Versleuteling aan de serverzijde van Azure Disk Storage

Van toepassing op: ✔️ Linux-VM's ✔️ Windows-VM's ✔️ Flexibele schaalsets ✔️ Uniforme schaalsets

De meeste beheerde Azure-schijven worden versleuteld met Azure Storage-versleuteling, die gebruikmaakt van SSE (Server Side Encryption) om uw gegevens te beveiligen en u te helpen voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Azure Storage versleuteling worden uw gegevens die zijn opgeslagen op beheerde Azure-schijven (besturingssysteem- en gegevensschijven) standaard automatisch versleuteld wanneer ze naar de cloud worden opgeslagen. Schijven met versleuteling op de host ingeschakeld, worden echter niet versleuteld via Azure Storage. Voor schijven met versleuteling op de host ingeschakeld, biedt de server die als host voor uw VM de versleuteling voor uw gegevens host en die versleutelde gegevens naar de Azure Storage.

Gegevens in beheerde Azure-schijven worden transparant versleuteld met 256-bits AES-versleuteling, een van de sterkste beschikbare blokcoderingen en voldoen aan FIPS 140-2. Zie Cryptography API: Next Generation (Cryptografie-API: volgende generatie) voor meer informatie over de onderliggende cryptografische modules van beheerde Azure-schijven

Azure Storage versleuteling heeft geen invloed op de prestaties van beheerde schijven en er zijn geen extra kosten. Zie voor meer informatie Azure Storage versleuteling Azure Storage versleuteling.

Over versleutelingssleutelbeheer

U kunt vertrouwen op door het platform beheerde sleutels voor de versleuteling van uw beheerde schijf of u kunt versleuteling beheren met uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, kunt u een door de klant beheerde sleutel opgeven die moet worden gebruikt voor het versleutelen en ontsleutelen van alle gegevens in beheerde schijven.

In de volgende secties worden alle opties voor sleutelbeheer uitgebreider beschreven.

Door het platform beheerde sleutels

Beheerde schijven maken standaard gebruik van door het platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, afbeeldingen en gegevens die naar bestaande beheerde schijven worden geschreven, worden automatisch versleuteld in rust met door het platform beheerde sleutels.

Door klant beheerde sleutels

U kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Versleuteling aan de serverzijde voor beheerde schijven met door de klant beheerde sleutels biedt een geïntegreerde ervaring met Azure Key Vault. U kunt uw RSA-sleutels importeren in uw Key Vault of nieuwe RSA-sleutels genereren in Azure Key Vault.

Azure Managed Disks verwerkt de versleuteling en ontsleuteling op een volledig transparante manier met behulp van envelopversleuteling. Het versleutelt gegevens met behulp van een op AES 256 gebaseerde gegevensversleutelingssleutel (DEK), die op zijn beurt wordt beveiligd met uw sleutels. De Storage-service genereert gegevensversleutelingssleutels en versleutelt deze met door de klant beheerde sleutels met behulp van RSA-versleuteling. Met de envelopversleuteling kunt u uw sleutels periodiek roteren (wijzigen) volgens uw nalevingsbeleid zonder dat dit van invloed is op uw VM's. Wanneer u uw sleutels roteert, versleutelt Storage de gegevensversleutelingssleutels opnieuw met de nieuwe door de klant beheerde sleutels.

Volledig beheer van uw sleutels

U moet toegang verlenen tot beheerde schijven in uw Key Vault om uw sleutels te gebruiken voor het versleutelen en ontsleutelen van de DEK. Hierdoor hebt u volledige controle over uw gegevens en sleutels. U kunt uw sleutels uitschakelen of de toegang tot beheerde schijven op elk moment intrekken. U kunt het gebruik van versleutelingssleutels ook controleren met Azure Key Vault om ervoor te zorgen dat alleen beheerde schijven of andere vertrouwde Azure-services toegang hebben tot uw sleutels.

Wanneer u uw sleutel uit- of verwijdert, worden alle VM's met schijven die die sleutel gebruiken, automatisch afgesloten. Hierna kunnen de VM's niet meer worden gebruikt, tenzij de sleutel opnieuw is ingeschakeld of u een nieuwe sleutel toewijst.

