Häufig gestellte Fragen zu Azure Disk Encryption für Linux-VMs

Azure Disk Encryption für Linux-VMs bietet mithilfe des DM-Crypt-Features von Linux eine vollständige Datenträgerverschlüsselung des Betriebssystemdatenträgers* und der Datenträger für Daten. Darüber hinaus wird bei Verwendung des EncryptFormatAll-Features Verschlüsselung des temporären Datenträgers bereitstellt. Der Inhalt wird verschlüsselt von der VM zum Speicher-Back-End übertragen. Auf diese Weise wird eine End-to-End-Verschlüsselung mit einem vom Kunden verwalteten Schlüssel erreicht.

Weitere Informationen finden Sie unter Unterstützte VMs und Betriebssysteme.

Azure Disk Encryption für Linux-VMs ist generell in allen öffentlichen Regionen von Azure verfügbar.

Azure Disk Encryption mit allgemeiner Verfügbarkeit unterstützt Azure Resource Manager-Vorlagen, Azure PowerShell und die Azure CLI. Dank der unterschiedlichen Benutzeroberflächen können Sie flexibel vorgehen. Ihnen stehen drei Optionen zum Aktivieren der Datenträgerverschlüsselung für Ihre VMs zur Verfügung. Weitere Informationen zum Benutzererlebnis und eine Schritt-für-Schritt-Anleitung in Azure Disk Encryption finden Sie unter Azure Disk Encryption – Bereitstellungsszenarien und -umgebungen für Linux.

Es fallen keine Gebühren für die Verschlüsselung von VM-Datenträgern mit Azure Disk Encryption an, es werden jedoch Gebühren für die Verwendung von Azure Key Vault berechnet. Weitere Informationen zu den Azure Key Vault-Kosten finden Sie auf der Seite Key Vault – Preise.

Informationen zu den ersten Schritten finden Sie unter Azure Disk Encryption Overview (Azure Disk Encryption – Übersicht).

Im Artikel Azure Disk Encryption – Voraussetzungen werden die VM-Größen und VM-Betriebssysteme aufgelistet, die Azure Disk Encryption unterstützen.

Ja, Sie können sowohl Start- als auch Datenvolumes verschlüsseln; oder, Sie können das Datenvolume verschlüsseln, ohne vorher das Betriebssystemvolume verschlüsseln zu müssen.

Nach der Verschlüsselung des Betriebssystemvolumes wird die Deaktivierung des Betriebssystemvolumes nicht mehr unterstützt. Bei virtuellen Linux-Computern in einem Skalierungsgruppe kann nur das Datenvolumen verschlüsselt werden.

Nein, Azure Disk Encryption verschlüsselt nur bereitgestellte Volumes.

Bei der serverseitigen Speicherverschlüsselung werden verwaltete Azure-Datenträger in Azure Storage verschlüsselt. Verwaltete Datenträger werden standardmäßig mit serverseitiger Verschlüsselung mit einem von der Plattform verwalteten Schlüssel verschlüsselt (Stand: 10. Juni 2017). Sie können die Verschlüsselung verwalteter Datenträger mit Ihren eigenen Schlüsseln verwalten, indem Sie einen kundenseitig verwalteten Schlüssel angeben. Weitere Informationen finden Sie unter: Serverseitige Verschlüsselung von verwalteten Azure-Datenträgern.

Azure Disk Encryption bietet End-to-End-Verschlüsselung für den Betriebssystemdatenträger, Datenträger für Daten und den temporären Datenträger mit einem vom Kunden verwalteten Schlüssel.

• Wenn Ihre Anforderungen das Verschlüsseln der genannten Datenträger sowie End-to-End-Verschlüsselung einschließen, verwenden Sie Azure Disk Encryption.
• Wenn Ihre Anforderungen das Verschlüsseln von ruhenden Daten mit einem vom Kunden verwalteten Schlüssel einschließen, verwenden Sie die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln. Sie können einen Datenträger nicht sowohl mit Azure Disk Encryption als auch mit der serverseitigen Speicherverschlüsselung mit vom Kunden verwalteten Schlüsseln verschlüsseln.
• Wenn Ihre Linux-Distribution nicht unter den unterstützten Betriebssystemen für Azure Disk Encryption aufgeführt ist oder Ihr Szenario in den Einschränkungen aufgeführt ist, sollten Sie die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln in Betracht ziehen.
• Wenn es nach den Richtlinien Ihrer Organisation zulässig ist, ruhende Inhalte mit einem von Azure verwalteten Schlüssel zu verschlüsseln, ist keine Aktion erforderlich: Der Inhalt wird standardmäßig verschlüsselt. Bei verwalteten Datenträgern wird der Inhalt im Speicher standardmäßig mit serverseitiger Verschlüsselung mit einem von der Plattform verwalteten Schlüssel verschlüsselt. Der Schlüssel wird vom Azure Storage-Dienst verwaltet.

