Azure Disk Encryption pro virtuální počítače s Windows
Platí pro: ✔️ Windows virtuální počítače:heavy_check_mark: Flexibilní škálovací sady
Azure Disk Encryption přispívá k zabezpečení a ochraně vašich dat, aby byly splněny závazky organizace související se zabezpečením a dodržováním předpisů. Používá funkci BitLocker systému Windows k šifrování svazků pro disky s operačním systémem a datové disky virtuálních počítačů Azure a je integrovaná se službou Azure Key Vault, která vám pomůže řídit a spravovat klíče a tajné kódy pro šifrování disků.
Azure Disk Encryption je odolný vůči zónám stejným způsobem jako Virtual Machines. Podrobnosti najdete v tématu Služby Azure, které podporují Zóny dostupnosti.
Pokud používáte Microsoft Defender for Cloud,zobrazí se upozornění, pokud máte virtuální počítače, které nejsou šifrované. Výstrahy se zobrazují jako vysoká závažnost a doporučujeme tyto virtuální počítače zašifrovat.
Upozornění
- Pokud jste k šifrování virtuálního Azure Disk Encryption používali službu Azure AD, musíte tuto možnost dál používat k šifrování virtuálního počítače. Podrobnosti najdete Azure Disk Encryption s Azure AD (předchozí verze).
- Některá doporučení můžou zvýšit využití dat, sítě nebo výpočetních prostředků, což vede k dalším nákladům na licence nebo předplatné. K vytváření prostředků v Azure v podporovaných oblastech musíte mít platné aktivní předplatné Azure.
Základní informace o službě Azure Disk Encryption for Windows se dozvíte během několika minut pomocí rychlého startu Vytvoření a šifrování virtuálního počítače Windows pomocí Azure CLI nebo Vytvoření a šifrování virtuálního počítače Windows pomocí Azure PowerShell rychlého startu.
Podporované virtuální počítače a operační systémy
Podporované virtuální počítače
Windows Virtuální počítače jsou dostupné v různých velikostech. Azure Disk Encryption virtuální počítače generace 1 a generace 2 se podporují. Azure Disk Encryption je také k dispozici pro virtuální počítače s úložištěm úrovně Premium.
Azure Disk Encryption virtuálních počítačích řady Anebo na virtuálních počítačích s méně než 2 GB paměti není k dispozici. Další výjimky najdete v tématu Azure Disk Encryption: Nepodporované scénáře.
Podporované operační systémy
- Windows klienta: Windows 8 a novější.
- Windows Server: Windows Server 2008 R2 a novější.
- Windows 10 Enterprise více relací.
Poznámka
Windows Server 2008 R2 vyžaduje instalaci .NET Framework 4.5 pro šifrování. nainstalujte ji z Windows Update s volitelnou aktualizací Microsoft .NET Framework 4.5.2 pro systémy založené na Windows Serveru 2008 R2 x64 (KB2901983).
Windows Server 2012 R2 Core a Windows Server 2016 Core vyžadují, aby na virtuálním počítači byla nainstalovaná komponenta bdehdcfg pro šifrování.
Požadavky na síť
Pokud chcete Azure Disk Encryption virtuální počítače, musí splňovat následující požadavky na konfiguraci koncového bodu sítě:
- Pokud chcete získat token pro připojení k trezoru klíčů, Windows virtuální počítač musí být schopný se připojit ke koncovému bodu Azure Active Directory a login.microsoftonline.com [ ] .
- Pokud chcete šifrovací klíče zapsat do trezoru klíčů, Windows virtuální počítač musí být schopný se připojit ke koncovému bodu trezoru klíčů.
- Virtuální Windows virtuální počítač musí být schopný se připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a k účtu úložiště Azure, který hostuje soubory virtuálního pevného disku.
- Pokud vaše zásady zabezpečení omezí přístup z virtuálních počítače Azure k internetu, můžete výše uvedené identifikátory URI vyřešit a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP serverům. Další informace najdete v tématu Azure Key Vault za bránou firewall.
Zásady skupiny požadavky
Azure Disk Encryption virtuální počítače používá ochranu externího klíče nástroje BitLocker Windows počítače. Pro virtuální počítače připojené k doméně neuměťte žádné zásady skupiny, které vynucuje ochranu čipem TPM. Informace o zásadách skupiny pro "Povolit Nástroj BitLocker bez kompatibilního čipu TPM" najdete v tématu BitLocker Zásady skupiny referenční informace.
Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadou skupiny musí zahrnovat následující nastavení: Konfigurace uživatelského úložiště informací pro obnovení BitLockeru – > Povolit 256bitový obnovovací klíč. Azure Disk Encryption se nezdaří, pokud jsou vlastní nastavení zásad skupiny pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte nové zásady a vynutíte aktualizaci nové zásady (gpupdate.exe /force). Může být nutné restartovat počítač.
Funkce zásad skupiny Správa a monitorování nástroje Microsoft Bitlocker (MBAM) nejsou kompatibilní s Azure Disk Encryption.
Upozornění
Azure Disk Encryption neukládá obnovovací klíče. Pokud je povolené nastavení zabezpečení Interaktivní přihlášení: Prahová hodnota pro uzamčení účtu počítače, počítače je možné obnovit pouze poskytnutím obnovovacího klíče prostřednictvím sériové konzoly. Pokyny k zajištění povolení příslušných zásad obnovení najdete v průvodci obnovením Bitlockeru.
Azure Disk Encryption selhání, pokud zásady skupiny na úrovni domény zablokuje algoritmus AES-CBC, který používá BitLocker.
Požadavky na úložiště šifrovacího klíče
Azure Disk Encryption k řízení a Azure Key Vault klíčů a tajných kódů pro šifrování disků, je potřeba mít Azure Key Vault. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.
Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption.
Terminologie
Následující tabulka definuje některé z běžných termínů používaných v dokumentaci ke službě Azure Disk Encryption:
| Terminologie | Definice |
|---|---|
| Azure Key Vault | Key Vault je kryptografická služba pro správu klíčů, která je založená na modulech hardwarového zabezpečení ověřených standardem FIPS (Federal Information Processing Standards). Tyto standardy pomáhají chránit kryptografické klíče a citlivé tajné kódy. Další informace najdete v dokumentaci Azure Key Vault a Vytvoření akonfigurace trezoru klíčů pro Azure Disk Encryption . |
| Azure CLI | Azure CLI je optimalizované pro správu a správu prostředků Azure z příkazového řádku. |
| BitLocker | BitLocker je technologie šifrování svazků Windows, která se používá k povolení šifrování disků na virtuálních Windows počítače. |
| Šifrovací klíč klíče (KEK) | Asymetrický klíč (RSA 2048), který můžete použít k ochraně nebo zabalení tajného klíče. Můžete zadat klíč chráněný modulem hardwarového zabezpečení (HSM) nebo klíč chráněný softwarem. Další informace najdete v dokumentaci Azure Key Vault a Vytvoření akonfigurace trezoru klíčů pro Azure Disk Encryption . |
| Rutiny prostředí PowerShell | Další informace najdete v tématu Azure PowerShell rutin. |
Další kroky
- Rychlý start – Vytvoření a šifrování virtuálního Windows virtuálního počítače pomocí Azure CLI
- Rychlý start – Vytvoření a šifrování Windows virtuálního počítače pomocí Azure PowerShell
- Scénáře služby Azure Disk Encryption na virtuálních počítačích s Windows
- Azure Disk Encryption skriptu rozhraní příkazového řádku pro požadavky
- Azure Disk Encryption požadavků powershellový skript
- Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption