Domande frequenti su Crittografia dischi di Azure per le macchine virtuali Linux

Crittografia dischi di Azure per macchine virtuali Linux usa la funzionalità dm-crypt di Linux per offrire la crittografia completa del disco del sistema operativo* e dei dischi dati. Offre inoltre la crittografia del disco temporaneo quando si usa la funzionalità EncryptFormatAll. Il contenuto passa crittografato dalla macchina virtuale al back-end di archiviazione, offrendo quindi la crittografia end-to-end con una chiave gestita dal cliente.

Vedere Macchine virtuali e sistemi operativi supportati.

Crittografia dischi di Azure per VM Linux è presente con disponibilità generale in tutte le aree pubbliche di Azure.

La versione GA di Crittografia dischi di Azure supporta i modelli di Azure Resource Manager, Azure PowerShell e l'interfaccia della riga di comando di Azure. La presenza di diverse esperienze utente consente una maggiore flessibilità. Per abilitare la crittografia dei dischi delle macchine virtuali sono disponibili tre diverse opzioni. Per altre informazioni sull'esperienza utente e indicazioni dettagliate per Crittografia dischi di Azure, vedere gli Scenari di Crittografia dischi di Azure per macchine virtuali Linux.

Non è previsto alcun addebito per la crittografia dei dischi delle macchine virtuali con Crittografia dischi di Azure, ma sono previsti addebiti associati all'uso di Azure Key Vault. Per altre informazioni sui costi associati ad Azure Key Vault, vedere la pagina Prezzi di Key Vault.

Per iniziare, leggere l'articolo Azure Disk Encryption overview (Panoramica di Crittografia dischi di Azure).

L'articolo di panoramica di Crittografia dischi di Azure elenca le dimensioni e i sistemi operativi delle macchine virtuali che supportano Crittografia dischi di Azure.

È possibile crittografare i volumi di dati e avvio oppure solo i volumi di dati senza dover prima crittografare il volume del sistema operativo.

Dopo che è stato crittografato il volume del sistema operativo, la disabilitazione della crittografia su un volume del sistema operativo non è supportata. Per le VM Linux in un set di scalabilità, è possibile crittografare solo il volume di dati.

No, Crittografia dischi di Azure crittografa solo i volumi montati.

La crittografia di archiviazione lato server crittografa i dischi gestiti di Azure in Archiviazione di Azure. I dischi gestiti vengono crittografati per impostazione predefinita con la crittografia lato server con una chiave gestita dalla piattaforma (dal 10 giugno 2017). È possibile gestire la crittografia dei dischi gestiti con le proprie chiavi specificando una chiave gestita dal cliente. Per altre informazioni, vedere Crittografia lato server dei dischi gestiti di Azure.

Crittografia dischi di Azure fornisce la crittografia end-to-end per il disco del sistema operativo, i dischi dati e il disco temporaneo, usando una chiave gestita dal cliente.

• Se i requisiti includono la crittografia di tutti gli elementi sopra citati e la crittografia end-to-end, usare Crittografia dischi di Azure.
• Se i requisiti includono la crittografia dei soli dati inattivi con una chiave gestita dal cliente, usare la crittografia lato server con chiavi gestite dal cliente. Non è possibile crittografare un disco con Crittografia dischi di Azure e la crittografia lato server di archiviazione con chiavi gestite dal cliente.
• Se la distribuzione di Linux non è elencata nei sistemi operativi supportati per Crittografia dischi di Azure o si usa uno scenario indicato nelle restrizioni, prendere in considerazione la crittografia lato server con chiavi gestite dal cliente.
• Se i criteri dell'organizzazione consentono di crittografare il contenuto inattivo con una chiave gestita da Azure, non è necessaria alcuna azione: il contenuto viene crittografato per impostazione predefinita. Per i dischi gestiti, il contenuto all'interno dell'archiviazione viene crittografato per impostazione predefinita con la crittografia lato server con chiave gestita dalla piattaforma. La chiave è gestita dal servizio Archiviazione di Azure.

Per ruotare i segreti, chiamare semplicemente lo stesso comando usato in origine per abilitare la crittografia del disco, specificando un insieme di credenziali delle chiavi diverso. Per ruotare la chiave di crittografia della chiave, chiamare lo stesso comando usato in origine per abilitare la crittografia del disco, specificando la crittografia della nuova chiave.

Per aggiungere una chiave di crittografia della chiave, chiamare di nuovo il comando di abilitazione passando il parametro della chiave di crittografia della chiave. Per rimuovere una chiave di crittografia della chiave, chiamare di nuovo il comando di abilitazione senza il parametro della chiave di crittografia della chiave.

Sì, è possibile fornire le proprie chiavi di crittografia della chiave. Queste chiavi sono protette in Azure Key Vault, l'archivio delle chiavi per Crittografia dischi di Azure. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.

Sì, è possibile usare Azure Key Vault per generare una chiave di crittografia della chiave per l'uso con Crittografia dischi di Azure. Queste chiavi sono protette in Azure Key Vault, l'archivio delle chiavi per Crittografia dischi di Azure. Per altre informazioni sulla chiave di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.

Non è possibile usare il servizio di gestione delle chiavi/modulo di protezione hardware locale per proteggere le chiavi di crittografia con Crittografia dischi di Azure. Per proteggere le chiavi di crittografia, è possibile usare solo il servizio Azure Key Vault. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.

Per usare Crittografia dischi di Azure, è necessario rispettare alcuni prerequisiti. Per creare un nuovo insieme di credenziali delle chiavi o configurarne uno esistente per l'accesso alla crittografia dei dischi al fine di abilitare la crittografia e per proteggere segreti e chiavi, vedere l'articolo Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.

Per usare Crittografia dischi di Azure, è necessario rispettare alcuni prerequisiti. Vedere il Crittografia dischi di Azure con il contenuto di Microsoft Entra ID per creare un'applicazione Microsoft Entra, creare un nuovo insieme di credenziali delle chiavi o configurare un insieme di credenziali delle chiavi esistente per l'accesso alla crittografia dei dischi per abilitare la crittografia e proteggere segreti e chiavi. Per altre informazioni sugli scenari di supporto della chiave di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con Microsoft Entra ID.

Sì. La crittografia del disco con un'app Microsoft Entra è ancora supportata. Tuttavia, quando si crittografa nuove macchine virtuali, è consigliabile usare il nuovo metodo anziché crittografare con un'app Microsoft Entra.

Attualmente, non esiste un percorso di migrazione diretto per i computer crittografati con un'app Microsoft Entra per la crittografia senza un'app Microsoft Entra. Inoltre, non esiste un percorso diretto dalla crittografia senza un'app Microsoft Entra alla crittografia con un'app AD.

Usare la versione più recente di Azure PowerShell SDK per configurare Crittografia dischi di Azure. Scaricare la versione più recente di Azure PowerShell. Crittografia dischi di Azure non è supportato da Azure SDK versione 1.1.0.

Per scenari di distribuzione come Azure Resource Manager (ARM), in cui è necessario distribuire l'estensione di Crittografia dischi di Azure per macchine virtuali Linux per abilitare la crittografia nella VM IaaS Linux, è necessario usare l'estensione supportata per la produzione "Microsoft.Azure.Security.AzureDiskEncryptionForLinux" di Crittografia dischi di Azure.

Non è possibile applicare Crittografia dischi di Azure a un'immagine Linux personalizzata. Sono consentite solo le immagini Linux per le distribuzioni supportate indicate in precedenza. Le immagini Linux personalizzate non sono attualmente supportate.

Sì, è possibile eseguire un aggiornamento Yum in una VM Red Hat Linux. Per altre informazioni, vedere Crittografia dischi di Azure in un rete isolata.

Di seguito è riportato il flusso di lavoro consigliato per ottenere risultati ottimali in Linux:

• Iniziare dall'immagine della raccolta non modificata corrispondente alla distribuzione e alla versione del sistema operativo desiderate
• Eseguire il backup di tutte le unità montate che verranno crittografate. In questo modo è possibile eseguire il ripristino in caso di errore, ad esempio se la macchina virtuale viene riavviata prima del completamento della crittografia.
• Eseguire la crittografia (può richiedere più ore o addirittura giorni a seconda delle caratteristiche della macchina virtuale e delle dimensioni di qualsiasi disco dati collegato)
• Personalizzare e aggiungere il software all'immagine in base alle esigenze.

Se questo flusso di lavoro non è possibile, l'uso della crittografia del servizio di archiviazione a livello di account di archiviazione della piattaforma può essere un'alternativa alla crittografia completa del disco tramite dm-crypt.

Il "volume BEK" è un volume di dati locali in cui vengono archiviate in modo sicuro le chiavi di crittografia per le macchine virtuali di Azure crittografate.

Crittografia dischi di Azure usa il valore predefinito decrypt di aes-xts-plain64 con una chiave master del volume a 256 bit.

No, i dati non verranno cancellati da unità dati che sono già crittografate usando Crittografia dischi di Azure. Analogamente al modo in cui EncryptFormatAll non crittografa nuovamente l'unità del sistema operativo, non riapplica la crittografia all'unità dati già crittografata. Per altre informazioni, vedere Criteri EncryptFormatAll .

La crittografia dei dischi del sistema operativo XFS è supportata.

La crittografia dei dischi dati XFS è supportata solo quando si usa il parametro EncryptFormatAll. Il volume verrà riformattato, cancellando tutti i dati precedentemente presenti. Per altre informazioni, vedere Criteri EncryptFormatAll .

Il ridimensionamento di un disco del sistema operativo crittografato con Crittografia dischi di Azure non è attualmente supportato.

Backup di Azure offre un meccanismo di backup e ripristino di macchine virtuali crittografate all'interno della stessa sottoscrizione e area. Per istruzioni, vedere Eseguire il backup e ripristino di macchine virtuali crittografate con Backup di Azure. Il ripristino di una macchina virtuale crittografata in un'area diversa non è attualmente supportato.

È possibile porre domande o inviare feedback usando la pagina Domande e risposte Microsoft relativa a Crittografia dischi di Azure.

Passaggi successivi

In questo documento sono state fornite le risposte alle domande più frequenti relative a Crittografia dischi di Azure. Per altre informazioni sul servizio, vedere gli articoli seguenti:

• Informazioni su Crittografia dischi di Azure
• Applicare la crittografia dei dischi nel Centro sicurezza di Azure
• Crittografia dei dati inattivi in Azure