Zum Rotieren geheimer Schlüssel rufen Sie einfach den gleichen Befehl auf, den Sie ursprünglich zur Aktivierung der Datenträgerverschlüsselung verwendet haben, und geben Sie einen anderen Key Vault an. Zum Rotieren des Schlüssels für die Verschlüsselung anderer Schlüssel (Key Encryption Key, KEK) rufen Sie den gleichen Befehl auf, den Sie ursprünglich zum Aktivieren der Datenträgerverschlüsselung verwendet haben, und geben die neue Schlüsselverschlüsselung an.

Um einen KEK hinzuzufügen, rufen Sie den Aktivierungsbefehl erneut auf, und übergeben den KEK-Parameter. Um einen KEK zu entfernen, rufen Sie den Aktivierungsbefehl erneut ohne den KEK-Parameter auf.

Ja. Sie können Ihre eigenen Schlüssel für die Verschlüsselung anderer Schlüssel (Key Encryption Keys, KEKs) angeben. Diese Schlüssel werden in Azure Key Vault, dem Schlüsselspeicher für Azure Disk Encryption, aufbewahrt. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Ja. Sie können Azure Key Vault verwenden, um einen KEK für Azure Disk Encryption zu erstellen. Diese Schlüssel werden in Azure Key Vault, dem Schlüsselspeicher für Azure Disk Encryption, aufbewahrt. Weitere Informationen über den Verschlüsselungsschlüssel finden Sie unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Sie können den lokalen Schlüsselverwaltungsdienst oder HSM nicht verwenden, um die Verschlüsselungsschlüssel mit Azure Disk Encryption zu schützen. Sie können hierzu nur den Azure Key Vault-Dienst verwenden. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Für Azure Disk Encryption müssen einige Voraussetzungen erfüllt werden. Lesen Sie den Artikel Azure Disk Encryption – Voraussetzungen, um einen neuen Schlüsseltresor zu erstellen oder einen vorhandenen Schlüsseltresor für den verschlüsselten Datenträgerzugriff einzurichten, um die Verschlüsselung zu aktivieren und Geheimnisse und Schlüssel zu schützen. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Für Azure Disk Encryption müssen einige Voraussetzungen erfüllt werden. Lesen Sie den Artikel Azure Disk Encryption mit Microsoft Entra ID, um eine Microsoft Entra-Anwendung zu erstellen, einen neuen Schlüsseltresor zu erstellen oder einen vorhandenen Schlüsseltresor für den verschlüsselten Datenträgerzugriff einzurichten. So können Sie die Verschlüsselung aktivieren sowie Geheimnisse und Schlüssel schützen. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption mit Microsoft Entra ID.

Ja. Die Datenträgerverschlüsselung mithilfe einer Microsoft Entra-App wird weiterhin unterstützt. Für die Verschlüsselung neuer VMs empfiehlt sich jedoch die Verwendung der neuen Methode, anstatt eine Microsoft Entra-App für die Verschlüsselung zu verwenden.

Derzeit gibt es für Computer, die mit einer Microsoft Entra-App verschlüsselt wurden, keinen direkten Migrationspfad zur Verschlüsselung ohne Microsoft Entra-App. Es gibt außerdem keinen direkten Pfad von der Verschlüsselung ohne Microsoft Entra-App zur Verschlüsselung mit einer AD-App.

Verwenden Sie die neueste Version des Azure PowerShell SDK, um Azure Disk Encryption zu konfigurieren. Laden Sie die neueste Version von Azure PowerShell herunter. Azure Disk Encryption wird nicht vom Azure SDK Version 1.1.0 unterstützt.

