Šifrování Azure Disk Storage na straně serveru

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Většina disků pod správou služby Azure je zašifrována pomocí šifrování Azure Storage, které používá šifrování na straně serveru (SSE) k ochraně vašich dat a pomáhá splnit vaše závazky v oblasti zabezpečení a dodržování předpisů. Šifrování Azure Storage automaticky ve výchozím nastavení šifruje vaše data uložená na discích pod správou Azure (OS a datové disky), když je uchováváte v cloudu. Disky s povoleným šifrováním na hostiteli se ale nešifrují prostřednictvím služby Azure Storage. U disků se šifrováním povoleným u hostitele poskytuje šifrování dat server hostující váš virtuální počítač a šifrovaná data proudí do úložiště Azure Storage.

Data ve spravovaných discích Azure se transparentně šifrují pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech, které jsou základem spravovaných disků Azure, najdete v tématu Rozhraní API kryptografie: Další generace.

Šifrování služby Azure Storage nemá vliv na výkon spravovaných disků a žádné další náklady. Další informace o šifrování služby Azure Storage najdete v tématu Šifrování služby Azure Storage.

Poznámka:

Dočasné disky nejsou spravované disky a nejsou šifrované protokolem SSE, pokud nepovolíte šifrování v hostiteli.

Správa šifrovacích klíčů

Pro šifrování spravovaného disku můžete spoléhat na klíče spravované platformou nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování všech dat na spravovaných discích.

Následující části popisují jednotlivé možnosti správy klíčů podrobněji.

Klíče spravované platformou

Spravované disky ve výchozím nastavení používají šifrovací klíče spravované platformou. Všechny spravované disky, snímky, image a data zapsaná do stávajících spravovaných disků se automaticky šifrují neaktivními uloženými klíči spravovanými platformou. Klíče spravované platformou spravuje Microsoft.

Klíče spravované zákazníkem

Šifrování můžete spravovat na úrovni každého spravovaného disku s vlastními klíči. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu.

K ukládání klíčů spravovaných zákazníkem musíte použít jedno z následujících úložišť klíčů Azure:

• Azure Key Vault
• Modul hardwarového zabezpečení spravované služby Azure Key Vault (HSM)

Můžete buď importovat klíče RSA do služby Key Vault, nebo vygenerovat nové klíče RSA ve službě Azure Key Vault. Spravované disky Azure zpracovávají šifrování a dešifrování plně transparentním způsobem pomocí šifrování obálek. Šifruje data pomocí šifrovacího klíče založeného na AES 256 (DEK), který je zase chráněný pomocí vašich klíčů. Služba Storage generuje šifrovací klíče dat a šifruje je pomocí klíčů spravovaných zákazníkem pomocí šifrování RSA. Šifrování obálek umožňuje pravidelně obměňovat (měnit) klíče podle zásad dodržování předpisů, aniž by to mělo vliv na vaše virtuální počítače. Při obměně klíčů služba Storage znovu zašifruje šifrovací klíče dat pomocí nových klíčů spravovaných zákazníkem.

Spravované disky a Key Vault nebo spravovaný HSM musí být ve stejné oblasti Azure, ale můžou být v různých předplatných. Musí být také ve stejném tenantovi Microsoft Entra, pokud nepoužíváte šifrování spravovaných disků s klíči spravovanými mezi tenanty (Preview).

Úplné řízení vašich klíčů

Abyste mohli klíče používat k šifrování a dešifrování klíče DEK, musíte udělit přístup ke spravovaným diskům ve službě Key Vault nebo spravovanému HSM. To vám umožní úplnou kontrolu nad daty a klíči. Klíče můžete kdykoli zakázat nebo odvolat přístup ke spravovaným diskům. Pomocí monitorování služby Azure Key Vault můžete také auditovat použití šifrovacího klíče, abyste zajistili, že k vašim klíčům přistupují jenom spravované disky nebo jiné důvěryhodné služby Azure.

