Šifrování na straně serveru Azure Disk Storage

  • Článek
  • 9 min ke čtení

platí pro: : heavy_check_mark: virtuální počítače se systémem Linux: heavy_check_mark: Windows virtuálních počítačů: heavy_check_mark: flexibilní sady škálování: heavy_check_mark: jednotné škálování sady

většina Azure managed disks je zašifrovaná pomocí šifrování Azure Storage, které používá šifrování na straně serveru (SSE) k ochraně vašich dat a k tomu, aby vám pomohly splnit závazky zabezpečení a dodržování předpisů v organizaci. Azure Storage šifrování automaticky šifruje vaše data uložená ve službě Azure managed disks (operační systém a datové disky) ve výchozím nastavení při uchování do cloudu. Disky se zapnutým šifrováním na hostiteli se ale nešifrují prostřednictvím Azure Storage. U disků s povoleným šifrováním u hostitele poskytuje server hostující váš virtuální počítač šifrování vašich dat a zašifrované datové toky se Azure Storage.

Data ve službě Azure Managed disks jsou transparentně šifrovaná pomocí 256 šifrování AES, což je jedna z nejúčinnějších šifrovacích šifr, která jsou kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech založených na službě Azure Managed disks najdete v tématu kryptografie API: Next Generation.

Azure Storage šifrování nemá vliv na výkon spravovaných disků a neplatí žádné další náklady. další informace o šifrování Azure Storage najdete v tématu šifrování Azure Storage.

Poznámka

Dočasné disky nejsou spravované disky a nešifrují SSE, pokud na hostiteli nepovolíte šifrování.

O správě šifrovacích klíčů

Pro šifrování spravovaného disku můžete spoléhat na klíče spravované platformou, nebo můžete šifrování spravovat pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem , který se použije k šifrování a dešifrování všech dat ve službě Managed disks.

V následujících částech jsou podrobněji popsány všechny možnosti správy klíčů.

Klíče spravované platformou

Ve výchozím nastavení používají spravované disky šifrovací klíče spravované platformou. Všechny spravované disky, snímky, image a data zapsaná na stávající spravované disky se automaticky zašifrují bez použití klíčů spravovaných platformou.

Klíče spravované zákazníkem

Můžete zvolit správu šifrování na úrovni každého spravovaného disku s vlastními klíči. Šifrování na straně serveru pro spravované disky pomocí klíčů spravovaných zákazníkem nabízí integrované prostředí s Azure Key Vault. Můžete buď importovat klíče RSA do svého Key Vault, nebo vygenerovat nové klíče rsa v Azure Key Vault.

Azure Managed disks zpracovává šifrování a dešifrování plně transparentním způsobem pomocí šifrování obálek. Šifruje data pomocí šifrovacího klíče založeného na standardu AES 256 (klíč DEK), který je zase chráněn pomocí vašich klíčů. služba Storage generuje šifrovací klíče dat a šifruje je pomocí klíčů spravovaných zákazníkem pomocí šifrování RSA. Šifrování obálek vám umožní pravidelně otáčet (měnit) klíče podle zásad dodržování předpisů, aniž by to mělo vliv na vaše virtuální počítače. při otočení klíče služba Storage znovu zašifruje šifrovací klíče dat pomocí nových klíčů spravovaných zákazníkem.

Úplné řízení klíčů

Abyste mohli používat klíče pro šifrování a dešifrování klíč DEK, musíte udělit přístup ke spravovaným diskům ve vašem Key Vault. To vám umožní plnou kontrolu nad daty a klíči. Můžete kdykoli zakázat vaše klíče nebo odvolat přístup ke spravovaným diskům. Pomocí monitorování Azure Key Vault taky můžete auditovat použití šifrovacího klíče a zajistit, aby se ke klíčům přistupovaly jenom spravované disky nebo jiné důvěryhodné služby Azure.

Když klíč zakážete nebo odstraníte, všechny virtuální počítače s disky, které tento klíč používají, se automaticky vypnou. Po tomto případě nebudou virtuální počítače použitelné, pokud se klíč znovu nepovolí nebo přiřadíte nový klíč.

následující diagram ukazuje, jak spravované disky používají Azure Active Directory a Azure Key Vault k vytváření požadavků pomocí klíče spravovaného zákazníkem:

Pracovní postup spravovaného disku a klíčů spravovaných zákazníkem. Správce vytvoří Azure Key Vault a pak vytvoří sadu šifrování disku a nastaví sadu šifrování disku. Sada je přidružená k virtuálnímu počítači, který umožňuje disku využívat Azure AD k ověřování.

