Azure Disk Encryption voor virtuele Windows-machines
Van toepassing op: ✔️ Windows VM's ✔️ Flexibele schaalsets
Azure Disk Encryption helpt om uw gegevens te beschermen en te beveiligen, zodat u aan de beveiligings- en nalevingsafspraken van uw organisatie voldoet. Het maakt gebruik van de BitLocker-functie van Windows om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven van virtuele Azure-machines (VM's), en is geïntegreerd met Azure Key Vault om u te helpen de sleutels en geheimen voor schijfversleuteling te beheren.
Azure Disk Encryption is zone-robuust, op dezelfde manier als Virtual Machines. Zie Azure-services die ondersteuning bieden voor Beschikbaarheidszones.
Als u Microsoft Defender for Cloud gebruikt,wordt u gewaarschuwd als u VM's hebt die niet zijn versleuteld. De waarschuwingen worden als Zeer ernstig weergeven en het wordt aanbevolen deze VM's te versleutelen.
Waarschuwing
- Als u eerder een Azure Disk Encryption Azure AD hebt gebruikt om een VM te versleutelen, moet u deze optie blijven gebruiken om uw VM te versleutelen. Zie Azure Disk Encryption met Azure AD (vorige versie) voor meer informatie.
- Bepaalde aanbevelingen kunnen het gegevens-, netwerk- of rekenresourcegebruik verhogen, wat leidt tot extra licentie- of abonnementskosten. U moet een geldig actief Azure-abonnement hebben om resources te kunnen maken in Azure in de ondersteunde regio's.
U kunt de basisprincipes van Azure Disk Encryption voor Windows in slechts enkele minuten leren met de quickstart Een Windows-VM maken en versleutelen met Azure CLI of de quickstart Een Windows-VMmaken en versleutelen met Azure PowerShell .
Ondersteunde VM's en besturingssystemen
Ondersteunde VM's
Windows VM's zijn beschikbaar in een bereik van grootten. Azure Disk Encryption wordt ondersteund op VM's van de eerste en tweede generatie. Azure Disk Encryption is ook beschikbaar voor VM's met Premium Storage.
Azure Disk Encryption is niet beschikbaar op Basic, VM'suit de A-serie of op virtuele machines met minder dan 2 GB geheugen. Zie voor meer uitzonderingen Azure Disk Encryption: niet-ondersteunde scenario's.
Ondersteunde besturingssystemen
- Windows client: Windows 8 en hoger.
- Windows Server: Windows Server 2008 R2 en hoger.
- Windows 10 Enterprise meerdere sessies.
Notitie
Windows Server 2008 R2 vereist dat .NET Framework 4.5 is geïnstalleerd voor versleuteling; installeer deze vanuit Windows Update met de optionele update Microsoft .NET Framework 4.5.2 voor Windows Server 2008 R2 x64-systemen (KB2901983).
Windows Server 2012 R2 Core en Windows Server 2016 Core vereisen dat het onderdeel bdehdcfg is geïnstalleerd op de VM voor versleuteling.
Netwerkvereisten
Als u Azure Disk Encryption, moeten de VM's voldoen aan de volgende configuratievereisten voor netwerk eindpunten:
- Als u een token wilt gebruiken om verbinding te maken met uw sleutelkluis, moet de Windows-VM verbinding kunnen maken met een [ Azure Active Directory-eindpunt, login.microsoftonline.com ] .
- Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet Windows VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
- De Windows-VM moet verbinding kunnen maken met een Azure Storage-eindpunt dat als host dient voor de Opslagplaats voor Azure-extensies en een Azure-opslagaccount dat als host voor de VHD-bestanden dient.
- Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande verbindingen met de IP's toe te staan. Zie voor meer informatie Azure Key Vault achter een firewall.
groepsbeleid vereisten
Azure Disk Encryption maakt gebruik van de externe BitLocker-sleutelbeveiliging voor Windows VM's. Voor virtuele VM's die lid zijn van een domein, pusht u geen groepsbeleidsregels die TPM-beveiligingen afdwingen. Zie BitLocker groepsbeleid reference (BitLockertoestaan zonder een compatibele TPM) groepsbeleid informatie over het groepsbeleid.
BitLocker-beleid op virtuele machines die lid zijn van een domein met aangepast groepsbeleid moet de volgende instelling bevatten: Gebruikersopslag van BitLocker-herstelgegevens configureren -> 256-bitsherstelsleutel toestaan. Azure Disk Encryption mislukken wanneer aangepaste groepsbeleidsinstellingen voor BitLocker niet compatibel zijn. Op computers die niet de juiste beleidsinstelling hadden, moet u het nieuwe beleid toepassen en het nieuwe beleid geforceer bijwerken (gpupdate.exe /force). Mogelijk moet u opnieuw opstarten.
De groepsbeleidsfuncties van Microsoft Bitlocker Administration and Monitoring (PCM) zijn niet compatibel met Azure Disk Encryption.
Waarschuwing
Azure Disk Encryption herstelsleutels worden niet opgeslagen. Als de beveiligingsinstelling Interactieve aanmelding: Drempelwaarde voor vergrendeling van computeraccount is ingeschakeld, kunnen machines alleen worden hersteld door een herstelsleutel op te geven via de seriële console. Instructies voor het inschakelen van het juiste herstelbeleid vindt u in het Bitlocker-herstelhandleidingsplan.
Azure Disk Encryption mislukt als groepsbeleid op domeinniveau het AES-CBC-algoritme blokkeert, dat wordt gebruikt door BitLocker.
Opslagvereisten voor versleutelingssleutels
Azure Disk Encryption is een Azure Key Vault voor het beheren en beheren van schijfversleutelingssleutels en -geheimen. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.
Zie Een sleutelkluis maken en configurerenvoor Azure Disk Encryption.
Terminologie
De volgende tabel definieert enkele van de algemene termen die worden gebruikt in de documentatie voor Azure Disk Encryption:
| Terminologie | Definitie |
|---|---|
| Azure Key Vault | Key Vault is een cryptografische, sleutelbeheerservice die is gebaseerd op fips-gevalideerde hardwarebeveiligingsmodules (Federal Information Processing Standards). Deze standaarden helpen bij het beveiligen van uw cryptografische sleutels en gevoelige geheimen. Zie de documentatie over Azure Key Vault en Een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer Azure Disk Encryption. |
| Azure CLI | De Azure CLI is geoptimaliseerd voor het beheren en beheren van Azure-resources vanaf de opdrachtregel. |
| BitLocker | BitLocker is een door de branche herkende Windows-technologie voor volumeversleuteling die wordt gebruikt om schijfversleuteling in te Windows VM's. |
| Sleutelversleutelingssleutel (KEK) | De asymmetrische sleutel (RSA 2048) die u kunt gebruiken om het geheim te beveiligen of in te pakken. U kunt een met HSM (Hardware Security Module) beveiligde sleutel of met software beschermde sleutel leveren. Zie de documentatie over Azure Key Vault en Een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer Azure Disk Encryption. |
| PowerShell-cmdlets | Zie voor meer informatie Azure PowerShell cmdlets. |
Volgende stappen
- Quickstart: Een virtuele Windows maken en versleutelen met Azure CLI
- Quickstart: Een virtuele Windows maken en versleutelen met Azure PowerShell
- Azure Disk Encryption-scenario's voor Windows-VM's
- Azure Disk Encryption CLI-script met vereisten
- Azure Disk Encryption PowerShell-script met vereisten
- Een sleutelkluis voor Azure Disk Encryption maken en configureren