In het volgende diagram ziet u hoe beheerde schijven Azure Active Directory en Azure Key Vault aanvragen maken met behulp van de door de klant beheerde sleutel:

In de volgende lijst wordt het diagram gedetailleerder uitgelegd:

1. Een Azure Key Vault beheerder maakt key vault-resources.
2. De beheerder van de sleutelkluis importeert de RSA-sleutels naar Key Vault of genereert nieuwe RSA-sleutels in Key Vault.
3. Deze beheerder maakt een exemplaar van de schijfversleutelingssetresource en geeft een Azure Key Vault-id en een sleutel-URL op. Disk Encryption Set is een nieuwe resource die is geïntroduceerd voor het vereenvoudigen van het sleutelbeheer voor beheerde schijven.
4. Wanneer een schijfversleutelingsset wordt gemaakt, wordt een door het systeem toegewezen beheerde identiteit gemaakt in Azure Active Directory (AD) en gekoppeld aan de schijfversleutelingsset.
5. De Azure Key Vault-beheerder verleent vervolgens de beheerde identiteit toestemming om bewerkingen uit te voeren in de sleutelkluis.
6. Een VM-gebruiker maakt schijven door deze te koppelen aan de schijfversleutelingsset. De VM-gebruiker kan ook versleuteling aan de serverzijde inschakelen met door de klant beheerde sleutels voor bestaande resources door deze te koppelen aan de schijfversleutelingsset.
7. Beheerde schijven gebruiken de beheerde identiteit om aanvragen naar de Azure Key Vault.
8. Voor het lezen of schrijven van gegevens verzendt beheerde schijven aanvragen naar Azure Key Vault voor het versleutelen (verpakken) en ontsleutelen (uitpakken) van de gegevensversleutelingssleutel om versleuteling en ontsleuteling van de gegevens uit te voeren.

Als u de toegang tot door de klant beheerde sleutels wilt intrekken, Azure Key Vault PowerShell en Azure Key Vault CLI. Het inroepen van toegang blokkeert de toegang tot alle gegevens in het opslagaccount, omdat de versleutelingssleutel niet toegankelijk is Azure Storage.

Automatische sleutelrotatie van door de klant beheerde sleutels

U kunt ervoor kiezen om automatische sleutelrotatie in teschakelen naar de nieuwste sleutelversie. Een schijf verwijst naar een sleutel via de schijfversleutelingsset. Wanneer u automatische rotatie inschakelen voor een schijfversleutelingsset, wordt het systeem automatisch alle beheerde schijven, momentopnamen en afbeeldingen die verwijzen naar de schijfversleutelingsset bijgewerkt zodat de nieuwe versie van de sleutel binnen één uur wordt gebruikt. Zie Een Azure Key Vault en DiskEncryptionSetinstellen met automatische sleutelrotatie voor meer informatie over het inschakelen van door de klant beheerde sleutels met automatische sleutelrotatie.

Beperkingen

Op dit moment gelden voor door de klant beheerde sleutels de volgende beperkingen:

• Als deze functie is ingeschakeld voor uw schijf, kunt u deze niet uitschakelen. Als u dit wilt omdraaien, moet u alle gegevens met behulp van de Azure PowerShell-module of de Azure CLIkopiëren naar een volledig andere beheerde schijf die geen door de klant beheerde sleutels gebruikt.

• Alleen software-en HSM RSA-sleutels met een grootte van 2.048 bits, 3.072-bits en 4.096 bits worden ondersteund, geen andere sleutels of grootten.
  • Voor HSM -sleutels is de Premium -laag van Azure-sleutel kluizen vereist.
• Schijven die zijn gemaakt op basis van aangepaste installatie kopieën die zijn versleuteld met versleuteling aan de server zijde en door de klant beheerde sleutels moeten worden versleuteld met dezelfde door de klant beheerde sleutels en moeten zich in hetzelfde abonnement bevinden.
• Moment opnamen die zijn gemaakt op basis van schijven die zijn versleuteld met versleuteling aan de server zijde en door de klant beheerde sleutels moeten worden versleuteld met dezelfde door de klant beheerde sleutels.
• Alle resources met betrekking tot uw door de klant beheerde sleutels (Azure Key kluizen, schijf versleutelings sets, Vm's, schijven en moment opnamen) moeten zich in hetzelfde abonnement en dezelfde regio bevinden.
• Schijven, moment opnamen en installatie kopieën die zijn versleuteld met door de klant beheerde sleutels, kunnen niet worden verplaatst naar een andere resource groep en een ander abonnement.
• Beheerde schijven die momenteel of eerder zijn versleuteld met Azure Disk Encryption kunnen niet worden versleuteld met door de klant beheerde sleutels.
• Kan Maxi maal 1000 schijf versleutelings sets per regio per abonnement maken.
• Zie Preview: door de klant beheerde sleutels gebruiken voor het versleutelen van afbeeldingenvoor meer informatie over het gebruik van door de klant beheerde sleutels met galerieën met gedeelde afbeeldingen.

Ondersteunde regio’s

Door de klant beheerde sleutels zijn beschikbaar in alle regio's waar beheerde schijven beschikbaar zijn.

Als u door de klant beheerde sleutels voor beheerde schijven wilt inschakelen, bekijkt u onze artikelen over het inschakelen ervan met de Azure PowerShell-module, de Azure CLI of de Azure Portal.

