Overzicht van versleutelingsopties voor beheerde schijven
Er zijn verschillende typen versleuteling beschikbaar voor uw beheerde schijven, waaronder Azure Disk Encryption (ADE), Server-Side Encryption (SSE) en versleuteling op de host.
Versleuteling aan de serverzijde van Azure Disk Storage (ook wel versleuteling-at-rest of Azure Storage-versleuteling genoemd) wordt altijd ingeschakeld en versleutelt automatisch gegevens die zijn opgeslagen op beheerde Azure-schijven (besturingssysteem en gegevensschijven) wanneer ze op de opslagclusters blijven staan. Wanneer deze is geconfigureerd met een Schijfversleutelingsset (DES), worden ook door de klant beheerde sleutels ondersteund. Er worden geen tijdelijke schijven of schijfcaches versleuteld. Zie Versleuteling aan de serverzijde van Azure Disk Storage voor meer informatie.
Versleuteling op host is een optie voor virtuele machines waarmee Azure Disk Storage-versleuteling aan de serverzijde wordt verbeterd om ervoor te zorgen dat alle tijdelijke schijven en schijfcaches in rust worden versleuteld en worden versleuteld naar de opslagclusters. Zie Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens voor meer informatie.
Met Azure Disk Encryption kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. ADE versleutelt het besturingssysteem en de gegevensschijven van virtuele Azure-machines (VM's) binnen uw VM's met behulp van de DM-Crypt-functie van Linux of de BitLocker-functie van Windows. ADE is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen te beheren, met de optie om te versleutelen met een sleutelversleutelingssleutel (KEK). Zie Azure Disk Encryption voor Linux-VM's of Azure Disk Encryption voor Windows-VM's voor meer informatie.
Vertrouwelijke schijfversleuteling verbindt schijfversleutelingssleutels met de TPM van de virtuele machine en maakt de beveiligde schijfinhoud alleen toegankelijk voor de virtuele machine. De TPM- en VM-gaststatus wordt altijd versleuteld in geteste code met behulp van sleutels die zijn vrijgegeven door een beveiligd protocol dat de hypervisor en het hostbesturingssysteem omzeilt. Momenteel alleen beschikbaar voor de besturingssysteemschijf. Versleuteling op de host kan worden gebruikt voor andere schijven op een vertrouwelijke VM, naast Confidential Disk Encryption. Zie vertrouwelijke VM's uit de DCasv5- en ECasv5-serie voor meer informatie.
Versleuteling maakt deel uit van een gelaagde benadering van beveiliging en moet worden gebruikt met andere aanbevelingen voor het beveiligen van virtuele machines en hun schijven. Zie Beveiligingsaanaanvelingen voor virtuele machines in Azure en import-/exporttoegang tot beheerde schijven beperken voor meer informatie.
Vergelijking
Hier volgt een vergelijking van Schijfopslag-SSE, ADE, versleuteling op host en Vertrouwelijke schijfversleuteling.
| Versleuteling aan de serverzijde van Azure Disk Storage | Versleuteling op de host | Azure Disk Encryption | Vertrouwelijke schijfversleuteling (alleen voor de besturingssysteemschijf) | |
|---|---|---|---|---|
| Versleuteling at rest (besturingssysteem en gegevensschijven) | ✅ | ✅ | ✅ | ✅ |
| Tijdelijke schijfversleuteling | ❌ | ✅ Alleen ondersteund met door platform beheerde sleutel | ✅ | ❌ |
| Versleuteling van caches | ❌ | ✅ | ✅ | ✅ |
| Gegevensstromen die zijn versleuteld tussen Compute en Storage | ❌ | ✅ | ✅ | ✅ |
| Klantbeheer van sleutels | ✅ Wanneer geconfigureerd met DES | ✅ Wanneer geconfigureerd met DES | ✅ Wanneer deze is geconfigureerd met KEK | ✅ Wanneer geconfigureerd met DES |
| HSM-ondersteuning | Azure Key Vault Premium en beheerde HSM | Azure Key Vault Premium en beheerde HSM | Azure Key Vault Premium | Azure Key Vault Premium en beheerde HSM |
| Maakt geen gebruik van de CPU van uw VIRTUELE machine | ✅ | ✅ | ❌ | ❌ |
| Werkt voor aangepaste installatiekopieën | ✅ | ✅ | ❌ Werkt niet voor aangepaste Linux-installatiekopieën | ✅ |
| Verbeterde sleutelbeveiliging | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender voor Cloud schijfversleutelingsstatus* | Niet in orde | In orde | In orde | Niet van toepassing |
Belangrijk
Voor vertrouwelijke schijfversleuteling heeft Microsoft Defender voor Cloud momenteel geen aanbeveling die van toepassing is.
* Microsoft Defender voor Cloud heeft de volgende aanbevelingen voor schijfversleuteling:
- Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen (alleen Azure Disk Encryption detecteert)
- [Preview]: Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen (detecteert zowel Azure Disk Encryption als EncryptionAtHost)
- [Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen (detecteert zowel Azure Disk Encryption als EncryptionAtHost)