Översikt över Azure Disk EncryptionAzure Disk Encryption overview

Azure Disk Encryption skyddar och skyddar dina data så att de uppfyller organisationens säkerhets-och efterlevnads åtaganden.Azure Disk Encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Den använder BitLocker -funktionen i Windows och funktionen dm-crypt i Linux för att tillhandahålla volym kryptering för operativ system och data diskar för virtuella datorer i Azure.It uses the BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and data disks of Azure virtual machines (VMs). Det är också integrerat med Azure Key Vault för att hjälpa dig att styra och hantera disk krypterings nycklar och hemligheter och se till att alla data på de virtuella dator diskarna är krypterade i vila i Azure Storage.It is also integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets, and ensures that all data on the VM disks are encrypted at rest while in Azure storage. Azure Disk Encryption för virtuella Windows-och Linux-datorer är allmänt tillgängliga i alla offentliga Azure-regioner och Azure Government regioner för virtuella standard datorer och virtuella datorer med Azure Premium Storage.Azure Disk Encryption for Windows and Linux VMs is in General Availability in all Azure public regions and Azure Government regions for Standard VMs and VMs with Azure Premium Storage.

Om du använder Azure Security Center kan du en varning om du har virtuella datorer som inte är krypterade.If you use Azure Security Center, you're alerted if you have VMs that aren't encrypted. Aviseringar visas med hög angelägenhetsgrad och rekommendationen är att kryptera dessa virtuella datorer.The alerts show as High Severity and the recommendation is to encrypt these VMs.

Azure Security Center disk encryption-avisering

Anteckning

Vissa rekommendationerna kan öka data, nätverk, eller beräkning Resursanvändning och resulterar i ytterligare kostnader för licens eller prenumeration.Certain recommendations might increase data, network, or compute resource usage and result in additional license or subscription costs.

KrypteringsscenarierEncryption scenarios

Med Azure Disk Encryption kan du lösa organisationens krav på säkerhet och efterlevnad genom att skydda dina virtuella Azure-datorer i vila med hjälp av krypterings teknik som är bransch standard.With Azure Disk Encryption, you can address organizational security and compliance requirements by securing your Azure VMs at rest using industry-standard encryption technology. Du kan också konfigurera virtuella datorer att starta under kundstyrda nycklar och principer (BYOK) och granska användningen av dessa nycklar i ditt nyckel valv.You can also configure VMs to boot under customer-controlled keys and policies (BYOK), and audit the usage of these keys in your key vault.

Azure Disk Encryption stöder följande kund scenarier:Azure Disk Encryption supports the following customer scenarios:

  • Aktivera och inaktivera kryptering på nya virtuella datorer som skapats från de Azure Gallery-avbildningar som stöds.Enabling and disabling encryption on new VMs created from the supported Azure Gallery images.
  • Aktivera och inaktivera kryptering på befintliga virtuella datorer som körs i Azure.Enabling and disabling encryption on existing VMs that run in Azure.
  • Aktivera och inaktivera kryptering på nya virtuella Windows-datorer som skapats från förkrypterade virtuella hård diskar och krypterings nycklar.Enabling and disabling encryption on new Windows VMs created from pre-encrypted VHD and encryption keys.
  • Aktivera och inaktivera kryptering i skalnings uppsättningar för virtuella Windows-datorer.Enabling and disabling encryption on Windows virtual machine scale sets.
  • Aktivera och inaktivera kryptering på data enheter för skalnings uppsättningar för virtuella Linux-datorer.Enabling and disabling encryption on data drives for Linux virtual machine scale sets.
  • Aktivera och inaktivera kryptering av virtuella datorer med hanterade diskar.Enabling and disabling encryption of managed disk VMs.
  • Uppdatera krypterings inställningarna för en befintlig krypterad Premium-och icke-Premium Storage virtuell dator.Updating encryption settings of an existing encrypted Premium and non-Premium Storage VM.
  • Säkerhetskopiera och återställa krypterade virtuella datorer.Backing up and restoring encrypted VMs.
  • Ta med din egen kryptering (BYOE) och ta med dina egna nyckel scenarier (BYOK), där kunderna använder sina egna krypterings nycklar och lagrar dem i ett Azure Key Vault.Bring your own encryption (BYOE) and bring your own key (BYOK) scenarios, in which the customers use their own encryption keys and store them in an Azure key vault.