Versleuteling op host: end-to-end versleuteling voor uw VM-gegevens

Wanneer u versleuteling op de host inschakelen, wordt die versleuteling gestart op de VM-host zelf, de Azure-server aan wie uw VM is toegewezen. De gegevens voor uw tijdelijke schijf en os/gegevensschijfcache worden opgeslagen op die VM-host. Nadat versleuteling op de host is inschakelen, worden al deze gegevens at-rest versleuteld en worden ze versleuteld naar de Storage-service, waar deze worden opgeslagen. Versleuteling op de host versleutelt uw gegevens van end-to-end. Versleuteling op de host maakt geen gebruik van de CPU van uw VM en heeft geen invloed op de prestaties van uw VM.

Tijdelijke schijven en tijdelijke besturingssysteemschijven worden in rust versleuteld met door het platform beheerde sleutels wanneer u end-to-end-versleuteling inschakelen. De caches van het besturingssysteem en de gegevensschijf worden in rust versleuteld met door de klant beheerde of door het platform beheerde sleutels, afhankelijk van het geselecteerde type schijfversleuteling. Als een schijf bijvoorbeeld is versleuteld met door de klant beheerde sleutels, wordt de cache voor de schijf versleuteld met door de klant beheerde sleutels en als een schijf is versleuteld met door het platform beheerde sleutels, wordt de cache voor de schijf versleuteld met door het platform beheerde sleutels.

Beperkingen

• Biedt geen ondersteuning voor ultraschijven.
• Kan niet worden ingeschakeld als Azure Disk Encryption (gast-VM-versleuteling met bitlocker/DM-Crypt) is ingeschakeld op uw VM's/virtuele-machineschaalsets.
• Azure Disk Encryption kunnen niet worden ingeschakeld op schijven met versleuteling op de host ingeschakeld.
• De versleuteling kan worden ingeschakeld voor bestaande virtuele-machineschaalsets. Alleen nieuwe VM's die zijn gemaakt nadat de versleuteling is inschakelen, worden echter automatisch versleuteld.
• Bestaande VM's moeten opnieuw worden toegewezen en opnieuw worden toegewezen om te kunnen worden versleuteld.
• Ondersteunt kortstondige besturingssysteemschijven, maar alleen met door het platform beheerde sleutels.

Ondersteunde VM-grootten

De volledige lijst met ondersteunde VM-grootten kan programmatisch worden opgetrokken. Als u wilt weten hoe u deze programmatisch kunt ophalen, raadpleegt u de sectie Ondersteunde VM-grootten zoeken in de artikelen Azure PowerShell-module of Azure CLI.

Als u end-to-end versleuteling wilt inschakelen met behulp van versleuteling op de host, bekijkt u onze artikelen over het inschakelen ervan met de Azure PowerShell-module, de Azure CLIof de Azure Portal.

Dubbele versleuteling in rust

Klanten met hoge beveiligingsgevoelige gegevens die zich zorgen maken over het risico dat een bepaald versleutelingsalgoritme, een bepaalde implementatie of sleutel waarmee wordt geklaagd, kunnen nu kiezen voor een extra versleutelingslaag met behulp van een ander versleutelingsalgoritme/-modus op de infrastructuurlaag met behulp van door het platform beheerde versleutelingssleutels. Deze nieuwe laag kan worden toegepast op persistente besturingssysteem- en gegevensschijven, momentopnamen en afbeeldingen, die allemaal in rust worden versleuteld met dubbele versleuteling.

Ondersteunde regio’s

Dubbele versleuteling is beschikbaar in alle regio's waar beheerde schijven beschikbaar zijn.

Zie onze artikelen over het inschakelen van dubbele versleuteling at-rest voor beheerde schijven met behulp van de Azure PowerShell-module, de Azure CLI of de Azure Portal.

Versleuteling aan serverzijde versus Azure-schijfversleuteling

Azure Disk Encryption maakt gebruik van de DM-Crypt-functie van Linux of de BitLocker-functie van Windows om beheerde schijven te versleutelen met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert ADE doordat u besturingssysteemtypen en -afbeeldingen voor uw VM's kunt gebruiken door gegevens in de Storage versleutelen.

Volgende stappen

• Schakel end-to-end-versleuteling in met behulp van versleuteling op de host met de module Azure PowerShell, de Azure CLIof de Azure Portal.
• Schakel dubbele versleuteling-at-rest in voor beheerde schijven met de module Azure PowerShell, de Azure CLI of de Azure Portal.
• Schakel door de klant beheerde sleutels voor beheerde schijven in met de Azure PowerShell-module, de Azure CLI of de Azure Portal.
• De sjablonen Azure Resource Manager voor het maken van versleutelde schijven met door de klant beheerde sleutels verkennen
• Wat is Azure Key Vault?