Azure Disk Encryption voor Linux-VM's
Van toepassing op: ✔️ Virtuele Linux-heavy_check_mark: Flexibele schaalsets
Azure Disk Encryption helpt om uw gegevens te beschermen en te beveiligen, zodat u aan de beveiligings- en nalevingsafspraken van uw organisatie voldoet. Het maakt gebruik van de DM-Crypt-functie van Linux om volumeversleuteling te bieden voor het besturingssysteem en gegevensschijven van virtuele Azure-machines (VM's), en is geïntegreerd met Azure Key Vault om u te helpen de sleutels en geheimen voor schijfversleuteling te beheren.
Azure Disk Encryption is zone-robuust, op dezelfde manier als Virtual Machines. Zie Azure-services die ondersteuning bieden voor Beschikbaarheidszones.
Als u Microsoft Defender for Cloud gebruikt,wordt u gewaarschuwd als u VM's hebt die niet zijn versleuteld. De waarschuwingen worden als Zeer ernstig weergeven en het wordt aanbevolen deze VM's te versleutelen.
Waarschuwing
- Als u eerder een Azure Disk Encryption Azure AD hebt gebruikt om een VM te versleutelen, moet u deze optie blijven gebruiken om uw VM te versleutelen. Zie Azure Disk Encryption met Azure AD (vorige versie) voor meer informatie.
- Bepaalde aanbevelingen kunnen het gegevens-, netwerk- of rekenresourcegebruik verhogen, wat leidt tot extra licentie- of abonnementskosten. U moet een geldig actief Azure-abonnement hebben om resources te kunnen maken in Azure in de ondersteunde regio's.
U vindt de basisprincipes van Azure Disk Encryption voor Linux in slechts enkele minuten met de quickstart Een virtuele Linux-VM maken en versleutelen met Azure CLI of de quickstart Een virtuele Linux-Azure PowerShell maken en versleutelen.
Ondersteunde VM's en besturingssystemen
Ondersteunde VM's
Linux-VM's zijn beschikbaar in verschillende grootten. Azure Disk Encryption wordt ondersteund op VM's van de eerste en tweede generatie. Azure Disk Encryption is ook beschikbaar voor VM's met Premium Storage.
Zie Azure VM-grootten zonder lokale tijdelijke schijf.
Azure Disk Encryption is ook niet beschikbaar op Basic, VM's uit de A-serieof op virtuele machines die niet voldoen aan deze minimale geheugenvereisten:
| Virtuele machine | Minimale geheugenvereiste |
|---|---|
| Linux-VM's wanneer alleen gegevensvolumes worden versleuteld | 2 GB |
| Linux-VM's bij het versleutelen van gegevens- en besturingssysteemvolumes en waarbij het basisbestandssysteemgebruik 4 GB of minder is | 8 GB |
| Linux-VM's bij het versleutelen van gegevens- en besturingssysteemvolumes, en waarbij het hoofdbestandssysteemgebruik groter is dan 4 GB | Het basisbestandssysteemgebruik * 2. Voor een basisbestandssysteemgebruik van 16 GB is bijvoorbeeld ten minste 32 GB RAM-geheugen vereist |
Zodra het versleutelingsproces van de besturingssysteemschijf is voltooid op virtuele Linux-machines, kan de virtuele machine zodanig worden geconfigureerd dat deze met minder geheugen wordt uitgevoerd.
Zie voor meer uitzonderingen Azure Disk Encryption: niet-ondersteunde scenario's.
Ondersteunde besturingssystemen
Azure Disk Encryption wordt ondersteund op een subset van de door Azure goedgekeurde Linux-distributies,die zelf een subset is van alle mogelijke linux-serverdistributies.
