Crittografia dischi di Azure per macchine virtuali Windows
Si applica a: ✔️ macchine virtuali di Windows ✔️ set di scalabilità flessibili
Crittografia dischi di Azure consente di proteggere i dati per soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. Usa la funzionalità BitLocker di Windows per offrire la crittografia del volume per il disco del sistema operativo e i dischi dati delle macchine virtuali (VM) di Azure ed è integrato con Azure Key Vault per facilitare il controllo e la gestione delle chiavi e dei segreti di crittografia dei dischi.
Crittografia dischi di Azure opera con resilienza della zona, allo stesso modo delle macchine virtuali. Per altri dettagli, vedere servizi Azure che supportano la funzionalità Zone di disponibilità.
Se si usa Microsoft Defender per il cloud, si viene avvisati se sono presenti macchine virtuali non crittografate. Gli avvisi vengono visualizzati con un livello di gravità elevato e la raccomandazione di crittografare tali macchine virtuali.
Avviso
- Se in precedenza è stata usata la funzionalità Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, sarà necessario continuare a usare questa opzione per crittografarla. Per altre informazioni, vedere Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).
- Alcune indicazioni possono comportare un maggior utilizzo delle risorse di calcolo, rete o dati con un conseguente aumento dei costi di licenza o sottoscrizione. Per creare le risorse in Azure nella aree geografiche supportate, è necessario avere una sottoscrizione di Azure attiva e valida.
- Non usare BitLocker per decrittografare manualmente una macchina virtuale o un disco crittografato tramite Crittografia dischi di Azure.
È possibile apprendere in pochi minuti le nozioni di base di Crittografia dischi di Azure per Windows con Avvio rapido: Creare e crittografare una macchina virtuale Windows con l'interfaccia della riga di comando di Azure o Avvio rapido: Creare e crittografare una macchina virtuale Windows con Azure PowerShell.
Macchine virtuali e sistemi operativi supportati
Macchine virtuali supportate
Le macchine virtuali Windows sono disponibili in una gamma di dimensioni. Crittografia dischi di Azure è supportato nelle macchine virtuali di Generazione 1 e 2. Crittografia dischi di Azure è disponibile anche per le macchine virtuali con Archiviazione Premium.
Crittografia dischi di Azure non è disponibile nelle macchine virtuali serie A di tipo Basic o in quelle con meno di 2 GB di memoria. Per altre eccezioni, vedere Crittografia dischi di Azure: limitazioni.
Sistemi operativi supportati
- Client Windows: Windows 8 e versioni successive.
- Windows Server: Windows Server 2008 R2 e versioni successive.
- Domande frequenti su Windows 10 Enterprise multisessione e versioni successive.
Nota
Windows Server 2022 e Windows 11 non supportano una chiave RSA a 2048 bit. Per altre informazioni, vedere Domande frequenti: Quali dimensioni è consigliabile usare per la chiave di crittografia della chiave?
Windows Server 2008 R2 richiede l'installazione di .NET Framework 4.5 per la crittografia; installarlo da Windows Update tramite l'aggiornamento facoltativo Microsoft .NET Framework 4.5.2 per i sistemi Windows Server 2008 R2 basati su x64 (KB2901983).
Windows Server 2012 R2 Core e Windows Server 2016 Core richiedonol'installazione del componente bdehdcfg nella macchina virtuale per la crittografia.
Requisiti di rete
Per abilitare Crittografia dischi di Azure, le macchine virtuali devono soddisfare i requisiti di configurazione degli endpoint di rete seguenti:
- Per ottenere un token per la connessione all'insieme di credenziali delle chiavi, è necessario che la macchina virtuale Windows possa connettersi a un endpoint di Microsoft Entra, [login.microsoftonline.com].
- Per scrivere le chiavi di crittografia nell'insieme di credenziali delle chiavi, la macchina virtuale Windows deve essere in grado di connettersi all'endpoint dell'insieme di credenziali delle chiavi.
- La macchina virtuale Windows deve potersi connettere a un endpoint di archiviazione di Azure che ospita il repository delle estensioni di Azure e a un account di archiviazione di Azure che ospita i file del disco rigido virtuale.
- Se i criteri di sicurezza limitano l'accesso delle macchine virtuali di Azure a Internet, è possibile risolvere l'URI precedente e configurare una regola specifica per consentire la connettività in uscita agli IP. Per altre informazioni, vedere Azure Key Vault protetto da firewall.
Requisiti di Criteri di gruppo
Crittografia dischi di Azure usa la protezione con chiave esterna BitLocker per le macchine virtuali Windows. Per le macchine virtuali aggiunte a un dominio, non eseguire il push dei criteri di gruppo che applicano le protezioni TPM. Per informazioni sui Criteri di gruppo per consentire BitLocker senza un TPM compatibile, vedere BitLocker Group Policy Reference (Informazioni di riferimento sui Criteri di gruppo BitLocker).
I criteri di BitLocker nelle macchine virtuali aggiunte a un dominio con criteri di gruppo personalizzati devono includere l'impostazione seguente: Configurazione archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti > Consenti chiave di ripristino a 256 bit. Crittografia dischi di Azure avrà esito negativo quando le impostazioni di Criteri di gruppo personalizzate per BitLocker sono incompatibili. Sulle macchine sprovviste delle corrette impostazioni di criteri, applicare i nuovi criteri e forzare l'aggiornamento dei criteri (gpupdate.exe /force). Potrebbe essere necessario eseguire il riavvio.
Le funzionalità di Criteri di gruppo di Microsoft BitLocker Administration and Monitoring (MBAM) non sono compatibili con Crittografia dischi di Azure.
Avviso
Crittografia dischi di Azure non archivia le chiavi di ripristino. Se l'impostazione di sicurezza accesso interattivo: soglia di blocco dell'account del computer è abilitata, i computer possono essere recuperati solo fornendo una chiave di ripristino tramite la console seriale. Le istruzioni per assicurarsi che i criteri di ripristino appropriati siano abilitati sono disponibili nel piano di ripristino di Bitlocker.
Crittografia dischi di Azure avrà esito negativo se i criteri di gruppo a livello di dominio bloccano l'algoritmo AES-CBC, usato da BitLocker.
Requisiti di archiviazione delle chiavi di crittografia
Crittografia dischi di Azure richiede Azure Key Vault per controllare e gestire segreti e chiavi di crittografia dei dischi. L'insieme di credenziali delle chiavi e le macchine virtuali devono trovarsi nella stessa area e sottoscrizione di Azure.
Per altre informazioni, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
Terminologia
La tabella seguente definisce alcuni dei termini comuni usati nella documentazione di Crittografia dischi di Azure:
| Terminologia | Definizione |
|---|---|
| Azure Key Vault | Key Vault è un servizio di crittografia e gestione delle chiavi basato su moduli di sicurezza hardware convalidati dagli standard FIPS (Federal Information Processing Standards). Questi standard consentono di proteggere le chiavi crittografiche e i segreti sensibili. Per altre informazioni, vedere la documentazione di Azure Key Vault e Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. |
| Interfaccia della riga di comando di Azure | L'interfaccia della riga di comando di Azure è ottimizzata per la gestione e l'amministrazione delle risorse di Azure dalla riga di comando. |
| BitLocker | BitLocker è una tecnologia di crittografia del volume di Windows riconosciuta nel settore, usata per abilitare la crittografia dei dischi nelle macchine virtuali di Windows. |
| Chiave di crittografia della chiave (KEK) | La chiave asimmetrica (RSA 2048) che è possibile usare per proteggere il segreto o eseguirne il wrapping. È possibile fornire una chiave protetta tramite modulo di protezione hardware o una chiave protetta tramite software. Per altre informazioni, vedere la documentazione di Azure Key Vault e Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. |
| Cmdlet di PowerShell | Per altre informazioni, vedere Cmdlet di Azure PowerShell. |
Passaggi successivi
- Avvio rapido: Creare e crittografare una macchina virtuale Windows con l'interfaccia della riga di comando di Azure
- Avvio rapido: Creare e crittografare una macchina virtuale Windows con Azure PowerShell
- Scenari di crittografia dischi di Azure per macchine virtuali Windows
- Script dell'interfaccia della riga di comando dei prerequisiti di Crittografia dischi di Azure
- Script di PowerShell per i prerequisiti di Crittografia dischi di Azure
- Creazione e configurazione di un insieme di credenziali delle chiavi per la crittografia dischi di Azure