Azure Disk Encryption pro virtuální počítače s Linuxem
Platí pro: : Heavy_check_mark: virtuální počítače se systémem Linux: Heavy_check_mark: flexibilní sady škálování
Azure Disk Encryption přispívá k zabezpečení a ochraně vašich dat, aby byly splněny závazky organizace související se zabezpečením a dodržováním předpisů. Používá funkci dm-crypt systému Linux k poskytování šifrování svazku pro operační systém a datové disky virtuálních počítačů Azure a je integrována s Azure Key Vault , která vám pomůžou řídit a spravovat klíče šifrování disku a tajné kódy.
Azure Disk Encryption je odolný proti zóně stejným způsobem jako Virtual Machines. Podrobnosti najdete v tématu služby Azure, které podporují zóny dostupnosti.
Pokud používáte Microsoft Defender pro Cloud, budete upozorněni v případě, že máte virtuální počítače, které nejsou šifrované. Výstrahy se zobrazují jako Vysoká závažnost a doporučení slouží k šifrování těchto virtuálních počítačů.
Upozornění
- Pokud jste předtím používali Azure Disk Encryption se službou Azure AD k šifrování virtuálního počítače, musíte tuto možnost použít k zašifrování virtuálního počítače. Podrobnosti najdete v tématu Azure Disk Encryption s Azure AD (předchozí verze) .
- Některá doporučení můžou zvýšit využití dat, sítě nebo výpočetních prostředků, což má za následek další licence nebo náklady na předplatné. Abyste mohli vytvářet prostředky v Azure v podporovaných oblastech, musíte mít platné aktivní předplatné Azure.
základní informace o nástroji Azure Disk Encryption pro linux najdete během několika minut pomocí virtuálního počítače se systémem linux pomocí Azure CLI nebo vytvoření a šifrování virtuálního počítače se systémem linux pomocí nástroje Azure PowerShell rychlý start.
Podporované virtuální počítače a operační systémy
Podporované virtuální počítače
Virtuální počítače se systémem Linux jsou k dispozici v různých velikostech. Azure Disk Encryption se podporuje u virtuálních počítačů 1. generace a 2. generace. Azure Disk Encryption je k dispozici také pro virtuální počítače s Premium Storage.
Podívejte se na velikost virtuálních počítačů Azure bez místního dočasného disku.
Azure Disk Encryption není k dispozici ani na virtuálních počítačích Basic, a-Seriesnebo na virtuálních počítačích, které nesplňují tyto minimální požadavky na paměť:
| Virtuální počítač | Minimální požadavek na paměť |
|---|---|
| Virtuální počítače se systémem Linux jenom při šifrování datových svazků | 2 GB |
| Virtuální počítače se systémem Linux při šifrování dat a svazků operačních systémů a v případě použití systému souborů root (/) je 4 GB nebo méně | 8 GB |
| Virtuální počítače se systémem Linux při šifrování dat a svazků operačních systémů a využití systému souborů root (/) je větší než 4 GB | Použití kořenového souborového systému * 2. Například 16 GB použití kořenového systému souborů vyžaduje aspoň 32 GB paměti RAM. |
Po dokončení procesu šifrování disku s operačním systémem u virtuálních počítačů se systémem Linux lze virtuální počítač nakonfigurovat tak, aby běžel s méně paměti.
Další výjimky naleznete v tématu Azure Disk Encryption: nepodporované scénáře.
Podporované operační systémy
Azure Disk Encryption je podporovaná u podmnožiny distribucí systému Linux schváleného službou Azure, což je podmnožina všech možných distribucí serveru se systémem Linux.
Distribuce serverů pro Linux, které nejsou schváleny v Azure, nepodporují Azure Disk Encryption; z těch, které jsou schváleny, podporuje pouze následující distribuce a verze Azure Disk Encryption:
| Publisher | Nabídka | SKU | NÁZVEM | Typ svazku podporovaný pro šifrování |
|---|---|---|---|---|
| Canonical | Ubuntu | 20,04 – LTS | Kanonické: 0001-com-Ubuntu-Server-kontaktní: 20_04-LTS: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu | 20,04-DENNĚ – LTS | Kanonické: 0001-com-Ubuntu-Server-ohnisko-denně: 20_04-Daily-LTS: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu | 20,04 – LTS Gen2 | Kanonické: 0001-com-Ubuntu-Server-ohnisko: 20_04-LTS-Gen2: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu | 20,04-denně – LTS Gen2 | Kanonické: 0001-com-Ubuntu-Server-ohnisko-denně: 20_04-Daily-LTS-Gen2: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu | 18,04 – LTS | Kanonický: UbuntuServer: 18.04-LTS: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu 18.04 | 18,04-DENNĚ – LTS | Kanonický: UbuntuServer: 18.04-DAILY-LTS: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu 16.04 | 16,04-DENNĚ – LTS | Kanonický: UbuntuServer: 16.04-DAILY-LTS: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu 14.04.5s vyladěným jádrem Azure se aktualizovala na 4,15 nebo novější. | 14.04.5-LTS | Kanonický: UbuntuServer: 14.04.5-LTS: nejnovější | Operační systém a datový disk |
| Canonical | Ubuntu 14.04.5s vyladěným jádrem Azure se aktualizovala na 4,15 nebo novější. | 14.04.5 – DENNĚ – LTS | Kanonický: UbuntuServer: 14.04.5-DAILY-LTS: nejnovější | Operační systém a datový disk |
| RedHat | RHEL 8,4 | 8.4 | RedHat: RHEL: 8.4: Poslední | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8,3 | 8.3 | RedHat: RHEL: 8.3: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8 – LVM | 8 – LVM | RedHat: RHEL: 8-LVM: 8.2.20200905 | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8,2 | 8.2 | RedHat: RHEL: 8.2: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.1 | 8.1 | RedHat: RHEL: 8.1: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7 – LVM | 7 – LVM | RedHat: RHEL: 7 – LVM: 7.9.2020111202 | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,9 | 7_9 | RedHat: RHEL: 7_9: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,8 | 7,8 | RedHat: RHEL: 7,8: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,7 | 7.7 | RedHat: RHEL: 7.7: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,6 | 7.6 | RedHat: RHEL: 7.6: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.5 | 7,5 | RedHat: RHEL: 7.5: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,4 | 7,4 | RedHat: RHEL: 7.4: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,3 | 7.3 | RedHat: RHEL: 7.3: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7,2 | 7.2 | RedHat: RHEL: 7.2: nejnovější | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 6,8 | 6.8 | RedHat: RHEL: 6.8: nejnovější | Datový disk (viz poznámka níže) |
| RedHat | RHEL 6,7 | 6.7 | RedHat: RHEL: 6.7: nejnovější | Datový disk (viz poznámka níže) |
| OpenLogic | CentOS 8 – LVM | 8 – LVM | OpenLogic: CentOS-LVM: 8-LVM: nejnovější | Operační systém a datový disk |
| OpenLogic | CentOS 8,4 | 8_4 | OpenLogic: CentOS: 8_4: nejnovější | Operační systém a datový disk |
| OpenLogic | CentOS 8,3 | 8_3 | OpenLogic: CentOS: 8_3: nejnovější | Operační systém a datový disk |
| OpenLogic | CentOS 8,2 | 8_2 | OpenLogic: CentOS: 8_2: nejnovější | Operační systém a datový disk |
| OpenLogic | CentOS 8,1 | 8_1 | OpenLogic: CentOS: 8_1: nejnovější | Operační systém a datový disk |
| OpenLogic | CentOS 7 – LVM | 7 – LVM | OpenLogic: CentOS-LVM: 7-LVM: 7.9.2021020400 | Operační systém a datový disk |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.5 | 7,5 | OpenLogic:CentOS:7.5:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.4 | 7,4 | OpenLogic:CentOS:7.4:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.3 | 7.3 | OpenLogic:CentOS:7.3:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.2n | 7.2n | OpenLogic:CentOS:7.2n:latest | Disk s operačním systémem a datový disk |
| OpenLogic | CentOS 7.1 | 7.1 | OpenLogic:CentOS:7.1:latest | Pouze datový disk |
| OpenLogic | CentOS 7.0 | 7,0 | OpenLogic:CentOS:7.0:latest | Pouze datový disk |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | Pouze datový disk |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Pouze datový disk |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Pouze datový disk |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Pouze datový disk |
Poznámka
Nová implementace Azure Disk Encryption je podporovaná pro operační systém RHEL a datový disk pro image RHEL7 s platbou podle plánu.
ADE se také podporuje pro zlaté obrázky S2S (Bring-Your-Own-Subscription) RHEL, ale až po registraci předplatného. Další informace najdete v tématu o zlatých obrázcích red Hat Enterprise Linuxu s vlastním předplatným v Azure.
Podpora ADE pro konkrétní typ nabídky nepřesahuje nad rámec data konce životnosti poskytnutého vydavatelem.
Starší verze řešení ADE (s AAD přihlašovacími údaji) se nedoporučuje pro nové virtuální počítače a není kompatibilní s verzemi RHEL novějšími než RHEL 7.8.
Další požadavky na virtuální počítače
Azure Disk Encryption systém vyžaduje, aby v systému byly moduly dm-crypt a v windows. Odebráním nebo zakázáním virtuálního počítače z výchozí image zabráníte systému ve čtení svazku klíče a získání klíče potřebného k odemknutí disků při dalších restartováních. Kroky pro zabezpečení systému, které odeberou modul vfat ze systému nebo vynutí rozšíření přípojného bodu nebo složek operačního systému na datových jednotkách, nejsou kompatibilní s Azure Disk Encryption.
Před povolením šifrování musí být datové disky, které se šifrují, správně uvedené na kartě /etc/fstab. Při vytváření položek použijte možnost nofail a zvolte trvalý název blokového zařízení (protože názvy zařízení ve formátu /dev/sdX nemusí být přidružené ke stejnému disku při restartování, zejména po šifrování. Další podrobnosti o tomto chování najdete v tématu Řešení potíží se změnami názvu zařízení virtuálního počítače s Linuxem).
