Azure Disk Encryption voor Linux-VM's

Van toepassing op: ✔️ Virtuele Linux-heavy_check_mark: flexibele schaalsets

Azure Disk Encryption helpt om uw gegevens te beschermen en te beveiligen, zodat u aan de beveiligings- en nalevingsafspraken van uw organisatie voldoet. Het maakt gebruik van de DM-Crypt-functie van Linux om volumeversleuteling te bieden voor het besturingssysteem en gegevensschijven van virtuele Azure-machines (VM's), en is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen te beheren.

Azure Disk Encryption is zone-robuust, op dezelfde manier als Virtual Machines. Zie Azure-services die ondersteuning bieden voor Beschikbaarheidszones.

Als u Azure Security Centergebruikt, wordt u gewaarschuwd als u VM's hebt die niet zijn versleuteld. De waarschuwingen worden als Hoog ernst en de aanbeveling is om deze VM's te versleutelen.

Azure Security Center waarschuwing voor schijfversleuteling

Waarschuwing

  • Als u eerder een Azure Disk Encryption Azure AD hebt gebruikt om een VM te versleutelen, moet u deze optie blijven gebruiken om uw VM te versleutelen. Zie Azure Disk Encryption met Azure AD (vorige versie) voor meer informatie.
  • Bepaalde aanbevelingen kunnen het gegevens-, netwerk- of rekenresourcegebruik verhogen, wat leidt tot extra licentie- of abonnementskosten. U moet een geldig actief Azure-abonnement hebben om resources te kunnen maken in Azure in de ondersteunde regio's.

U kunt de basisprincipes van Azure Disk Encryption voor Linux in slechts enkele minuten leren met de quickstart Een virtuele Linux-VM maken en versleutelen met Azure CLI of de quickstart Een virtuele Linux-Azure PowerShell maken en versleutelen.

Ondersteunde VM's en besturingssystemen

Ondersteunde VM's

Linux-VM's zijn beschikbaar in verschillende grootten. Azure Disk Encryption wordt ondersteund op VM's van de eerste en tweede generatie. Azure Disk Encryption is ook beschikbaar voor VM's met Premium Storage.

Zie Azure VM-grootten zonder lokale tijdelijke schijf.

Azure Disk Encryption is ook niet beschikbaar op virtuele machines uit de Basic-, A-serieof op virtuele machines die niet voldoen aan deze minimale geheugenvereisten:

Virtuele machine Minimale geheugenvereiste
Linux-VM's wanneer alleen gegevensvolumes worden versleuteld 2 GB
Linux-VM's bij het versleutelen van gegevens- en besturingssysteemvolumes en waarbij het hoofdbestandssysteemgebruik (/) 4 GB of minder is 8 GB
Linux-VM's bij het versleutelen van gegevens- en besturingssysteemvolumes en waarbij het gebruik van het hoofdbestandssysteem (/) groter is dan 4 GB Het gebruik van het hoofdbestandssysteem * 2. Voor een bestandssysteemgebruik van 16 GB is bijvoorbeeld ten minste 32 GB RAM-geheugen vereist

Zodra het versleutelingsproces van de besturingssysteemschijf is voltooid op virtuele Linux-machines, kan de virtuele machine worden geconfigureerd om met minder geheugen te worden uitgevoerd.

Zie voor meer uitzonderingen Azure Disk Encryption: Niet-ondersteunde scenario's.

Ondersteunde besturingssystemen

Azure Disk Encryption wordt ondersteund op een subset van de door Azure goedgekeurde Linux-distributies,die zelf een subset is van alle mogelijke linux-serverdistributies.

Venn-diagram van Linux-serverdistributies die ondersteuning bieden voor Azure Disk Encryption

Linux-serverdistributies die niet zijn goedgekeurd door Azure bieden geen ondersteuning voor Azure Disk Encryption; van de goedgekeurde versies ondersteunen alleen de volgende distributies en versies Azure Disk Encryption:

Uitgever Aanbieding SKU URN Volumetype dat wordt ondersteund voor versleuteling
Canonical Ubuntu 20.04-LTS Canonical:0001-com-ubuntu-server-focus:20_04-lts:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 20.04-DAILY-LTS Canonical:0001-com-ubuntu-server-focus-daily:20_04-daily-lts:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 20.04-LTS Gen2 Canonical:0001-com-ubuntu-server-focus:20_04-lts-gen2:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 20.04-DAILY-LTS Gen2 Canonical:0001-com-ubuntu-server-focus-daily:20_04-daily-lts-gen2:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 18.04-LTS Canonical:UbuntuServer:18.04-LTS:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 18.04 18.04-DAILY-LTS Canonical:UbuntuServer:18.04-DAILY-LTS:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 16.04 16.04-DAILY-LTS Canonical:UbuntuServer:16.04-DAILY-LTS:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 14.04.5
met azure-afgestemde kernel bijgewerkt naar 4.15 of hoger
14.04.5-LTS Canonical:UbuntuServer:14.04.5-LTS:latest Besturingssysteem en gegevensschijf
Canonical Ubuntu 14.04.5
met azure-afgestemde kernel bijgewerkt naar 4.15 of hoger
14.04.5-DAILY-LTS Canonical:UbuntuServer:14.04.5-DAILY-LTS:latest Besturingssysteem en gegevensschijf
RedHat RHEL 8-LVM 8-LVM RedHat:RHEL:8-LVM:8.2.20200905 Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 8.2 8.2 RedHat:RHEL:8.2:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 8.1 8.1 RedHat:RHEL:8.1:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7-LVM 7-LVM RedHat:RHEL:7-LVM:7.9.2020111202 Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.9 7_9 RedHat:RHEL:7_9:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.8 7,8 RedHat:RHEL:7.8:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.7 7.7 RedHat:RHEL:7.7:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.6 7.6 RedHat:RHEL:7.6:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.5 7,5 RedHat:RHEL:7.5:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.4 7.4 RedHat:RHEL:7.4:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.3 7.3 RedHat:RHEL:7.3:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 7.2 7.2 RedHat:RHEL:7.2:latest Besturingssysteem en gegevensschijf (zie opmerking hieronder)
RedHat RHEL 6.8 6.8 RedHat:RHEL:6.8:latest Gegevensschijf (zie opmerking hieronder)
RedHat RHEL 6.7 6.7 RedHat:RHEL:6.7:latest Gegevensschijf (zie opmerking hieronder)
OpenLogic CentOS 8-LVM 8-LVM OpenLogic:CentOS-LVM:8-LVM:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 8.2 8_2 OpenLogic:CentOS:8_2:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 8.1 8_1 OpenLogic:CentOS:8_1:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7-LVM 7-LVM OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.9 7_9 OpenLogic:CentOS:7_9:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.8 7_8 OpenLogic:CentOS:7_8:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.7 7.7 OpenLogic:CentOS:7.7:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.6 7.6 OpenLogic:CentOS:7.6:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.5 7,5 OpenLogic:CentOS:7.5:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.4 7.4 OpenLogic:CentOS:7.4:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.3 7.3 OpenLogic:CentOS:7.3:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.2n 7.2n OpenLogic:CentOS:7.2n:latest Besturingssysteem en gegevensschijf
OpenLogic CentOS 7.1 7.1 OpenLogic:CentOS:7.1:latest Alleen de gegevensschijf
OpenLogic CentOS 7.0 7.0 OpenLogic:CentOS:7.0:latest Alleen de gegevensschijf
OpenLogic CentOS 6.8 6.8 OpenLogic:CentOS:6.8:latest Alleen de gegevensschijf
SUSE openSUSE 42.3 42.3 SUSE:openSUSE-Leap:42.3:latest Alleen de gegevensschijf
SUSE SLES 12-SP4 12-SP4 SUSE:SLES:12-SP4:latest Alleen de gegevensschijf
SUSE SLES HPC 12-SP3 12-SP3 SUSE:SLES-HPC:12-SP3:latest Alleen de gegevensschijf

Notitie

De nieuwe Azure Disk Encryption wordt ondersteund voor RHEL OS en gegevensschijf voor RHEL7 Betalen per gebruik-afbeeldingen.

ADE wordt ook ondersteund voor RHEL Bring-Your-Own-Subscription Gold-afbeeldingen, maar pas nadat het abonnement is geregistreerd. Zie Bring-Your-Own-Subscription Gold-Red Hat Enterprise Linux in Azure voor meer informatie

ADE-ondersteuning voor een bepaald aanbiedingstype gaat niet verder dan de datum van het einde van de levensduur die door de uitgever is verstrekt.

De verouderde ADE-oplossing (met AAD-referenties) wordt niet aanbevolen voor nieuwe VM's en is later dan RHEL 7.8 niet compatibel met RHEL-versies.

Aanvullende VM-vereisten

Azure Disk Encryption vereist dat de dm-crypt- en vfat-modules aanwezig zijn op het systeem. Als u vfat uit de standaardinstallatie afbeelding verwijdert of uitsluit, kan het systeem het sleutelvolume niet lezen en de sleutel verkrijgen die nodig is voor het ontgrendelen van de schijven bij de volgende keer opnieuw opstarten. Systeemhardingsstappen die de vfat-module uit het systeem verwijderen of het uitbreiden van de os-mountpoints/mappen op gegevensstations afdwingen, zijn niet compatibel met Azure Disk Encryption.

Voordat u versleuteling inschakelen, moeten de gegevensschijven die moeten worden versleuteld correct worden vermeld in /etc/fstab. Gebruik de optie 'nofail' bij het maken van vermeldingen en kies een permanente naam voor het blokapparaat (als apparaatnamen in de indeling '/dev/sdX' zijn mogelijk niet gekoppeld aan dezelfde schijf tijdens het opnieuw opstarten, met name na versleuteling. Zie Problemen met wijzigingen in de linux-VM-apparaatnaam oplossen voor meer informatie over dit gedrag.

Zorg ervoor dat de /etc/fstab-instellingen juist zijn geconfigureerd voor het maken van een bevestiging. Als u deze instellingen wilt configureren, moet u de opdracht 'mount -a' uitvoeren of de VM opnieuw opstarten en het opnieuw ontkoppelen op die manier activeren. Als dat is voltooid, controleert u de uitvoer van de lsblk opdracht om te controleren of het station nog steeds is bevestigd.

  • Als het /etc/fstab-bestand het station niet goed aan het station wordt toegevoegd voordat u versleuteling inschakelen, Azure Disk Encryption het niet goed kunnen worden bevestigd.
  • Het Azure Disk Encryption verplaatst de informatie over de bevestiging uit /etc/fstab en naar een eigen configuratiebestand als onderdeel van het versleutelingsproces. Maak u geen zorgen als de vermelding ontbreekt in /etc/fstab nadat de versleuteling van het gegevensstation is voltooid.
  • Voordat u de versleuteling start, moet u ervoor zorgen dat u alle services en processen stopt die naar de aan elkaar geplaatste gegevensschijven kunnen schrijven en deze uitschakelen, zodat ze niet automatisch opnieuw worden opgestart na het opnieuw opstarten. Deze kunnen bestanden geopend houden op deze partities, waardoor de versleutelingsprocedure deze niet opnieuw kan ontkoppelen, waardoor de versleuteling mislukt.
  • Na het opnieuw opstarten duurt het even Azure Disk Encryption de zojuist versleutelde schijven worden bevestigd. Ze zijn niet onmiddellijk beschikbaar na het opnieuw opstarten. Het proces heeft tijd nodig om de versleutelde stations te starten, te ontgrendelen en vervolgens te monteren voordat andere processen toegang kunnen krijgen. Dit proces kan meer dan een minuut duren na het opnieuw opstarten, afhankelijk van de systeemkenmerken.

Hier is een voorbeeld van de opdrachten die worden gebruikt voor het toevoegen van de gegevensschijven en het maken van de benodigde /etc/fstab vermeldingen:

UUID0="$(blkid -s UUID -o value /dev/sda1)"
UUID1="$(blkid -s UUID -o value /dev/sda2)"
mkdir /data0
mkdir /data1
echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
mount -a

Netwerkvereisten

Als u de Azure Disk Encryption wilt inschakelen, moeten de virtuele Linux-VM's voldoen aan de volgende configuratievereisten voor netwerk-eindpunten:

  • Om een token te krijgen om verbinding te maken met uw sleutelkluis, moet de Linux-VM verbinding kunnen maken met een Azure Active Directory-eindpunt, [ login.microsoftonline.com ] .
  • Als u de versleutelingssleutels naar uw sleutelkluis wilt schrijven, moet de Linux-VM verbinding kunnen maken met het eindpunt van de sleutelkluis.
  • De Linux-VM moet verbinding kunnen maken met een Azure Storage-eindpunt dat als host dient voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host voor de VHD-bestanden dient.
  • Als uw beveiligingsbeleid de toegang van azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande connectiviteit met de IP's toe te staan. Zie voor meer informatie Azure Key Vault achter een firewall.

Opslagvereisten voor versleutelingssleutels

Azure Disk Encryption vereist een Azure Key Vault voor het beheren en beheren van schijfversleutelingssleutels en -geheimen. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.

Zie Een sleutelkluis maken en configurerenvoor Azure Disk Encryption.

Terminologie

De volgende tabel definieert enkele van de algemene termen die worden gebruikt in de Documentatie voor Azure-schijfversleuteling:

Terminologie Definitie
Azure Key Vault Key Vault is een cryptografische, sleutelbeheerservice die is gebaseerd op fips-gevalideerde hardwarebeveiligingsmodules (Federal Information Processing Standards). Deze standaarden helpen bij het beveiligen van uw cryptografische sleutels en gevoelige geheimen. Zie de documentatie over Azure Key Vault en Een sleutelkluis maken en configureren voor Azure Disk Encryption.
Azure CLI De Azure CLI is geoptimaliseerd voor het beheren en beheren van Azure-resources vanaf de opdrachtregel.
DM-Crypt DM-Crypt is het op Linux gebaseerde, transparante subsysteem voor schijfversleuteling dat wordt gebruikt om schijfversleuteling in te stellen op Linux-VM's.
Sleutelversleutelingssleutel (KEK) De asymmetrische sleutel (RSA 2048) die u kunt gebruiken om het geheim te beveiligen of in te pakken. U kunt een met HSM (Hardware Security Module) beveiligde sleutel of met software beveiligde sleutel leveren. Zie de documentatie over Azure Key Vault en Een sleutelkluis maken en configureren voor Azure Disk Encryption.
PowerShell-cmdlets Zie voor meer informatie Azure PowerShell cmdlets.

Volgende stappen