Für Bereitstellungsszenarios wie Azure Resource Manager (ARM), in denen Sie die Azure Disk Encryption-Erweiterung für virtuelle Linux-Computer zum Aktivieren der Verschlüsselung auf Ihrem virtuellen Linux-IaaS-Computer bereitstellen müssen, müssen Sie die von Azure Disk Encryption unterstützte Erweiterung „Microsoft.Azure.Security.AzureDiskEncryptionForLinux“ verwenden.

Sie können Azure Disk Encryption nicht auf Ihr benutzerdefiniertes Linux-Image anwenden. Nur die Linux-Images im Katalog für die zuvor genannten unterstützten Distributionen werden unterstützt. Benutzerdefinierte Linux-Images werden derzeit nicht unterstützt.

Ja. Sie können auf eine Linux Red Hat-VM ein „yum“-Update anwenden. Weitere Informationen finden Sie unter Azure Disk Encryption in einem isolierten Netzwerk.

Der folgende Workflow wird empfohlen, um unter Linux die besten Ergebnisse zu erzielen:

• Beginnen Sie mit dem unveränderten Katalogimage für die gewünschte Distribution und Version des Betriebssystems.
• Sichern Sie alle eingebundenen Laufwerke, die verschlüsselt werden. Diese Sicherung ermöglicht die Wiederherstellung bei einem Ausfall – etwa, wenn der virtuelle Computer vor Abschluss der Verschlüsselung neu gestartet wird.
• Führen Sie die Verschlüsselung durch (dies kann je nach VM-Merkmalen und der Größe etwaiger angefügten Datenträger mehrere Stunden oder sogar Tage dauern).
• Passen Sie das Image an, und fügen Sie bei Bedarf Software hinzu.

Ist dieser Workflow nicht möglich, stellt die Storage Service Encryption (SSE, Speicherdienstverschlüsselung) auf der Ebene des Plattformspeicherkontos möglicherweise eine Alternative zur vollständigen Datenträgerverschlüsselung mit „dm-crypt“ dar.

„Bek volume“ für Windows ist ein lokales Datenvolume, auf dem die Verschlüsselungsschlüssel für verschlüsselte Azure-VMs sicher gespeichert werden.

Azure Disk Encryption nutzt die standardmäßige Entschlüsselung aes-xts-plain64 mit einem 256-Bit-Volumehauptschlüssel.

Nein, Daten werden nicht von Datenträgern für Daten gelöscht, die bereits mit Azure Disk Encryption verschlüsselt wurden. Ebenso wie EncryptFormatAll das Betriebssystemlaufwerk nicht erneut verschlüsselte, werden auch bereits verschlüsselte Laufwerke für Daten nicht erneut verschlüsselt. Weitere Informationen finden Sie unter den Kriterien für EncryptFormatAll.

Die Verschlüsselung von XFS-Betriebssystemdatenträgern wird unterstützt.

Die Verschlüsselung von XFS-Datenträgern für Daten wird nur bei Verwendung des Parameters EncryptFormatAll unterstützt. Das Volume wird hierbei neu formatiert, und alle zuvor vorhandenen Daten werden gelöscht. Weitere Informationen finden Sie unter den Kriterien für EncryptFormatAll.

Die Größenänderung eines per ADE verschlüsselten Betriebssystemdatenträgers wird derzeit nicht unterstützt.

Azure Backup bietet einen Mechanismus zum Sichern und Wiederherstellen verschlüsselter virtueller Computer innerhalb desselben Abonnements und derselben Region. Anleitungen finden Sie unter Sichern und Wiederherstellen verschlüsselter virtueller Computer mit Azure Backup. Das Wiederherstellen eines verschlüsselten virtuellen Computers in einer anderen Region wird derzeit nicht unterstützt.

Sie können auf der Frageseite von Microsoft Q&A (Fragen und Antworten) für Azure Disk Encryption Fragen stellen und Feedback geben.

Nächste Schritte

In diesem Artikel haben Sie Antworten auf die am häufigsten gestellten Fragen im Zusammenhang mit Azure Disk Encryption erhalten. Weitere Informationen zu diesem Dienst finden Sie in den folgenden Artikeln:

• Übersicht über Azure Disk Encryption
• Anwenden der Datenträgerverschlüsselung in Azure Security Center
• Datenverschlüsselung ruhender Azure-Daten