Ujistěte se, že jsou nastavení /etc/fstab správně nakonfigurovaná pro připojení. Pokud chcete tato nastavení nakonfigurovat, spusťte příkaz mount -a nebo restartujte virtuální počítač a aktivujte opětovné připojení tímto způsobem. Po dokončení zkontrolujte výstup příkazu lsblk a ověřte, že je jednotka stále připojená.
- Pokud soubor /etc/fstab před povolením šifrování správně nepřidá jednotku, Azure Disk Encryption ho nebude moct správně připojit.
- Proces Azure Disk Encryption v rámci procesu šifrování přesune informace o připojení z /etc/fstab a do vlastního konfiguračního souboru. Po dokončení šifrování datové jednotky se nemusíte upozorněním na chybějící položku na kartě /etc/fstab zobrazit.
- Před zahájením šifrování nezapomeňte zastavit všechny služby a procesy, které by mohly být zapisovány na připojené datové disky, a zakázat je, aby se po restartování automaticky nerestartoval. V těchto oddílech by mohly být soubory otevřené, což brání postupu šifrování při jejich opětovném připojení, což by způsobilo selhání šifrování.
- Po restartování bude trvat dlouho, než Azure Disk Encryption připojí nově zašifrované disky. Nebudou okamžitě dostupné po restartování počítače. Tento proces potřebuje čas na spuštění, odemknutí a potom připojení šifrovaných jednotek, aby k tomu byly dostupné pro ostatní procesy. Tento proces může trvat déle než minutu po restartování v závislosti na charakteristikách systému.
Tady je příklad příkazů, které slouží k připojení datových disků a vytvoření potřebných položek /etc/fstab:
UUID0="$(blkid -s UUID -o value /dev/sda1)"
UUID1="$(blkid -s UUID -o value /dev/sda2)"
mkdir /data0
mkdir /data1
echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
mount -a
Požadavky na síť
Pokud chcete povolit Azure Disk Encryption, musí virtuální počítače s Linuxem splňovat následující požadavky na konfiguraci koncového bodu sítě:
- Pokud chcete získat token pro připojení k trezoru klíčů, musí být virtuální počítač s Linuxem schopný se připojit ke koncovému bodu Azure Active Directory a [ login.microsoftonline.com ] .
- Pokud chcete šifrovací klíče zapsat do trezoru klíčů, musí být virtuální počítač s Linuxem schopný se připojit ke koncovému bodu trezoru klíčů.
- Virtuální počítač s Linuxem se musí být schopný připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a k účtu úložiště Azure, který hostuje soubory virtuálního pevného disku.
- Pokud vaše zásady zabezpečení omezí přístup z virtuálních počítače Azure k internetu, můžete výše uvedené identifikátory URI vyřešit a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP serverům. Další informace najdete v tématu Azure Key Vault za bránou firewall.
Požadavky na úložiště šifrovacího klíče
Azure Disk Encryption k řízení a Azure Key Vault klíčů a tajných kódů pro šifrování disků, je potřeba mít na Azure Key Vault oprávnění. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.
Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption.
Terminologie
Následující tabulka definuje některé z běžných termínů používaných v dokumentaci ke službě Azure Disk Encryption:
| Terminologie | Definice |
|---|---|
| Azure Key Vault | Key Vault je kryptografická služba pro správu klíčů, která je založená na modulech hardwarového zabezpečení ověřených standardem FIPS (Federal Information Processing Standards). Tyto standardy pomáhají chránit kryptografické klíče a citlivé tajné kódy. Další informace najdete v dokumentaci Azure Key Vault a Vytvoření akonfigurace trezoru klíčů pro Azure Disk Encryption . |
| Azure CLI | Azure CLI je optimalizované pro správu a správu prostředků Azure z příkazového řádku. |
| DM-Crypt | DM-Crypt je linuxový subsystém transparentního šifrování disků, který se používá k povolení šifrování disků na virtuálních počítačů s Linuxem. |
| Šifrovací klíč klíče (KEK) | Asymetrický klíč (RSA 2048), který můžete použít k ochraně nebo zabalení tajného klíče. Můžete zadat klíč chráněný modulem hardwarového zabezpečení (HSM) nebo klíč chráněný softwarem. Další informace najdete v dokumentaci Azure Key Vault a Vytvoření akonfigurace trezoru klíčů pro Azure Disk Encryption . |
| Rutiny prostředí PowerShell | Další informace najdete v tématu Azure PowerShell rutin. |
Další kroky
- Rychlý start – Vytvoření a šifrování virtuálního počítače s Linuxem pomocí Azure CLI
- Rychlý start – Vytvoření a šifrování virtuálního počítače s Linuxem pomocí Azure PowerShell
- Scénáře použití služby Azure Disk Encryption na virtuálních počítačích se systémem Linux
- Azure Disk Encryption skriptu rozhraní příkazového řádku pro požadavky
- Azure Disk Encryption požadavků powershellový skript
- Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption