Az Azure Disk Storage

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows virtuális gépek ✔️ Rugalmas méretezési készletek ✔️ Egységes méretezési készletek

Az Azure által felügyelt lemezek legtöbbje Azure Storage-titkosítással van titkosítva, amely kiszolgálóoldali titkosítással (SSE) védi az adatokat, és segít a vállalati biztonsági és megfelelőségi követelmények teljesítésében. Az Azure Storage titkosítása alapértelmezés szerint automatikusan titkosítja az azure-beli felügyelt lemezeken (operációs rendszeren és adatlemezen) tárolt adatokat, amikor a felhőben tárolja. A gazdagépen engedélyezett titkosítással rendelkező lemezek azonban nincsenek titkosítva az Azure Storage. A gazdagépen engedélyezett titkosítással rendelkező lemezek esetén a virtuális gépet üzemeltető kiszolgáló biztosítja az adatok titkosítását, és a titkosított adatok az Azure Storage.

Az Azure felügyelt lemezei 256 bites AES-titkosítássaltranszparens módon titkosítják az adatokat, az egyik legerősebb elérhető blokktitkosítással, és FIPS 140-2-kompatibilisek. További információ az Azure managed Disks alapjául szolgáló titkosítási modulokról: Titkosítási API: Következő generáció

Az Azure Storage titkosítása nincs hatással a felügyelt lemezek teljesítményére, és nincs további költség. További információ az Azure Storage titkosításról: Azure Storage encryption.

Megjegyzés

Az ideiglenes lemezek nem felügyelt lemezek, és az SSE nem titkosítja őket, hacsak nem engedélyezi a titkosítást a gazdagépen.

A titkosítási kulcskezelés

A felügyelt lemez titkosítása platform által felügyelt kulcsokkal is kezelhető, de saját kulcsokkal is kezelhető. Ha úgy dönt, hogy a titkosítást a saját kulcsokkal kezeli, megadhat egy felhasználó által kezelt kulcsot, amely a felügyelt lemezeken található összes adat titkosításához és visszafejtéséhez használható.

A következő szakaszok részletesebben ismertetik a kulcskezelés egyes lehetőségeit.

Platform által felügyelt kulcsok

Alapértelmezés szerint a felügyelt lemezek platform által felügyelt titkosítási kulcsokat használnak. A rendszer a meglévő felügyelt lemezekre írt összes felügyelt lemezt, pillanatképet, rendszerképet és adatot automatikusan titkosítja a platform által felügyelt kulcsokkal.

Felhasználó által kezelt kulcsok

Dönthet úgy, hogy az egyes felügyelt lemezek szintjén kezeli a titkosítást saját kulcsokkal. A felügyelt lemezek ügyfél által felügyelt kulcsokkal való kiszolgálóoldali titkosítása integrált felhasználói élményt biztosít a Azure Key Vault. Importálhatja az RSA-kulcsokat a Key Vault vagy új RSA-kulcsokat hozhat létre a Azure Key Vault.

Az Azure felügyelt lemezei boríték-titkosítással kezelik a titkosítást és a visszafejtést teljes mértékben transzparens módon. Egy AES 256-alapú adattitkosítási kulccsal (DEK) titkosítja az adatokat, amelyet a kulcsok védenek. Az Storage szolgáltatás adattitkosítási kulcsokat hoz létre, és azokat ügyfél által kezelt kulcsokkal titkosítja RSA-titkosítással. A boríték-titkosítás lehetővé teszi a kulcsok rendszeres időközönkénti váltását (a megfelelőségi szabályzatok szerint), anélkül, hogy ez hatással lenne a virtuális gépekre. A kulcsok váltogatása során a Storage szolgáltatás újratitkosítsa az adattitkosítási kulcsokat az új, ügyfél által kezelt kulcsokkal.

A kulcsok teljes körű vezérlése

Az adattitkos kulcs titkosításához és visszafejtéséhez hozzáférést kell Key Vault felügyelt lemezekhez. Ez lehetővé teszi az adatok és a kulcsok teljes körű vezérlését. Bármikor letilthatja a kulcsokat, vagy visszavonhatja a felügyelt lemezekhez való hozzáférést. A titkosítási kulcs használatát monitorozással is naplót Azure Key Vault, hogy csak a felügyelt lemezek vagy más megbízható Azure-szolgáltatások férnek hozzá a kulcsokhoz.

A kulcs letiltásakor vagy törlésekor a kulcsot használó lemezeket használó virtuális gépek automatikusan leállnak. Ezt követően a virtuális gépek csak akkor lesznek használhatók, ha újra engedélyezi a kulcsot, vagy új kulcsot rendel hozzá.

Az alábbi ábra bemutatja, hogy a felügyelt lemezek hogyan Azure Active Directory és Azure Key Vault ügyfél által felügyelt kulccsal kapcsolatos kérések igénylésére:

Felügyelt lemez és felhasználó által felügyelt kulcsok munkafolyamata. A rendszergazda létrehoz egy Azure Key Vault, majd létrehoz egy lemeztitkosítási készletet, és beállítja a lemeztitkosítási készletet. A készlet egy virtuális géphez van társítva, amely lehetővé teszi, hogy a lemez az Azure AD-t használja a hitelesítéshez

Az alábbi lista részletesebben ismerteti a diagramot:

  1. A Azure Key Vault egy rendszergazda hozza létre a Key Vault-erőforrásokat.
  2. A Key Vault rendszergazdája importálja RSA-kulcsait Key Vault vagy új RSA-kulcsokat hoz létre a Key Vault.
  3. Ez a rendszergazda létrehoz egy Lemeztitkosítási készlet erőforráspéldányt, és megad egy Azure Key Vault azonosítót és egy kulcs URL-címét. A Lemeztitkosítási készlet egy új erőforrás, amely a felügyelt lemezek kulcskezelésének leegyszerűsítésén vezet be.
  4. Lemeztitkosítási készlet létrehozásakor létrejön egy rendszer által hozzárendelt felügyelt identitás a Azure Active Directory (AD) szolgáltatásban, és társítva lesz a lemeztitkosítási készlettel.
  5. Az Azure Key Vault rendszergazdája ezután engedélyt ad a felügyelt identitásnak, hogy műveleteket hajtson végre a kulcstartóban.
  6. A virtuálisgép-felhasználók úgy hoznak létre lemezeket, hogy a lemeztitkosítási készlethez társítják őket. A virtuális gép felhasználója ügyfél által felügyelt kulcsokkal is engedélyezheti a kiszolgálóoldali titkosítást a meglévő erőforrásokhoz, ha a lemeztitkosítási készlethez társítja őket.
  7. A felügyelt lemezek a felügyelt identitással küldenek kéréseket a Azure Key Vault.
  8. Adatok olvasása vagy írása esetén a felügyelt lemezek kéréseket küld az Azure Key Vault-nak az adattitkosítási kulcs titkosításához és visszafejtéséhez (kiírásához) az adatok titkosítása és visszafejtése érdekében.

Az ügyfél által kezelt kulcsokhoz való hozzáférés visszavonásához lásd a PowerShell Azure Key Vault cli Azure Key Vault való használatával kapcsolatos Azure Key Vault. A hozzáférés visszatartódása gyakorlatilag letiltja a tárfiókban található összes adathoz való hozzáférést, mivel a titkosítási kulcs nem érhető el az Azure Storage.

Az ügyfél által kezelt kulcsok automatikus kulcsrotációja

Engedélyezheti az automatikus kulcsrotációt a legújabb kulcsverzióra. A lemezek a lemeztitkosítási készleten keresztül hivatkoznak a kulcsra. Ha engedélyezi a lemeztitkosítási készlet automatikus rotációját, a rendszer egy órán belül automatikusan frissíti a lemeztitkosítási készletre hivatkozó összes felügyelt lemezt, pillanatképet és rendszerképet. Ha szeretné megtudni, hogyan engedélyezheti az ügyfél által kezelt kulcsokat automatikus kulcsrotálás használatával, olvassa el a Azure Key Vault és a DiskEncryptionSetautomatikus kulcsrotálást lehetővé telő beállítását.

Korlátozások

Az ügyfél által kezelt kulcsokra jelenleg a következő korlátozások vonatkoznak:

  • Ha ez a funkció engedélyezve van a lemezen, nem tilthatja le. Ha ezt meg kell dolgoznia, az összes adatot a Azure PowerShell modul vagy az Azure CLIhasználatával egy teljesen másik felügyelt lemezre kell másolnia, amely nem használ ügyfél által kezelt kulcsokat.
  • Csak a 2 048 bites, a 3 072 bites és a 4 096 bites szoftverek és HSM RSA-kulcsok támogatottak, más kulcsok és méretek nem.
    • A HSM -kulcsokhoz prémium szintű Azure Key Vault szükséges.
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított egyéni rendszerképekből létrehozott lemezeket ugyanazzal az ügyfél által felügyelt kulcsokkal kell titkosítani, és ugyanahhoz az előfizetéshez kell tartoznia.
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított lemezekről létrehozott pillanatképeket ugyanazzal az ügyfél által felügyelt kulcsokkal kell titkosítani.
  • Az ügyfél által felügyelt kulcsokhoz (Azure Key Vaultok, lemez titkosítási készletek, virtuális gépek, lemezek és Pillanatképek) kapcsolódó összes erőforrásnak ugyanabban az előfizetésben és régióban kell lennie.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek, Pillanatképek és lemezképek nem helyezhetők át másik erőforráscsoporthoz és előfizetésbe.
  • Az Azure Disk Encryption használatával jelenleg vagy korábban titkosított felügyelt lemezek nem titkosíthatók az ügyfél által felügyelt kulcsokkal.
  • A legfeljebb 1000 lemezes titkosítási csoportot tud létrehozni régiónként/előfizetéssel.
  • Az ügyfél által felügyelt kulcsok megosztott képtárakkal történő használatáról további információt az előzetes verzió: az ügyfél által felügyelt kulcsok használata a lemezképek titkosításáhozcímű témakörben talál.

Támogatott régiók

Az ügyfél által kezelt kulcsok minden olyan régióban elérhetők, ahol a felügyelt lemezek elérhetők.

Fontos

Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásait, az Azure AD Azure Active Directory funkcióját. Az ügyfél által felügyelt kulcsok konfigurálásakor a felügyelt identitások automatikusan hozzá vannak rendelve az erőforrásokhoz. Ha később áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Azure AD-címtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem kerül át az új bérlőre, így előfordulhat, hogy az ügyfél által felügyelt kulcsok nem működnek tovább. További információ: Előfizetés átadása Azure AD-könyvtárak között.

Ha engedélyezni szeretné az ügyfél által felügyelt kulcsokat a felügyelt lemezeken, tekintse meg a következő cikkeket: hogyan engedélyezhető a Azure PowerShell modullal,az Azure CLI-val vagy a Azure Portal.

Titkosítás a gazdagépen – Virtuálisgép-adatok végpontok között titkosítása

Amikor engedélyezi a titkosítást a gazdagépen, az a titkosítás magában a virtuálisgép-gazdagépen indul el, az Azure-kiszolgálón, amely számára a virtuális gép le van osztva. Az ideiglenes lemez és az operációsrendszer-/adatlemez gyorsítótárának adatai ezen a virtuálisgép-gazdagépen vannak tárolva. Miután engedélyezte a titkosítást a gazdagépen, az összes tárolt adat titkosítva lesz, és a Storage szolgáltatásba, ahol megőrzve van. A gazdagép titkosítása lényegében végpontok között titkosítja az adatokat. A gazdagépen való titkosítás nem használja a virtuális gép processzorát, és nincs hatással a virtuális gép teljesítményére.

Az ideiglenes lemezeket és a ideiglenes operációsrendszer-lemezeket a rendszer platform által felügyelt kulcsokkal titkosítja, amikor engedélyezi a teljes adattitkosítást. Az operációs rendszer és az adatlemez gyorsítótárai az ügyfél által felügyelt vagy a platform által felügyelt kulcsokkal vannak titkosítva, a kiválasztott lemeztitkosítási típustól függően. Ha például egy lemez ügyfél által kezelt kulcsokkal van titkosítva, akkor a lemez gyorsítótára ügyfél által kezelt kulcsokkal van titkosítva, és ha a lemez platform által kezelt kulcsokkal van titkosítva, akkor a lemez gyorsítótára platform által kezelt kulcsokkal lesz titkosítva.

Korlátozások

  • Nem támogatja az ultralemezeket.
  • Nem engedélyezhető, Azure Disk Encryption virtuális gépek titkosítása (bitlocker/DM-Crypt használatával) engedélyezve van a virtuális gépeken/virtuálisgép-méretezési csoportban.
  • Azure Disk Encryption engedélyezhető olyan lemezeken, amelyeken engedélyezve van a titkosítás a gazdagépen.
  • A titkosítás a meglévő virtuálisgép-méretezési csoporton engedélyezhető. A rendszer azonban csak a titkosítás engedélyezése után létrehozott új virtuális gépeket titkosítja automatikusan.
  • A meglévő virtuális gépeket fel kell szabadítani és újra fel kell szabadítani a titkosításhoz.
  • Támogatja aphemerális operációsrendszer-lemezeket, de csak platform által felügyelt kulcsokkal.

Támogatott virtuálisgép-méretek

A támogatott virtuálisgép-méretek teljes listája programozott módon lekért lista. Ha meg szeretne ismerkedni a lekérésük programozott módon történő használatával, tekintse meg a támogatott virtuálisgép-méretek megkeresésről Azure PowerShell Azure CLI-cikkeket.

Ha a gazdagépen titkosítással szeretné engedélyezni a végpontok között titkosítást, tekintse meg a Azure PowerShellmodul, az Azure CLIvagy a Azure Portal.

Dupla titkosítás az adatáttitkosításhoz

Azok a magas szintű biztonságra érzékeny ügyfelek, akik az adott titkosítási algoritmussal, implementációval vagy kulccsal járó kockázat miatt aggódnak, mostantól dönthetnek úgy, hogy egy másik titkosítási algoritmust/módot használó további titkosítási réteget alkalmaznak az infrastruktúrarétegben a platform által felügyelt titkosítási kulcsokkal. Ez az új réteg alkalmazható a megőrzött operációs rendszerekre és adatlemezekre, pillanatképekre és képekre, amelyek mind kettős titkosítással lesznek titkosítva.

Támogatott régiók

A dupla titkosítás minden olyan régióban elérhető, ahol a felügyelt lemezek elérhetők.

Ha engedélyezni szeretné a dupla titkosítást az azure-beli felügyelt lemezeken, tekintse meg a következő cikkeket: az Azure PowerShellmodul, az Azure CLI vagy a Azure Portal.

Kiszolgálóoldali titkosítás és Azure Disk Encryption

Azure Disk Encryption Linux DM-Crypt funkcióját vagy a Windows BitLocker szolgáltatását használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal való titkosítására a vendég virtuális gépen. Az ügyfél által kezelt kulcsokkal való kiszolgálóoldali titkosítás azáltal javítja az ADE-t, hogy lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez az Storage titkosításával.

Fontos

Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásait, az Azure AD Azure Active Directory funkcióját. Az ügyfél által felügyelt kulcsok konfigurálásakor a felügyelt identitások automatikusan hozzá vannak rendelve az erőforrásokhoz. Ha később áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Azure AD-címtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem kerül át az új bérlőre, így előfordulhat, hogy az ügyfél által felügyelt kulcsok nem működnek tovább. További információ: Előfizetés átadása Azure AD-könyvtárak között.

Következő lépések