Následující seznam popisuje diagram podrobněji:

  1. Správce Azure Key Vault vytvoří prostředky trezoru klíčů.
  2. Správce trezoru klíčů buď naimportuje své klíče RSA, aby Key Vault nebo vygeneroval nové klíče RSA v Key Vault.
  3. Tento správce vytvoří instanci prostředku sady šifrování disků a určí ID Azure Key Vault a adresu URL klíče. Sada šifrování disků je nově zavedený prostředek, který zjednodušuje správu klíčů pro spravované disky.
  4. když se vytvoří sada pro šifrování disků, vytvoří se spravovaná identita přiřazená systémem v Azure Active Directory (AD) a přidružená k sadě šifrování disku.
  5. Správce trezoru klíčů Azure pak udělí oprávnění spravované identity k provádění operací v trezoru klíčů.
  6. Uživatel virtuálního počítače vytvoří disky jejich přidružením k sadě šifrování disku. Uživatel virtuálního počítače může také povolit šifrování na straně serveru pomocí klíčů spravovaných zákazníkem pro existující prostředky jejich přidružením k sadě šifrování disku.
  7. Spravované disky používají spravovanou identitu k posílání požadavků do Azure Key Vault.
  8. Pro čtení nebo zápis dat odesílají spravované disky požadavky na Azure Key Vault k šifrování (zabalení) a dešifrování (rozbalení) šifrovacího klíče dat, aby bylo možné provádět šifrování a dešifrování dat.

Pokud chcete odvolat přístup k klíčům spravovaným zákazníkem, přečtěte si téma Azure Key Vault PowerShellu a Azure Key Vault CLI. Odvolání přístupu efektivně zablokuje přístup ke všem datům v účtu úložiště, protože šifrovací klíč je nepřístupný Azure Storage.

Automatické střídání klíčů spravovaných zákazníky

Můžete zvolit, že se má povolit automatické střídání klíčů na nejnovější verzi klíče. Disk odkazuje na klíč přes sadu Disk Encryption. Když povolíte automatické otočení pro sadu šifrování disků, systém automaticky aktualizuje všechny spravované disky, snímky a image, které odkazují na šifrování disků, aby používala novou verzi klíče do jedné hodiny. Informace o tom, jak povolit klíče spravované zákazníkem pomocí automatického střídání klíčů, najdete v tématu nastavení Azure Key Vault a DiskEncryptionSet pomocí automatického střídání klíčů.

Omezení

Klíče spravované zákazníkem teď mají následující omezení:

  • Pokud je tato funkce pro disk povolená, nemůžete ji zakázat. pokud potřebujete tento problém obejít, musíte zkopírovat všechna data pomocí modulu Azure PowerShell nebo rozhraní příkazového řádku Azure CLIdo zcela jiného spravovaného disku, který nepoužívá klíče spravované zákazníkem.
  • Podporují se jenom softwarové a hardwarové klíče RSA velikosti 2 048, 3 072 a 4 096-bit, žádné jiné klíče ani velikosti.
    • Klíče HSM vyžadují úroveň Premium trezorů klíčů Azure.
  • Disky vytvořené z vlastních imagí šifrovaných pomocí šifrování na straně serveru a klíčů spravovaných zákazníkem musí být šifrované pomocí stejných klíčů spravovaných zákazníkem a musí být ve stejném předplatném.
  • Snímky vytvořené z disků šifrovaných pomocí šifrování na straně serveru a klíčů spravovaných zákazníkem musí být šifrované pomocí stejných klíčů spravovaných zákazníkem.
  • Všechny prostředky, které souvisejí s vašimi klíči spravovanými zákazníky (trezory klíčů Azure, sady šifrování disků, virtuální počítače, disky a snímky), musí být ve stejném předplatném a oblasti.
  • Disky, snímky a image šifrované pomocí klíčů spravovaných zákazníkem se nedají přesunout do jiné skupiny prostředků a předplatného.
  • Spravované disky aktuálně nebo dříve zašifrované pomocí Azure Disk Encryption nelze šifrovat pomocí klíčů spravovaných zákazníkem.
  • Dá se vytvořit jenom 1000 sad pro šifrování disků na jednu oblast a předplatné.
  • Informace o použití klíčů spravovaných zákazníkem s galeriem sdílených imagí najdete v tématu verze Preview: použití klíčů spravovaných zákazníkem pro šifrování imagí.

Podporované oblasti

Klíče spravované zákazníkem jsou k dispozici ve všech oblastech, které jsou k dispozici na spravovaných discích.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity prostředků Azure, což je funkce Azure Active Directory (Azure AD). Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí k vašim prostředkům v rámci pokrývání. Pokud později přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře služby Azure AD do jiného, nebude se spravovaná identita přidružená ke spravovaným diskům přenášet do nového tenanta, takže klíče spravované zákazníkem už možná nebudou fungovat. Další informace najdete v tématu přenos předplatného mezi adresáři služby Azure AD.

postup povolení klíčů spravovaných zákazníkem pro službu managed disks najdete v článcích, které pokrývají, jak ji povolit s modulem Azure PowerShell, rozhraním Azure CLI nebo Azure Portal.