Linux-serverdistributies die niet zijn goedgekeurd door Azure bieden geen ondersteuning voor Azure Disk Encryption; van de distributies die zijn goedgekeurd, ondersteunen alleen de volgende distributies en versies Azure Disk Encryption:
| Uitgever | Aanbieding | SKU | URN | Volumetype dat wordt ondersteund voor versleuteling |
|---|---|---|---|---|
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focus:20_04-lts:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focus-daily:20_04-daily-lts:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focus:20_04-lts-gen2:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focus-daily:20_04-daily-lts-gen2:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu 16.04 | 16.04-DAILY-LTS | Canonical:UbuntuServer:16.04-DAILY-LTS:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu 14.04.5met op Azure afgestemde kernel bijgewerkt naar 4.15 of hoger | 14.04.5-LTS | Canonical:UbuntuServer:14.04.5-LTS:latest | Besturingssysteem en gegevensschijf |
| Canonical | Ubuntu 14.04.5met op Azure afgestemde kernel bijgewerkt naar 4.15 of hoger | 14.04.5-DAILY-LTS | Canonical:UbuntuServer:14.04.5-DAILY-LTS:latest | Besturingssysteem en gegevensschijf |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:8.2.20200905 | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.8 | 7,8 | RedHat:RHEL:7.8:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.5 | 7,5 | RedHat:RHEL:7.5:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.4 | 7.4 | RedHat:RHEL:7.4:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.3 | 7.3 | RedHat:RHEL:7.3:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 7.2 | 7.2 | RedHat:RHEL:7.2:latest | Besturingssysteem en gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Gegevensschijf (zie opmerking hieronder) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Gegevensschijf (zie opmerking hieronder) |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 8.1 | 8_1 | OpenLogic:CentOS:8_1:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.5 | 7,5 | OpenLogic:CentOS:7.5:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.4 | 7.4 | OpenLogic:CentOS:7.4:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.3 | 7.3 | OpenLogic:CentOS:7.3:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.2n | 7.2n | OpenLogic:CentOS:7.2n:latest | Besturingssysteem en gegevensschijf |
| OpenLogic | CentOS 7.1 | 7.1 | OpenLogic:CentOS:7.1:latest | Alleen de gegevensschijf |
| OpenLogic | CentOS 7.0 | 7.0 | OpenLogic:CentOS:7.0:latest | Alleen de gegevensschijf |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | Alleen de gegevensschijf |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Alleen de gegevensschijf |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Alleen de gegevensschijf |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Alleen de gegevensschijf |
Notitie
De nieuwe Azure Disk Encryption wordt ondersteund voor RHEL OS en gegevensschijf voor RHEL7 Betalen per gebruik-afbeeldingen.
ADE wordt ook ondersteund voor RHEL Bring-Your-Own-Subscription Gold Images, maar pas nadat het abonnement is geregistreerd. Zie Bring-Your-Own-Subscription Gold Images Red Hat Enterprise Linux Azure voor meer informatie
ADE-ondersteuning voor een bepaald aanbiedingstype gaat niet verder dan de datum van het einde van de levensduur die is opgegeven door de uitgever.
De verouderde ADE-oplossing (AAD referenties) wordt niet aanbevolen voor nieuwe VM's en is niet compatibel met RHEL-versies hoger dan RHEL 7.8.
Aanvullende VM-vereisten
Azure Disk Encryption vereist dat de dm-crypt- en vfat-modules aanwezig zijn op het systeem. Als u vfat uit de standaardinstallatie afbeelding verwijdert of uitsluit, kan het systeem het sleutelvolume niet lezen en de sleutel verkrijgen die nodig is voor het ontgrendelen van de schijven bij volgende keer opnieuw opstarten. Systeemverhardingsstappen die de vfat-module uit het systeem verwijderen of het uitbreiden van de os-mountpoints/mappen op gegevensstations afdwingen, zijn niet compatibel met Azure Disk Encryption.
Voordat u versleuteling inschakelen, moeten de gegevensschijven die moeten worden versleuteld correct worden vermeld in /etc/fstab. Gebruik de optie 'nofail' bij het maken van vermeldingen en kies een permanente blokapparaatnaam (als apparaatnamen in de indeling '/dev/sdX' zijn mogelijk niet gekoppeld aan dezelfde schijf tijdens het opnieuw opstarten, met name na versleuteling. Zie voor meer informatie over dit gedrag: Problemen met wijzigingen in de naam van een Linux-VM-apparaat oplossen).
Zorg ervoor dat de /etc/fstab-instellingen juist zijn geconfigureerd voor het maken van een mounting. Als u deze instellingen wilt configureren, moet u de opdracht 'mount -a' uitvoeren of de VM opnieuw opstarten en de herkoppeling op die manier activeren. Als dat is voltooid, controleert u de uitvoer van de lsblk opdracht om te controleren of het station is nog steeds is bevestigd.
- Als het /etc/fstab-bestand het station niet correct aan het station wordt toegevoegd voordat versleuteling wordt Azure Disk Encryption kan het niet goed worden bevestigd.