Den har också stöd för följande scenarier för virtuella datorer när de är aktiverade i Microsoft Azure:It also supports the following scenarios for VMs when they're enabled in Microsoft Azure:

  • Integrering med Azure Key Vault.Integration with Azure Key Vault.

  • Virtuella datorer på standard nivå som uppfyller minimi kraven på minne.Standard tier VMs that meet the minimum memory requirement.

  • Aktivera kryptering på virtuella Windows-och Linux-datorer, hanterade diskar och skalnings uppsättningar för virtuella datorer från de Azure Gallery-avbildningar som stöds.Enabling encryption on Windows and Linux VMs, managed disk, and scale set VMs from the supported Azure Gallery images.

  • Inaktivera kryptering på operativ system och data enheter för virtuella Windows-datorer, skalnings uppsättningar virtuella datorer och hanterade virtuella hård diskar.Disabling encryption on OS and data drives for Windows VMs, scale set VMs, and managed disk VMs.

  • Inaktivera kryptering på data enheter för virtuella Linux-datorer, skalnings uppsättningar virtuella datorer och hanterade virtuella hård diskar.Disabling encryption on data drives for Linux VMs, scale set VMs, and managed disk VMs.

  • Aktivera kryptering på virtuella datorer som kör Windows-klientens operativ system.Enabling encryption on VMs that run the Windows Client OS.

  • Aktivera kryptering på volymer med monterings Sök vägar.Enabling encryption on volumes with mount paths.

  • Aktivera kryptering på virtuella Linux-datorer som är konfigurerade med disk striping (RAID) med hjälp av mdadm.Enabling encryption on Linux VMs that are configured with disk striping (RAID) by using mdadm.

  • Aktivera kryptering på virtuella Linux-datorer som använder LVM för data diskar.Enabling encryption on Linux VMs that use LVM for data disks.

  • Aktivera kryptering på virtuella Linux-operativsystem och data diskar.Enabling encryption on the Linux VM OS and data disks.

    Anteckning

    OS-kryptering för vissa Linux-distributioner stöds inte.OS drive encryption for some Linux distributions isn't supported. Mer information finns i Azure Disk Encryption operativ system som stöds: Linux.For more information, see the Azure Disk Encryption supported operating systems: Linux.

  • Aktivera kryptering på virtuella datorer som är konfigurerade med Windows lagrings utrymmen från och med Windows Server 2016.Enabling encryption on VMs that are configured with Windows Storage Spaces beginning in Windows Server 2016. Lagringsdirigering (S2D) stöds inte ännu.Storage Spaces Direct (S2D) isn't supported yet.

  • Säkerhetskopiera och återställa krypterade virtuella datorer för både nyckel krypterings nyckel (KEK) och icke-KEK scenarier.Back up and restoration of encrypted VMs for both key encryption key (KEK) and non-KEK scenarios.

Azure Disk Encryption fungerar inte för följande scenarier, funktioner och teknik:Azure Disk Encryption does not work for the following scenarios, features, and technology:

  • Kryptering av virtuella datorer på Basic-nivå eller virtuella datorer som skapats via den klassiska skapande metoden för virtuella datorer.Encrypting basic tier VM or VMs created through the classic VM creation method.
  • Inaktivera kryptering på en operativ system enhet eller data enhet på en virtuell Linux-dator när operativ system enheten är krypterad.Disabling encryption on an OS drive or data drive of a Linux VM when the OS drive is encrypted.
  • Krypterar OS-enheten för skalnings uppsättningar för virtuella Linux-datorer.Encrypting OS drive for Linux virtual machine scale sets.
  • Kryptera virtuella Windows-datorer som kon figurer ATS med programvarubaserade RAID-system.Encrypting Windows VMs configured with software-based RAID systems.
  • Kryptera anpassade avbildningar på virtuella Linux-datorer.Encrypting custom images on Linux VMs.
  • Integrering med ett lokalt nyckel hanterings system.Integration with an on-premises key management system.
  • Azure Files (delade filsystem).Azure Files (shared file system).
  • Network File System (NFS).Network File System (NFS).
  • Dynamiska volymer.Dynamic volumes.

KrypteringsfunktionerEncryption features

När du aktiverar och distribuerar Azure Disk Encryption för virtuella Azure-datorer kan du konfigurera följande funktioner som ska aktive ras:When you enable and deploy Azure Disk Encryption for Azure VMs, you can configure the following capabilities to be enabled:

  • Kryptering av OS-volymen för att skydda start volymen i vila i lagrings utrymmet.Encrypting the OS volume to protect the boot volume at rest in your storage.
  • Kryptering av data volymer för att skydda data volymerna i vila i lagrings utrymmet.Encrypting data volumes to protect the data volumes at rest in your storage.
  • Inaktivera kryptering på operativ system och data enheter för virtuella Windows-datorer.Disabling encryption on the OS and data drives for Windows VMs.
  • Inaktivera kryptering på data enheterna för virtuella Linux-datorer (endast när operativ system enheten inte är krypterad).Disabling encryption on the data drives for Linux VMs (only when the OS drive isn't encrypted).
  • Skydda krypterings nycklarna och hemligheterna i Azure Key Vault prenumerationen.Safeguarding the encryption keys and secrets in your Azure Key Vault subscription.
  • Rapporterar krypterings status för den krypterade virtuella datorn.Reporting the encryption status of the encrypted VM.
  • Tar bort konfigurations inställningarna för disk kryptering från den virtuella datorn.Removing the disk encryption configuration settings from the VM.
  • Säkerhetskopiera och återställa krypterade virtuella datorer med hjälp av tjänsten Azure Backup.Backing up and restoring the encrypted VMs by using the Azure Backup service.

Azure Disk Encryption för virtuella datorer för Windows och Linux innehåller:Azure Disk Encryption for VMs for Windows and Linux includes:

Anteckning

Det finns ingen ytterligare avgift för att kryptera Virtuella diskar med Azure Disk Encryption.There's no additional charge to encrypt VM disks with Azure Disk Encryption. Standard prissättning för Key Vault gäller för nyckelvalvet som används för att lagra krypteringsnycklarna.Standard Key Vault pricing applies to the key vault that's used to store the encryption keys.

Arbetsflöde för krypteringEncryption workflow

Om du vill aktivera diskkryptering för Windows och Linux-datorer, gör du följande:To enable disk encryption for Windows and Linux VMs, do the following steps:

  1. Välj för att aktivera diskkryptering via Azure Disk Encryption Resource Manager-mallen, PowerShell-cmdletar eller Azure CLI och anger önskad krypteringskonfiguration.Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • Ladda upp den krypterade virtuella Hårddisken till ditt lagringskonto och kryptering nyckelmaterial till ditt nyckelvalv för scenariot kund-krypterade virtuella Hårddisken.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Ange sedan krypterings konfigurationen för att aktivera kryptering på en ny virtuell dator.Then, provide the encryption configuration to enable encryption on a new VM.
    • För nya virtuella datorer som skapas från Galleri avbildningar som stöds och befintliga virtuella datorer som redan körs i Azure, ange krypterings konfigurationen för att aktivera kryptering på den virtuella datorn.For new VMs that are created from supported gallery images, and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  2. Bevilja åtkomst till Azure-plattformen för att läsa krypterings nyckel materialet (BitLocker-krypterings nycklar för Windows-system och lösen fras för Linux) från ditt nyckel valv för att aktivera kryptering på den virtuella datorn.Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  3. Azure uppdaterar tjänstmodellen virtuell dator med kryptering och konfiguration av key vault och ställer in den krypterade virtuella datorn.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