Důležité

Pokud je klíč zakázán, odstraněn nebo vypršela jeho platnost, všechny virtuální počítače s operačním systémem nebo datovými disky, které tento klíč používají, se automaticky vypne. Po automatickém vypnutí se virtuální počítače nespustí, dokud se klíč znovu nepovolí nebo nepřiřadíte nový klíč.

Obecně platí, že vstupně-výstupní operace disku (operace čtení nebo zápisu) se spustí jednou hodinu po zakázání, odstranění nebo vypršení platnosti klíče.

Následující diagram ukazuje, jak spravované disky používají Microsoft Entra ID a Azure Key Vault k vytváření žádostí pomocí klíče spravovaného zákazníkem:

Následující seznam podrobněji vysvětluje diagram:

1. Správce služby Azure Key Vault vytvoří prostředky trezoru klíčů.
2. Správce trezoru klíčů buď naimportuje klíče RSA do služby Key Vault, nebo vygeneruje nové klíče RSA ve službě Key Vault.
3. Tento správce vytvoří instanci prostředku Sady šifrování disků a zadá ID služby Azure Key Vault a adresu URL klíče. Sada šifrování disků je nový prostředek, který zjednodušuje správu klíčů pro spravované disky.
4. Při vytvoření sady šifrování disku se vytvoří spravovaná identita přiřazená systémem v ID Microsoft Entra a přidružená k sadě šifrování disku.
5. Správce služby Azure Key Vault pak udělí spravované identitě oprávnění k provádění operací v trezoru klíčů.
6. Uživatel virtuálního počítače vytvoří disky tím, že je přidruží k sadě šifrování disku. Uživatel virtuálního počítače může také povolit šifrování na straně serveru s klíči spravovanými zákazníkem pro existující prostředky tím, že je přidruží k sadě šifrování disku.
7. Spravované disky používají spravovanou identitu k odesílání požadavků do služby Azure Key Vault.
8. Pro čtení nebo zápis dat spravované disky odesílají žádosti do služby Azure Key Vault za účelem šifrování (zabalení) a dešifrování (rozbalení) šifrovacího klíče dat za účelem šifrování a dešifrování dat.

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, přečtěte si téma Azure Key Vault PowerShell a Azure Key Vault CLI. Odvolání přístupu efektivně blokuje přístup ke všem datům v účtu úložiště, protože šifrovací klíč je pro Azure Storage nepřístupný.

Automatická obměně klíčů spravovaných zákazníkem

Obecně platí, že pokud používáte klíče spravované zákazníkem, měli byste povolit automatickou obměnu klíčů na nejnovější verzi klíče. Automatická obměně klíčů pomáhá zajistit zabezpečení vašich klíčů. Disk odkazuje na klíč prostřednictvím sady šifrování disku. Když povolíte automatickou obměnu sady šifrování disků, systém automaticky aktualizuje všechny spravované disky, snímky a image odkazující na sadu šifrování disku tak, aby používal novou verzi klíče do jedné hodiny. Informace o povolení klíčů spravovaných zákazníkem pomocí automatické obměny klíčů najdete v tématu Nastavení služby Azure Key Vault a DiskEncryptionSet pomocí automatické obměny klíčů.

Poznámka:

Během automatické obměna klíčů se virtuální počítače nerestartují.

Pokud nemůžete povolit automatické obměně klíčů, můžete k upozorňování před vypršením platnosti klíčů použít jiné metody. Tímto způsobem můžete klíče před vypršením platnosti otočit a zachovat kontinuitu podnikových procesů. K odeslání oznámení, když brzy vyprší platnost klíče, můžete použít Azure Policy nebo Azure Event Grid .