- Het Azure Disk Encryption verplaatst de gegevens van de mount uit /etc/fstab en naar een eigen configuratiebestand als onderdeel van het versleutelingsproces. Wees niet ge alarmeerd als de vermelding ontbreekt in /etc/fstab nadat de versleuteling van het gegevensstation is voltooid.
- Voordat u versleuteling start, moet u ervoor zorgen dat u alle services en processen stopt die naar de aan de gegevensschijven kunnen worden geschreven en deze uitschakelen, zodat ze na het opnieuw opstarten niet automatisch opnieuw worden opgestart. Deze kunnen bestanden geopend houden op deze partities, waardoor de versleutelingsprocedure deze niet opnieuw kan ontkoppelen, waardoor de versleuteling mislukt.
- Na het opnieuw opstarten duurt het even Azure Disk Encryption de zojuist versleutelde schijven worden bevestigd. Ze zijn niet onmiddellijk beschikbaar na het opnieuw opstarten. Het proces heeft tijd nodig om de versleutelde stations te starten, te ontgrendelen en vervolgens te monteren voordat ze beschikbaar zijn voor andere processen om toegang te krijgen. Dit proces kan meer dan een minuut duren na het opnieuw opstarten, afhankelijk van de systeemkenmerken.
Hier is een voorbeeld van de opdrachten die worden gebruikt om de gegevensschijven te monteren en de benodigde /etc/fstab-vermeldingen te maken:
UUID0="$(blkid -s UUID -o value /dev/sda1)"
UUID1="$(blkid -s UUID -o value /dev/sda2)"
mkdir /data0
mkdir /data1
echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
mount -a
Netwerkvereisten
Als u de Azure Disk Encryption wilt inschakelen, moeten de virtuele Linux-VM's voldoen aan de volgende configuratievereisten voor netwerk eindpunten:
- Om een token te krijgen om verbinding te maken met uw sleutelkluis, moet de Linux-VM verbinding kunnen maken met een Azure Active Directory-eindpunt, [ login.microsoftonline.com ] .
- Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de Linux-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
- De Linux-VM moet verbinding kunnen maken met een Azure Storage-eindpunt dat als host dient voor de Opslagplaats voor Azure-extensies en een Azure-opslagaccount dat als host voor de VHD-bestanden dient.
- Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande verbindingen met de IP's toe te staan. Zie voor meer informatie Azure Key Vault achter een firewall.
Opslagvereisten voor versleutelingssleutels
Azure Disk Encryption is een Azure Key Vault voor het beheren en beheren van schijfversleutelingssleutels en -geheimen. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.
Zie Een sleutelkluis maken en configurerenvoor Azure Disk Encryption voor meer Azure Disk Encryption.
Terminologie
De volgende tabel definieert enkele van de algemene termen die worden gebruikt in de documentatie voor Azure Disk Encryption:
| Terminologie | Definitie |
|---|---|
| Azure Key Vault | Key Vault is een cryptografische, sleutelbeheerservice die is gebaseerd op fips-gevalideerde hardwarebeveiligingsmodules (Federal Information Processing Standards). Deze standaarden helpen bij het beveiligen van uw cryptografische sleutels en gevoelige geheimen. Zie de documentatie over Azure Key Vault en Een sleutelkluis maken en configureren voor Azure Disk Encryption. |
| Azure CLI | De Azure CLI is geoptimaliseerd voor het beheren en beheren van Azure-resources vanaf de opdrachtregel. |
| DM-Crypt | DM-Crypt is het transparante subsysteem voor schijfversleuteling op basis van Linux dat wordt gebruikt om schijfversleuteling in te stellen op Linux-VM's. |
| Sleutelversleutelingssleutel (KEK) | De asymmetrische sleutel (RSA 2048) die u kunt gebruiken om het geheim te beveiligen of in te pakken. U kunt een met HSM (Hardware Security Module) beveiligde sleutel of met software beschermde sleutel leveren. Zie de documentatie over Azure Key Vault en Een sleutelkluis maken en configureren voor Azure Disk Encryption. |
| PowerShell-cmdlets | Zie voor meer informatie Azure PowerShell cmdlets. |
Volgende stappen
- Quickstart: Een linux-VM maken en versleutelen met Azure CLI
- Quickstart: Een linux-VM maken en versleutelen met Azure PowerShell
- Azure Disk Encryption-scenario's voor virtuele Linux-machines
- Azure Disk Encryption CLI-script met vereisten
- Azure Disk Encryption PowerShell-script met vereisten
- Een sleutelkluis voor Azure Disk Encryption maken en configureren