    Microsoft Antimalware i Azure

Arbetsflöde för dekrypteringDecryption workflow

Du inaktiverar disk kryptering för virtuella datorer genom att utföra följande steg på hög nivå:To disable disk encryption for VMs, complete the following high-level steps:

  1. Välj att inaktivera kryptering (dekryptering) på en virtuell dator som körs i Azure och ange dekrypterings konfigurationen.Choose to disable encryption (decryption) on a running VM in Azure and specify the decryption configuration. Du kan inaktivera via Azure Disk Encryption Resource Manager-mallen, PowerShell-cmdletar eller Azure CLI.You can disable via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI.

    Det här steget inaktiverar kryptering av operativ systemet eller data volymen eller både och på den virtuella Windows-datorn som körs.This step disables encryption of the OS or the data volume or both on the running Windows VM. Som vi nämnde i föregående avsnitt, stöds inaktivering av OS-diskkryptering för Linux inte.As mentioned in the previous section, disabling OS disk encryption for Linux isn't supported. Steg för dekryptering tillåts endast för enheter på virtuella Linux-datorer så länge som OS-disken inte är krypterad.The decryption step is allowed only for data drives on Linux VMs as long as the OS disk isn't encrypted.

  2. Azure uppdaterar VM-tjänstemodellen och den virtuella datorn markeras som dekrypterad.Azure updates the VM service model and the VM is marked as decrypted. Innehållet i den virtuella datorn är inte längre krypterade i vila.The contents of the VM are no longer encrypted at rest.

    Anteckning

    Åtgärden inaktivera kryptering tar inte bort nyckelvalvet och nyckelmaterial för kryptering (BitLocker-krypteringsnycklar för Windows-System) eller en lösenfras för Linux.The disable encryption operation doesn't delete your key vault and the encryption key material (BitLocker encryption keys for Windows systems or Passphrase for Linux).

    Inaktivering av OS-diskkryptering för Linux stöds inte.Disabling OS disk encryption for Linux isn't supported. Steg för dekryptering tillåts endast för enheter på virtuella Linux-datorer.The decryption step is allowed only for data drives on Linux VMs.

    Inaktivera data-diskkryptering för Linux stöds inte om den OS-enheten är krypterad.Disabling data disk encryption for Linux isn't supported if the OS drive is encrypted.

Kryptering arbetsflöde (tidigare version)Encryption workflow (previous release)

Den nya versionen av Azure Disk Encryption eliminerar kravet på att tillhandahålla en Azure Active Directory (Azure AD) application parameter om du vill aktivera VM-diskkryptering.The new release of Azure Disk Encryption eliminates the requirement to provide an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. Med den nya versionen kan måste du inte längre ange en Azure AD-autentiseringsuppgifter under steget Aktivera kryptering.With the new release, you're no longer required to provide an Azure AD credential during the enable encryption step. Alla nya virtuella datorer måste vara krypterat utan parametrar för Azure AD-program när du använder den nya versionen.All new VMs must be encrypted without the Azure AD application parameters when you use the new release. Virtuella datorer som redan har krypterats med Azure AD-program parametrar stöds fortfarande och bör fortsätta att underhållas med Azure AD-syntax.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the Azure AD syntax. Om du vill aktivera diskkryptering för Windows och Linux-datorer (tidigare version), gör du följande:To enable disk encryption for Windows and Linux VMs (previous release), do the following steps:

  1. Välj ett scenario för kryptering från de scenarier som beskrivs i den krypteringssituationer avsnittet.Choose an encryption scenario from the scenarios listed in the Encryption scenarios section.

