Szyfrowanie po stronie serwera Azure Disk StorageServer-side encryption of Azure Disk Storage

Większość dysków zarządzanych przez platformę Azure jest zaszyfrowana przy użyciu funkcji szyfrowania usługi Azure Storage, która korzysta z szyfrowania po stronie serwera (SSE) do ochrony danych i pomaga sprostać wymaganiom bezpieczeństwa i zgodności w organizacji.Most Azure managed disks are encrypted with Azure Storage encryption, which uses server-side encryption (SSE) to protect your data and to help you meet your organizational security and compliance commitments. Szyfrowanie usługi Azure Storage automatycznie szyfruje dane przechowywane na dyskach zarządzanych przez platformę Azure (dyski systemu operacyjnego i danych) domyślnie, gdy są utrwalane w chmurze.Azure Storage encryption automatically encrypts your data stored on Azure managed disks (OS and data disks) at rest by default when persisting it to the cloud. Dyski z szyfrowaniem włączone na hoście nie są jednak szyfrowane za pomocą usługi Azure Storage.Disks with encryption at host enabled, however, are not encrypted through Azure Storage. W przypadku dysków z włączonym szyfrowaniem na hoście serwer obsługujący maszynę wirtualną zapewnia szyfrowanie danych i zaszyfrowane dane są przesyłane do usługi Azure Storage.For disks with encryption at host enabled, the server hosting your VM provides the encryption for your data, and that encrypted data flows into Azure Storage.

Dane w usłudze Azure Managed disks są szyfrowane w sposób niewidoczny dla użytkownika przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2.Data in Azure managed disks is encrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Aby uzyskać więcej informacji na temat modułów kryptograficznych związanych z dyskami zarządzanymi platformy Azure, zobacz interfejs API kryptografii: Kolejna generacjaFor more information about the cryptographic modules underlying Azure managed disks, see Cryptography API: Next Generation

Szyfrowanie usługi Azure Storage nie ma wpływu na wydajność dysków zarządzanych i nie ma dodatkowych kosztów.Azure Storage encryption does not impact the performance of managed disks and there is no additional cost. Aby uzyskać więcej informacji na temat szyfrowania usługi Azure Storage, zobacz szyfrowanie usługi Azure Storage.For more information about Azure Storage encryption, see Azure Storage encryption.

Uwaga

Dyski tymczasowe nie są dyskami zarządzanymi i nie są szyfrowane przez funkcję SSE, o ile nie zostanie włączone szyfrowanie na hoście.Temporary disks are not managed disks and are not encrypted by SSE, unless you enable encryption at host.

Informacje o zarządzaniu kluczami szyfrowaniaAbout encryption key management

Możesz polegać na kluczach zarządzanych przez platformę do szyfrowania dysku zarządzanego lub można zarządzać szyfrowaniem przy użyciu własnych kluczy.You can rely on platform-managed keys for the encryption of your managed disk, or you can manage encryption using your own keys. Jeśli zdecydujesz się na zarządzanie szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta , który będzie używany do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.If you choose to manage encryption with your own keys, you can specify a customer-managed key to use for encrypting and decrypting all data in managed disks.

W poniższych sekcjach opisano każdą z opcji zarządzania kluczami w bardziej szczegółowy sposób.The following sections describe each of the options for key management in greater detail.

Klucze zarządzane przez platformęPlatform-managed keys

Domyślnie dyski zarządzane korzystają z kluczy szyfrowania zarządzanych przez platformę.By default, managed disks use platform-managed encryption keys. Wszystkie dyski zarządzane, migawki, obrazy i dane zapisywane na istniejących dyskach zarządzanych są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę.All managed disks, snapshots, images, and data written to existing managed disks are automatically encrypted-at-rest with platform-managed keys.

Klucze zarządzane przez klientaCustomer-managed keys

Możesz zarządzać szyfrowaniem na poziomie każdego dysku zarządzanego przy użyciu własnych kluczy.You can choose to manage encryption at the level of each managed disk, with your own keys. Szyfrowanie po stronie serwera dla dysków zarządzanych z kluczami zarządzanymi przez klienta oferuje zintegrowane środowisko pracy z Azure Key Vault.Server-side encryption for managed disks with customer-managed keys offers an integrated experience with Azure Key Vault. Możesz zaimportować klucze RSA do Key Vault lub wygenerować nowe klucze rsa w Azure Key Vault.You can either import your RSA keys to your Key Vault or generate new RSA keys in Azure Key Vault.

Usługa Azure Managed disks obsługuje szyfrowanie i odszyfrowywanie w pełni przejrzysty sposób przy użyciu funkcji szyfrowania kopert.Azure managed disks handles the encryption and decryption in a fully transparent fashion using envelope encryption. Szyfruje ona dane przy użyciu klucza szyfrowania danych opartego na protokole AES 256, który jest z kolei chroniony przy użyciu kluczy.It encrypts data using an AES 256 based data encryption key (DEK), which is, in turn, protected using your keys. Usługa Storage generuje klucze szyfrowania danych i szyfruje je za pomocą kluczy zarządzanych przez klienta przy użyciu szyfrowania RSA.The Storage service generates data encryption keys and encrypts them with customer-managed keys using RSA encryption. Szyfrowanie koperty pozwala na okresowe obracanie (zmiana) kluczy zgodnie z zasadami zgodności bez wpływu na maszyny wirtualne.The envelope encryption allows you to rotate (change) your keys periodically as per your compliance policies without impacting your VMs. Gdy obracasz klucze, usługa Storage ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy zarządzanych przez klienta.When you rotate your keys, the Storage service re-encrypts the data encryption keys with the new customer-managed keys.

Pełna kontrola nad kluczamiFull control of your keys

Musisz udzielić dostępu do dysków zarządzanych w Key Vault, aby użyć kluczy do szyfrowania i odszyfrowywania danych.You must grant access to managed disks in your Key Vault to use your keys for encrypting and decrypting the DEK. Pozwala to na pełną kontrolę nad danymi i kluczami.This allows you full control of your data and keys. Możesz w dowolnym momencie wyłączyć klucze lub odwołać dostęp do dysków zarządzanych.You can disable your keys or revoke access to managed disks at any time. Możesz również przeprowadzić inspekcję użycia klucza szyfrowania przy użyciu monitorowania Azure Key Vault, aby upewnić się, że tylko zarządzane dyski lub inne zaufane usługi platformy Azure uzyskują dostęp do kluczy.You can also audit the encryption key usage with Azure Key Vault monitoring to ensure that only managed disks or other trusted Azure services are accessing your keys.

W przypadku wersji Premium dysków SSD, standard dysków SSD i Standard HDD: po wyłączeniu lub usunięciu klucza wszystkie maszyny wirtualne z dyskami korzystającymi z tego klucza zostaną automatycznie zamknięte.For premium SSDs, standard SSDs, and standard HDDs: When you disable or delete your key, any VMs with disks using that key will automatically shut down. Następnie maszyny wirtualne nie będą używane, chyba że klucz zostanie włączony ponownie lub przypiszesz nowy klucz.After this, the VMs will not be usable unless the key is enabled again or you assign a new key.

W przypadku Ultra disks: po wyłączeniu lub usunięciu klucza wszystkie maszyny wirtualne z użyciem klucza nie będą automatycznie zamykane.For ultra disks: when you disable or delete a key, any VMs with ultra disks using the key won't automatically shut down. Po przydzieleniu i ponownym uruchomieniu maszyn wirtualnych dyski przestaną być używane przy użyciu klucza, a następnie maszyny wirtualne nie zostaną przywrócone do trybu online.Once you deallocate and restart the VMs then the disks will stop using the key and then VMs won't come back online. Aby przywrócić maszyny wirtualne do trybu online, należy przypisać nowy klucz lub włączyć istniejący klucz.To bring the VMs back online, you must assign a new key or enable the existing key.

Na poniższym diagramie pokazano, w jaki sposób dyski zarządzane używają Azure Active Directory i Azure Key Vault do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:The following diagram shows how managed disks use Azure Active Directory and Azure Key Vault to make requests using the customer-managed key:

Przepływ pracy dotyczący dysków zarządzanych i kluczy zarządzanych przez klienta. Administrator tworzy Azure Key Vault, tworzy zestaw szyfrowania dysków i konfiguruje zestaw szyfrowania dysków. Zestaw jest skojarzony z maszyną wirtualną, co pozwala dyskowi używać usługi Azure AD do uwierzytelniania

Na poniższej liście wyjaśniono diagram bardziej szczegółowo:The following list explains the diagram in more detail:

  1. Administrator Azure Key Vault tworzy zasoby magazynu kluczy.An Azure Key Vault administrator creates key vault resources.
  2. Administrator magazynu kluczy importuje klucze RSA do Key Vault lub generować nowe klucze RSA w Key Vault.The key vault admin either imports their RSA keys to Key Vault or generate new RSA keys in Key Vault.
  3. Administrator tworzy wystąpienie zasobu zestawu szyfrowania dysku, określając identyfikator Azure Key Vault i adres URL klucza.That administrator creates an instance of Disk Encryption Set resource, specifying an Azure Key Vault ID and a key URL. Zestaw szyfrowanie dysków jest nowym zasobem wprowadzonym w celu uproszczenia zarządzania kluczami dla dysków zarządzanych.Disk Encryption Set is a new resource introduced for simplifying the key management for managed disks.
  4. Po utworzeniu zestawu szyfrowania dysku zarządzana tożsamość przypisana przez system jest tworzona w Azure Active Directory (AD) i skojarzona z zestawem szyfrowania dysków.When a disk encryption set is created, a system-assigned managed identity is created in Azure Active Directory (AD) and associated with the disk encryption set.
  5. Następnie administrator magazynu kluczy Azure przyznaje uprawnienia zarządzanej tożsamości do wykonywania operacji w magazynie kluczy.The Azure key vault administrator then grants the managed identity permission to perform operations in the key vault.
  6. Użytkownik maszyny wirtualnej tworzy dyski przez skojarzenie ich z zestawem szyfrowania dysków.A VM user creates disks by associating them with the disk encryption set. Użytkownik maszyny wirtualnej może również włączyć szyfrowanie po stronie serwera za pomocą kluczy zarządzanych przez klienta dla istniejących zasobów przez skojarzenie ich z zestawem szyfrowanie dysków.The VM user can also enable server-side encryption with customer-managed keys for existing resources by associating them with the disk encryption set.
  7. Dyski zarządzane używają tożsamości zarządzanej do wysyłania żądań do Azure Key Vault.Managed disks use the managed identity to send requests to the Azure Key Vault.
  8. W przypadku odczytywania lub zapisywania danych dyski zarządzane wysyłają żądania do Azure Key Vault, aby zaszyfrować (otoczyć) i odszyfrować (odwinięcie) klucz szyfrowania danych w celu szyfrowania i odszyfrowywania danych.For reading or writing data, managed disks sends requests to Azure Key Vault to encrypt (wrap) and decrypt (unwrap) the data encryption key in order to perform encryption and decryption of the data.

Aby odwołać dostęp do kluczy zarządzanych przez klienta, zobacz Azure Key Vault PowerShell i interfejs wiersza polecenia Azure Key Vault.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Odwoływanie dostępu skutecznie blokuje dostęp do wszystkich danych na koncie magazynu, ponieważ klucz szyfrowania jest niedostępny przez usługę Azure Storage.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Automatyczne rotacja kluczy zarządzanych przez klienta (wersja zapoznawcza)Automatic key rotation of customer-managed keys (preview)

Możesz włączyć automatyczne rotację kluczy do najnowszej wersji klucza.You can choose to enable automatic key rotation to the latest key version. Dysk odwołuje się do klucza za pośrednictwem jego zestawu szyfrowania dysków.A disk references a key via its disk encryption set. Po włączeniu automatycznego rotacji dla zestawu szyfrowania dysku system automatycznie zaktualizuje wszystkie dyski zarządzane, migawki i obrazy, do których odwołuje się zestaw szyfrowania dysku, aby użyć nowej wersji klucza w ciągu jednej godziny.When you enable automatic rotation for a disk encryption set, the system will automatically update all managed disks, snapshots, and images referencing the disk encryption set to use the new version of the key within one hour. Ta funkcja jest obecnie dostępna w ograniczonej liczbie regionów w wersji zapoznawczej.The feature is currently available in limited regions in preview. Aby uzyskać dostęp do regionu, zobacz sekcję Obsługiwane regiony .For regional availability, see the Supported Regions section.

OgraniczeniaRestrictions

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:For now, customer-managed keys have the following restrictions:

  • Jeśli ta funkcja jest włączona dla danego dysku, nie można jej wyłączyć.If this feature is enabled for your disk, you cannot disable it. Jeśli zachodzi potrzeba obejścia tego problemu, należy skopiować wszystkie dane przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azuredo zupełnie innego dysku zarządzanego, który nie korzysta z kluczy zarządzanych przez klienta.If you need to work around this, you must copy all the data using either the Azure PowerShell module or the Azure CLI, to an entirely different managed disk that isn't using customer-managed keys.
  • Obsługiwane są tylko klucze RSA oprogramowania i modułu HSM o rozmiarze 2 048-bitowym, 3 072-bitowym i 4 096-bitowym, brak innych kluczy ani rozmiarów.Only software and HSM RSA keys of sizes 2,048-bit, 3,072-bit and 4,096-bit are supported, no other keys or sizes.
    • Klucze HSM wymagają warstwy Premium magazynów kluczy platformy Azure.HSM keys require the premium tier of Azure Key vaults.
  • Dyski utworzone na podstawie obrazów niestandardowych zaszyfrowanych przy użyciu szyfrowania po stronie serwera i kluczy zarządzanych przez klienta muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta i muszą znajdować się w tej samej subskrypcji.Disks created from custom images that are encrypted using server-side encryption and customer-managed keys must be encrypted using the same customer-managed keys and must be in the same subscription.
  • Migawki utworzone na podstawie dysków zaszyfrowanych przy użyciu szyfrowania po stronie serwera i kluczy zarządzanych przez klienta muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta.Snapshots created from disks that are encrypted with server-side encryption and customer-managed keys must be encrypted with the same customer-managed keys.
  • Wszystkie zasoby związane z kluczami zarządzanymi przez klienta (magazyny kluczy Azure, zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) muszą znajdować się w tej samej subskrypcji i regionie.All resources related to your customer-managed keys (Azure Key Vaults, disk encryption sets, VMs, disks, and snapshots) must be in the same subscription and region.
  • Dyski, migawki i obrazy zaszyfrowane przy użyciu kluczy zarządzanych przez klienta nie mogą zostać przeniesione do innej grupy zasobów i subskrypcji.Disks, snapshots, and images encrypted with customer-managed keys cannot move to another resource group and subscription.
  • Dyski zarządzane aktualnie lub wcześniej zaszyfrowane przy użyciu Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.Managed disks currently or previously encrypted using Azure Disk Encryption cannot be encrypted using customer-managed keys.
  • Można utworzyć maksymalnie 1000 zestawów szyfrowania dysków na region na subskrypcję.Can only create up to 1000 disk encryption sets per region per subscription.
  • Aby uzyskać informacje o korzystaniu z kluczy zarządzanych przez klienta z udostępnionymi galeriami obrazów, zobacz wersja zapoznawcza: Używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.For information about using customer-managed keys with shared image galleries, see Preview: Use customer-managed keys for encrypting images.

Obsługiwane regionySupported regions

Klucze zarządzane przez klienta są dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.Customer-managed keys are available in all regions that managed disks are available.

Automatyczne rotacja kluczy jest w wersji zapoznawczej i dostępne tylko w następujących regionach:Automatic key rotation is in preview and only available in the following regions:

  • East USEast US
  • Wschodnie stany USA 2East US 2
  • South Central USSouth Central US
  • Zachodnie stany USAWest US
  • Zachodnie stany USA 2West US 2
  • Europa PółnocnaNorth Europe
  • Europa ZachodniaWest Europe
  • Francja ŚrodkowaFrance Central

Ważne

Klucze zarządzane przez klienta korzystają z zarządzanych tożsamości dla zasobów platformy Azure, funkcji Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). W przypadku konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach okładek.When you configure customer-managed keys, a managed identity is automatically assigned to your resources under the covers. Jeśli później przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu usługi Azure AD do innego, zarządzana tożsamość skojarzona z dyskami zarządzanymi nie zostanie przetransferowana do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać.If you subsequently move the subscription, resource group, or managed disk from one Azure AD directory to another, the managed identity associated with managed disks isn't transferred to the new tenant, so customer-managed keys may no longer work. Aby uzyskać więcej informacji, zobacz transfer subskrypcji między katalogami usługi Azure AD.For more information, see Transferring a subscription between Azure AD directories.

Aby włączyć klucze zarządzane przez klienta dla dysków zarządzanych, zapoznaj się z naszymi artykułami dotyczącymi sposobu włączania jej przy użyciu modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.To enable customer-managed keys for managed disks, see our articles covering how to enable it with either the Azure PowerShell module, the Azure CLI or the Azure portal. Aby dowiedzieć się, jak włączyć klucze zarządzane przez klienta z automatycznym rotacją kluczy, zobacz konfigurowanie Azure Key Vault i DiskEncryptionSet przy użyciu automatycznego rotacji kluczy (wersja zapoznawcza).To learn how to enable customer-managed keys with automatic key rotation, see Set up an Azure Key Vault and DiskEncryptionSet with automatic key rotation (preview).

Szyfrowanie na poziomie hosta-end-to-end dla danych maszyny wirtualnejEncryption at host - End-to-end encryption for your VM data

Po włączeniu szyfrowania na hoście to szyfrowanie zostanie uruchomione na hoście maszyny wirtualnej, do którego zostanie przypisana maszyna wirtualna.When you enable encryption at host, that encryption starts on the VM host itself, the Azure server that your VM is allocated to. Dane na dysku tymczasowym i pamięci podręcznej dysku danych są przechowywane na tym hoście maszyny wirtualnej.The data for your temporary disk and OS/data disk caches are stored on that VM host. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w stanie spoczynku i przechodzą zaszyfrowane do usługi magazynu, gdzie są utrwalane.After enabling encryption at host, all this data is encrypted at rest and flows encrypted to the Storage service, where it is persisted. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca.Essentially, encryption at host encrypts your data from end-to-end. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie ma wpływu na wydajność maszyny wirtualnej.Encryption at host does not use your VM's CPU and doesn't impact your VM's performance.

Dyski tymczasowe i krótkoterminowe dyski systemu operacyjnego są szyfrowane w stanie spoczynku przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania.Temporary disks and ephemeral OS disks are encrypted at rest with platform-managed keys when you enable end-to-end encryption. Pamięci podręczne dysków systemu operacyjnego i danych są szyfrowane w stanie spoczynku przy użyciu kluczy zarządzanych przez klienta lub na platformę, w zależności od wybranego typu szyfrowania dysku.The OS and data disk caches are encrypted at rest with either customer-managed or platform-managed keys, depending on the selected disk encryption type. Na przykład, jeśli dysk jest szyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest szyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dysku jest szyfrowana za pomocą kluczy zarządzanych przez platformę.For example, if a disk is encrypted with customer-managed keys, then the cache for the disk is encrypted with customer-managed keys, and if a disk is encrypted with platform-managed keys then the cache for the disk is encrypted with platform-managed keys.

OgraniczeniaRestrictions

  • Nie obsługuje Ultra dysków.Does not support ultra disks.
  • Nie można włączyć w przypadku, gdy na maszynach wirtualnych/w zestawach skalowania maszyn wirtualnych jest włączone Azure Disk Encryption (szyfrowanie za pomocą funkcji BitLocker/maszyny wirtualnej).Cannot be enabled if Azure Disk Encryption (guest-VM encryption using bitlocker/VM-Decrypt) is enabled on your VMs/virtual machine scale sets.
  • Nie można włączyć Azure Disk Encryption na dyskach, na których włączono szyfrowanie na hoście.Azure Disk Encryption cannot be enabled on disks that have encryption at host enabled.
  • Szyfrowanie można włączyć w istniejącym zestawie skalowania maszyn wirtualnych.The encryption can be enabled on existing virtual machine scale set. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są szyfrowane automatycznie.However, only new VMs created after enabling the encryption are automatically encrypted.
  • Istniejące maszyny wirtualne muszą zostać cofnięte i ponownie przydzieloną, aby można było je zaszyfrować.Existing VMs must be deallocated and reallocated in order to be encrypted.

Obsługiwane rozmiary maszyn wirtualnychSupported VM sizes

Wszystkie najnowsze generacji rozmiarów maszyn wirtualnych obsługują szyfrowanie na hoście:All the latest generation of VM sizes support encryption at host:

TypType NieobsługiwaneNot Supported ObsługiwaneSupported
Ogólnego przeznaczeniaGeneral purpose Dv3, Dav4, Dv2, Av2Dv3, Dav4, Dv2, Av2 B, DSv2, Dsv3, DC, DCv2, Dasv4B, DSv2, Dsv3, DC, DCv2, Dasv4
Optymalizacja pod kątem obliczeńCompute optimized Fsv2Fsv2
Optymalizacja pod kątem pamięciMemory optimized EV3, Eav4Ev3, Eav4 DSv2, Esv3, M, Mv2, Easv4DSv2, Esv3, M, Mv2, Easv4
Optymalizacja pod kątem magazynuStorage optimized Ls, Lsv2 (dyski interfejsu NVMe nie są szyfrowane)Ls, Lsv2 (NVMe disks not encrypted)
Procesory GPUGPU NC, NVNC, NV NCv2, Seria NCV3, ND, NVv3, NVv4, NDv2 (wersja zapoznawcza)NCv2, NCv3, ND, NVv3, NVv4, NDv2 (preview)
Obliczenia o wysokiej wydajnościHigh performance compute HH HB, HC, HBv2HB, HC, HBv2
Poprzednie generacjePrevious generations F, A, D, L, GF, A, D, L, G DS, GS, FS, NVv2DS, GS, Fs, NVv2

Uaktualnienie rozmiaru maszyny wirtualnej spowoduje sprawdzenie poprawności w celu sprawdzenia, czy nowy rozmiar maszyny wirtualnej obsługuje funkcję EncryptionAtHost.Upgrading the VM size will result in validation to check if the new VM size supports the EncryptionAtHost feature.

Aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście, zobacz nasze artykuły, w których opisano sposób włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azurelub Azure Portal.To enable end-to-end encryption using encryption at host, see our articles covering how to enable it with either the Azure PowerShell module, the Azure CLI, or the Azure portal.

Podwójne szyfrowanie w spoczynkuDouble encryption at rest

Klienci z wysokim poziomem zabezpieczeń, którzy są zainteresowani ryzykiem związanym z określonym algorytmem szyfrowania, implementacją lub złamanym kluczem, mogą teraz wybrać dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę.High security sensitive customers who are concerned of the risk associated with any particular encryption algorithm, implementation, or key being compromised can now opt for additional layer of encryption using a different encryption algorithm/mode at the infrastructure layer using platform managed encryption keys. Ta nowa warstwa może zostać zastosowana do utrwalonych dysków systemu operacyjnego i danych, migawek i obrazów, a wszystkie będą szyfrowane przy użyciu podwójnego szyfrowania.This new layer can be applied to persisted OS and data disks, snapshots, and images, all of which will be encrypted at rest with double encryption.

Obsługiwane regionySupported regions

Podwójne szyfrowanie jest dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.Double encryption is available in all regions that managed disks are available.

Aby włączyć podwójne szyfrowanie dla dysków zarządzanych, zapoznaj się z artykułami dotyczącymi sposobu włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.To enable double encryption at rest for managed disks, see our articles covering how to enable it with either the Azure PowerShell module, the Azure CLI or the Azure portal.

Szyfrowanie po stronie serwera a usługa Azure Disk EncryptionServer-side encryption versus Azure disk encryption

Azure Disk Encryption wykorzystuje funkcję dm-crypt systemu Linux lub funkcję BitLocker w systemie Windows do szyfrowania dysków zarządzanych z kluczami ZARZĄDZANYMI przez klienta w ramach maszyny wirtualnej gościa.Azure Disk Encryption leverages either the DM-Crypt feature of Linux or the BitLocker feature of Windows to encrypt managed disks with customer-managed keys within the guest VM. Szyfrowanie po stronie serwera z kluczami zarządzanymi przez klienta usprawnia w systemie ADE, umożliwiając korzystanie z dowolnych typów systemów operacyjnych i obrazów dla maszyn wirtualnych przez szyfrowanie danych w usłudze Storage.Server-side encryption with customer-managed keys improves on ADE by enabling you to use any OS types and images for your VMs by encrypting data in the Storage service.

Ważne

Klucze zarządzane przez klienta korzystają z zarządzanych tożsamości dla zasobów platformy Azure, funkcji Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). W przypadku konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach okładek.When you configure customer-managed keys, a managed identity is automatically assigned to your resources under the covers. Jeśli później przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu usługi Azure AD do innego, zarządzana tożsamość skojarzona z dyskami zarządzanymi nie zostanie przetransferowana do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać.If you subsequently move the subscription, resource group, or managed disk from one Azure AD directory to another, the managed identity associated with managed disks is not transferred to the new tenant, so customer-managed keys may no longer work. Aby uzyskać więcej informacji, zobacz transfer subskrypcji między katalogami usługi Azure AD.For more information, see Transferring a subscription between Azure AD directories.

Następne krokiNext steps