete konfiguraci dešifrování.Choose to disable encryption (decryption) on a running VM in Azure and specify the decryption configuration. Můžete vypnout pomocí šablony Azure Disk Encryption Resource Manageru, rutin prostředí PowerShell nebo rozhraní příkazového řádku Azure.You can disable via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI.

    Tento krok zakazuje šifrování operačního systému nebo datového svazku nebo obojího na spuštěném virtuálním počítači s Windows.This step disables encryption of the OS or the data volume or both on the running Windows VM. Jak je uvedeno v předchozí části, zakazuje šifrování disku operačního systému Linux se nepodporuje.As mentioned in the previous section, disabling OS disk encryption for Linux isn't supported. Dešifrování kroku je povoleno pouze pro datové jednotky na virtuální počítače s Linuxem jako disk s operačním systémem není šifrovaný.The decryption step is allowed only for data drives on Linux VMs as long as the OS disk isn't encrypted.

  2. Azure aktualizuje model služby virtuálních počítačů a virtuální počítač je označený jako dešifrovaný.Azure updates the VM service model and the VM is marked as decrypted. Obsah virtuálního počítače už jsou v klidovém stavu zašifrovaná.The contents of the VM are no longer encrypted at rest.

    Poznámka

    Operace šifrování zakázání nedojde k odstranění trezoru klíčů a šifrování klíče materiál (šifrovací klíče nástroje BitLocker systému Windows) nebo přístupové heslo pro Linux.The disable encryption operation doesn't delete your key vault and the encryption key material (BitLocker encryption keys for Windows systems or Passphrase for Linux).

    Zakazuje šifrování disku operačního systému Linux se nepodporuje.Disabling OS disk encryption for Linux isn't supported. Dešifrování kroku je povoleno pouze pro datové jednotky na virtuální počítače s Linuxem.The decryption step is allowed only for data drives on Linux VMs.

    Zakazuje šifrování disku pro Linux není podporována, pokud je šifrované jednotky operačního systému.Disabling data disk encryption for Linux isn't supported if the OS drive is encrypted.

Šifrování pracovního postupu (předchozí verze)Encryption workflow (previous release)

Novou verzi sady Azure Disk Encryption eliminuje nutnost poskytnout parametr aplikace Azure Active Directory (Azure AD), povolit šifrování disku virtuálního počítače.The new release of Azure Disk Encryption eliminates the requirement to provide an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. Nové verze se už nevyžadují zadejte přihlašovací údaje Azure AD během kroku povolení šifrování.With the new release, you're no longer required to provide an Azure AD credential during the enable encryption step. Všechny nové virtuální počítače musí být zašifrován bez parametrů aplikace Azure AD, když použijete novou verzi.All new VMs must be encrypted without the Azure AD application parameters when you use the new release. Virtuální počítače, které již byly šifrované pomocí aplikace Azure AD, parametry jsou stále podporovány a má pokračovat udržovat syntaxí Azure AD.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the Azure AD syntax. Pokud chcete povolit disk encryption pro Windows a virtuální počítače s Linuxem (předchozí verzi), proveďte následující kroky:To enable disk encryption for Windows and Linux VMs (previous release), do the following steps:

  1. Vybírat scénáře uvedené ve scénáři šifrování šifrovací scénáře oddílu.Choose an encryption scenario from the scenarios listed in the Encryption scenarios section.