Omezení

Klíče spravované zákazníkem mají prozatím následující omezení:

• Pokud je tato funkce povolená pro disk s přírůstkovými snímky, není možné ji na tomto disku ani jeho snímky zakázat. Pokud chcete tento problém obejít, zkopírujte všechna data na zcela jiný spravovaný disk, který nepoužívá klíče spravované zákazníkem. Můžete to udělat pomocí Azure CLI nebo modulu Azure PowerShellu.
• Podporují se pouze klíče RSA softwaru a HSM o velikosti 2 048 bitů, 3 072bitové a 4 096bitové verze, žádné jiné klíče ani velikosti.
  • Klíče HSM vyžadují úroveň Premium trezorů klíčů Azure.
• Pouze pro disky Úrovně Ultra a disky SSD úrovně Premium v2:
  • Snímky vytvořené z disků, které jsou šifrované pomocí šifrování na straně serveru a klíčů spravovaných zákazníkem, musí být šifrované pomocí stejných klíčů spravovaných zákazníkem.
  • Spravované identity přiřazené uživatelem se nepodporují pro disky Úrovně Ultra a disky SSD úrovně Premium v2 šifrované pomocí klíčů spravovaných zákazníkem.
• Většina prostředků souvisejících s klíči spravovanými zákazníkem (sady šifrování disků, virtuální počítače, disky a snímky) musí být ve stejném předplatném a oblasti.
  • Služby Azure Key Vault se můžou používat z jiného předplatného, ale musí být ve stejné oblasti jako vaše sada šifrování disků. Ve verzi Preview můžete používat služby Azure Key Vault z různých tenantů Microsoft Entra.
• Disky šifrované pomocí klíčů spravovaných zákazníkem se můžou přesunout jenom do jiné skupiny prostředků, pokud je virtuální počítač, ke kterému jsou připojeni, uvolněný.
• Disky, snímky a image šifrované pomocí klíčů spravovaných zákazníkem se mezi předplatnými nedají přesouvat.
• Spravované disky aktuálně nebo dříve šifrované pomocí služby Azure Disk Encryption se nedají šifrovat pomocí klíčů spravovaných zákazníkem.
• Může vytvořit až 5 000 sad šifrování disků pro každou oblast na předplatné.
• Informace o používání klíčů spravovaných zákazníkem se sdílenými galeriemi imagí najdete v tématu Preview: Použití klíčů spravovaných zákazníkem pro šifrování imagí.

Podporované oblasti

Klíče spravované zákazníkem jsou k dispozici ve všech oblastech, ve kterých jsou k dispozici spravované disky.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, a to je funkce Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům v rámci krytů. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace naleznete v tématu Převod předplatného mezi adresáři Microsoft Entra.

Pokud chcete povolit klíče spravované zákazníkem pro spravované disky, přečtěte si články, které popisují, jak je povolit pomocí modulu Azure PowerShellu , Azure CLI nebo webu Azure Portal.

Viz Vytvoření spravovaného disku ze snímku pomocí rozhraní příkazového řádku pro ukázku kódu.

Šifrování na hostiteli – Kompletní šifrování dat virtuálních počítačů

Když povolíte šifrování na hostiteli, začne se toto šifrování na samotném hostiteli virtuálního počítače, přidělí se mu server Azure, kterému je váš virtuální počítač přidělen. Data dočasného disku a mezipamětí operačního systému a datového disku jsou uložená na daném hostiteli virtuálního počítače. Po povolení šifrování v hostiteli se všechna tato data šifrují v klidovém stavu a toky se zašifrují do služby Storage, kde se uchovávají. Šifrování v hostiteli v podstatě šifruje vaše data od začátku do konce. Šifrování na hostiteli nepoužívá procesor virtuálního počítače a nemá vliv na výkon virtuálního počítače.

Dočasné disky a dočasné disky s operačním systémem se při povolování kompletního šifrování šifrují pomocí klíčů spravovaných platformou. Neaktivní uložené mezipaměti operačního systému a datového disku se šifrují pomocí klíčů spravovaných zákazníkem nebo spravovaných platformou v závislosti na vybraném typu šifrování disku. Pokud je například disk šifrovaný pomocí klíčů spravovaných zákazníkem, pak se mezipaměť disku zašifruje pomocí klíčů spravovaných zákazníkem a pokud je disk šifrovaný pomocí klíčů spravovaných platformou, mezipaměť disku se zašifruje pomocí klíčů spravovaných platformou.