Šifrování v rámci hostitele – komplexní šifrování pro data virtuálních počítačů

Pokud povolíte šifrování na hostiteli, toto šifrování se spustí na samotném hostiteli virtuálního počítače, na server Azure, ke kterému je váš virtuální počítač přiřazený. Data pro dočasné mezipaměti disku a jednotky s operačním systémem a datovým diskem se ukládají na tomto hostiteli virtuálního počítače. po povolení šifrování u hostitele jsou všechna tato data zašifrovaná v klidovém stavu a toky se šifrují do služby Storage, kde jsou trvalé. Šifrování v rámci hostitele v podstatě šifruje vaše data z kompletního na konci. Šifrování na hostiteli nevyužívá procesor vašeho virtuálního počítače a nemá vliv na výkon vašeho virtuálního počítače.

Dočasné disky a dočasné disky s operačním systémem jsou v klidovém stavu zašifrované pomocí klíčů spravovaných platformou, když povolíte komplexní šifrování. Mezipaměti operačního systému a datových disků jsou v klidovém stavu šifrované pomocí klíčů spravovaných zákazníkem nebo platformou, a to v závislosti na vybraném typu šifrování disku. Pokud je například disk zašifrovaný pomocí klíčů spravovaných zákazníkem, pak je mezipaměť pro disk zašifrovaná pomocí klíčů spravovaných zákazníkem a pokud je disk zašifrovaný pomocí klíčů spravovaných platformou, bude mezipaměť pro disk zašifrovaná pomocí klíčů spravovaných platformou.

Omezení

  • Nepodporuje disky v Ultra.
  • Nejde povolit, pokud je na vašich virtuálních počítačích nebo virtuálních počítačích zapnutá možnost Azure Disk Encryption (šifrování hosta virtuálního počítače pomocí BitLockeru/DM-crypt).
  • Azure Disk Encryption nelze povolit na discích s povoleným šifrováním na hostiteli.
  • V existující sadě škálování virtuálního počítače můžete šifrování povolit. Automaticky se ale zašifrují jenom nové virtuální počítače vytvořené po povolení šifrování.
  • Aby bylo možné šifrovat stávající virtuální počítače, je nutné je uvolnit a znovu přidělit.
  • Podporuje dočasné disky s operačním systémem, ale pouze s klíči spravovanými platformou.

Podporované velikosti virtuálních počítačů

Úplný seznam podporovaných velikostí virtuálních počítačů lze načíst prostřednictvím kódu programu. informace o tom, jak je načíst programově, najdete v části hledání podporovaných velikostí virtuálních počítačů v modulu Azure PowerShell nebo v článcích rozhraní příkazového řádku Azure CLI .

pokud chcete povolit kompletní šifrování pomocí šifrování na hostiteli, přečtěte si naše články, které vám pokrývají, jak je povolit, pomocí modulu Azure PowerShell, rozhraní příkazového řádku Azurenebo Azure Portal.

Dvojité šifrování v klidovém umístění

Zákazníci s vysokým zabezpečením, kteří se týkají rizik spojených s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se teď můžou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu v infrastruktuře, který používá šifrovací klíče spravované platformou. Tato nová vrstva se dá použít pro trvalý operační systém a datové disky, snímky a image, které se zašifrují v klidovém stavu s dvojitým šifrováním.

Podporované oblasti

Dvojité šifrování je k dispozici ve všech oblastech, které jsou k dispozici na spravovaných discích.

pokud chcete povolit dvojité šifrování v klidovém umístění pro managed disks, přečtěte si naše články, které vám pokrývají, jak ho povolit s modulem Azure PowerShell, rozhraním Azure CLI nebo Azure Portal.

Šifrování na straně serveru oproti službě Azure Disk Encryption

Azure Disk Encryption využívá funkci DM-Crypt systému Linux nebo funkce BitLocker nástroje Windows k šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem v rámci virtuálního počítače hosta. šifrování na straně serveru pomocí klíčů spravovaných zákazníkem se zlepšuje v ADE tím, že umožňuje používat pro vaše virtuální počítače jakékoli typy operačních systémů a image šifrováním dat ve službě Storage.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity prostředků Azure, což je funkce Azure Active Directory (Azure AD). Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí k vašim prostředkům v rámci pokrývání. Pokud později přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře služby Azure AD do jiného, nepřesune se do nového tenanta spravovaná identita přidružená ke spravovaným diskům, takže klíče spravované zákazníkem už možná nebudou fungovat. Další informace najdete v tématu přenos předplatného mezi adresáři služby Azure AD.

Další kroky