  2. Přihlásit se k povolení šifrování disků pomocí šablony Azure Disk Encryption Resource Manageru, rutin prostředí PowerShell nebo rozhraní příkazového řádku Azure a zadejte požadovanou konfiguraci šifrování.Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • Pro virtuální pevný disk scénář šifrované zákazníka nahrání šifrovaného virtuálního pevného disku do účtu úložiště a šifrovací klíče do trezoru klíčů.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Pak zadejte konfiguraci šifrování pro povolení šifrování u nového virtuálního počítače.Then, provide the encryption configuration to enable encryption on a new VM.
    • Pro nové virtuální počítače, které jsou vytvořené z Marketplace a stávající virtuální počítače, které už běží v Azure, zadejte konfiguraci šifrování, která povolí šifrování na virtuálním počítači.For new VMs that are created from the Marketplace and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  3. Udělte platformě Azure přístup ke čtení materiálu šifrovacího klíče (šifrovací klíče BitLockeru pro systémy Windows a přístupové heslo pro Linux) z trezoru klíčů, aby se povolilo šifrování na VIRTUÁLNÍm počítači.Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  4. Poskytnout identitu aplikace služby Azure AD zapisovat materiálu k vašemu trezoru klíčů šifrovací klíč.Provide the Azure AD application identity to write the encryption key material to your key vault. Tento krok umožňuje šifrování na virtuálním počítači pro scénáře, které jsou uvedené v kroku 2.This step enables encryption on the VM for the scenarios mentioned in step 2.

  5. Azure aktualizuje model služby virtuálního počítače s šifrováním a konfigurace služby key vault a nastaví šifrovaný virtuální počítač.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

TerminologieTerminology

Následující tabulka popisuje některé běžné výrazy používané v dokumentaci ke službě Azure Disk Encryption:The following table defines some of the common terms used in Azure disk encryption documentation:

TerminologieTerminology DefiniceDefinition
Azure ADAzure AD Azure AD účet se používá k ověření, ukládání a načítání tajných kódů z trezoru klíčů.An Azure AD account is used to authenticate, store, and retrieve secrets from a key vault.
Azure Key VaultAzure Key Vault Key Vault je služba pro správu klíčů, kryptografické, který je založen na informace o zpracování normy FIPS (Federal) ověřených modulech hardwarového zabezpečení.Key Vault is a cryptographic, key management service that's based on Federal Information Processing Standards (FIPS) validated hardware security modules. Tyto normy pomáhají chránit kryptografické klíče a tajné kódy citlivé.These standards help to safeguard your cryptographic keys and sensitive secrets. Další informace najdete v tématu Azure Key Vault dokumentaci.For more information, see the Azure Key Vault documentation.
BitLockerBitLocker BitLocker je rozpoznaná technologie pro šifrování svazků Windows, která se používá k povolení šifrování disku na virtuálních počítačích s Windows.BitLocker is an industry-recognized Windows volume encryption technology that's used to enable disk encryption on Windows VMs.
BEKBEK Nástroj BitLocker šifrovacích klíčů (klíče BEK) se používají k zašifrování spouštěcí svazek s operačním systémem a datové svazky.BitLocker encryption keys (BEK) are used to encrypt the OS boot volume and data volumes. BEKs jsou chráněné ve službě key vault jako tajné kódy.BEKs are safeguarded in a key vault as secrets.
Azure CLIAzure CLI Rozhraní příkazového řádku Azure je optimalizovaná pro správu prostředků Azure z příkazového řádku.The Azure CLI is optimized for managing and administering Azure resources from the command line.
DM-CryptDM-Crypt Dm-crypt je transparentní podsystém šifrování disku založený na systému Linux, který slouží k povolení šifrování disku na virtuálních počítačích se systémem Linux.DM-Crypt is the Linux-based, transparent disk-encryption subsystem that's used to enable disk encryption on Linux VMs.
Klíč šifrování klíče (KEK)Key encryption key (KEK) Asymetrický klíč (RSA 2048), který můžete použít k ochraně nebo zabalení tajného klíče.The asymmetric key (RSA 2048) that you can use to protect or wrap the secret. Můžete zadat modulu hardwarového zabezpečení (HSM)-chráněný klíč, nebo klíč chráněný softwarem.You can provide a hardware security module (HSM)-protected key or software-protected key. Další informace najdete v tématu Azure Key Vault dokumentaci.For more information, see the Azure Key Vault documentation.
Rutiny prostředí PowerShellPowerShell cmdlets Další informace najdete v tématu rutin prostředí Azure PowerShell.For more information, see Azure PowerShell cmdlets.

Další postupNext steps

Informace o tom, jak začít, najdete v tématu Azure Disk Encryption požadavky.To get started, see the Azure Disk Encryption prerequisites.