Omezení

• Podporováno pro disky Ultra s velikostí 4k sektorů a SSD úrovně Premium v2.
• Podporuje se pouze na 512e sektorech velikost disků Ultra a SSD úrovně Premium v2, pokud byly vytvořeny po 13. 5. 2023.
  • U disků vytvořených před tímto datem vytvořte snímek disku a vytvořte nový disk pomocí snímku.
• Na virtuálních počítačích nebo ve škálovacích sadách virtuálních počítačů, které v současné době nebo kdy měly povolenou službu Azure Disk Encryption, není možné povolit.
• Azure Disk Encryption nejde povolit na discích s povoleným šifrováním na hostiteli.
• Šifrování je možné povolit ve stávajících škálovacích sadách virtuálních počítačů. Po povolení šifrování se ale automaticky zašifrují jenom nové virtuální počítače vytvořené po povolení šifrování.
• Aby bylo možné šifrovat stávající virtuální počítače, musí být uvolněné a přerozdělené.

Regionální dostupnost

Šifrování v hostiteli je k dispozici ve všech oblastech pro všechny typy disků.

Podporované velikosti virtuálních počítačů

Úplný seznam podporovaných velikostí virtuálních počítačů je možné načíst prostřednictvím kódu programu. Informace o tom, jak je načíst prostřednictvím kódu programu, najdete v části Vyhledání podporovaných velikostí virtuálních počítačů v modulu Azure PowerShellu nebo v článcích Azure CLI .

Pokud chcete povolit komplexní šifrování pomocí šifrování na hostiteli, přečtěte si naše články, které popisují, jak ho povolit pomocí modulu Azure PowerShellu, Azure CLI nebo webu Azure Portal.

Dvojité šifrování neaktivních uložených dat

Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se teď můžou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. Tuto novou vrstvu je možné použít pro trvalé disky s operačním systémem a datovými disky, snímky a imagemi, z nichž všechny budou zašifrované v klidovém stavu s dvojitým šifrováním.

Omezení

U disků Úrovně Ultra nebo disků SSD úrovně Premium v2 se v současné době nepodporuje dvojité šifrování neaktivních uložených dat.

Podporované oblasti

Dvojité šifrování je dostupné ve všech oblastech, ve kterých jsou k dispozici spravované disky.

Pokud chcete povolit dvojité šifrování neaktivních uložených uložených dat pro spravované disky, přečtěte si články o tom, jak ho povolit pomocí modulu Azure PowerShellu , Azure CLI nebo webu Azure Portal.

Šifrování na straně serveru versus Azure Disk Encryption

Azure Disk Encryption využívá funkci DM-Crypt v Linuxu nebo funkci BitLockeru systému Windows k šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem v rámci hostovaného virtuálního počítače. Šifrování na straně serveru s klíči spravovanými zákazníkem zlepšuje ADE tím, že umožňuje používat pro virtuální počítače všechny typy a image operačního systému šifrováním dat ve službě Storage.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, a to je funkce Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům v rámci krytů. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace naleznete v tématu Převod předplatného mezi adresáři Microsoft Entra.

Další kroky

• Povolte komplexní šifrování pomocí šifrování na hostiteli pomocí modulu Azure PowerShellu, Azure CLI nebo webu Azure Portal.
• Pro spravované disky povolte dvojité šifrování neaktivních uložených dat pomocí modulu Azure PowerShellu , Azure CLI nebo webu Azure Portal.
• Povolte klíče spravované zákazníkem pro spravované disky pomocí modulu Azure PowerShellu , Azure CLI nebo webu Azure Portal.
• Prozkoumejte šablony Azure Resource Manageru pro vytváření šifrovaných disků pomocí klíčů spravovaných zákazníkem.
• Co je Azure Key Vault?