  2. Välj för att aktivera diskkryptering via Azure Disk Encryption Resource Manager-mallen, PowerShell-cmdletar eller Azure CLI och anger önskad krypteringskonfiguration.Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • Ladda upp den krypterade virtuella Hårddisken till ditt lagringskonto och kryptering nyckelmaterial till ditt nyckelvalv för scenariot kund-krypterade virtuella Hårddisken.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Ange sedan krypterings konfigurationen för att aktivera kryptering på en ny virtuell dator.Then, provide the encryption configuration to enable encryption on a new VM.
    • För nya virtuella datorer som skapas från Marketplace och befintliga virtuella datorer som redan körs i Azure anger du krypterings konfigurationen för att aktivera kryptering på den virtuella datorn.For new VMs that are created from the Marketplace and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  3. Bevilja åtkomst till Azure-plattformen för att läsa krypterings nyckel materialet (BitLocker-krypterings nycklar för Windows-system och lösen fras för Linux) från ditt nyckel valv för att aktivera kryptering på den virtuella datorn.Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  4. Ange Azure AD-identitet för programmet för att skriva krypteringsnyckeln material till ditt nyckelvalv.Provide the Azure AD application identity to write the encryption key material to your key vault. Det här steget möjliggör kryptering på den virtuella datorn för de scenarier som anges i steg 2.This step enables encryption on the VM for the scenarios mentioned in step 2.

  5. Azure uppdaterar tjänstmodellen virtuell dator med kryptering och konfiguration av key vault och ställer in den krypterade virtuella datorn.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

TerminologiTerminology

I följande tabell definieras några vanliga termer som används i dokumentationen för Azure Disk Encryption:The following table defines some of the common terms used in Azure disk encryption documentation:

TerminologiTerminology DefinitionDefinition
Azure ADAzure AD En Azure AD används för att autentisera, lagra och hämta hemligheter från key vault.An Azure AD account is used to authenticate, store, and retrieve secrets from a key vault.
Azure Key VaultAzure Key Vault Key Vault är en kryptografisk, key management-tjänst som har baserat på FIPS Federal Information Processing Standards () validerade och maskinvarubaserade säkerhetsmoduler.Key Vault is a cryptographic, key management service that's based on Federal Information Processing Standards (FIPS) validated hardware security modules. Dessa standarder bidra till att skydda dina kryptografiska nycklar och känsliga hemligheter.These standards help to safeguard your cryptographic keys and sensitive secrets. Mer information finns i den Azure Key Vault dokumentation.For more information, see the Azure Key Vault documentation.
BitLockerBitLocker BitLocker är en bransch känd Windows Volume Encryption-teknik som används för att aktivera disk kryptering på virtuella Windows-datorer.BitLocker is an industry-recognized Windows volume encryption technology that's used to enable disk encryption on Windows VMs.
BEKBEK BitLocker-krypteringsnycklar (BEK) används för att kryptera startvolymen för Operativsystemet och datavolymer.BitLocker encryption keys (BEK) are used to encrypt the OS boot volume and data volumes. BEKs skyddas som hemligheter i key vault.BEKs are safeguarded in a key vault as secrets.
Azure CLIAzure CLI Azure CLI är optimerad för att hantera och administrera Azure-resurser från kommandoraden.The Azure CLI is optimized for managing and administering Azure resources from the command line.
DM-CryptDM-Crypt Dm-crypt är det Linux-baserade, transparenta disk krypterings systemet som används för att aktivera disk kryptering på virtuella Linux-datorer.DM-Crypt is the Linux-based, transparent disk-encryption subsystem that's used to enable disk encryption on Linux VMs.
Nyckel krypterings nyckel (KEK)Key encryption key (KEK) Den asymmetriska nyckeln (RSA 2048) som du kan använda för att skydda eller figursätta hemligheten.The asymmetric key (RSA 2048) that you can use to protect or wrap the secret. Du kan ange en maskinvarusäkerhetsmodul (HSM)-skyddade nyckel eller programvaruskyddad nyckel.You can provide a hardware security module (HSM)-protected key or software-protected key. Mer information finns i den Azure Key Vault dokumentation.For more information, see the Azure Key Vault documentation.
PowerShell-cmdletarPowerShell cmdlets Mer information finns i Azure PowerShell-cmdlets.For more information, see Azure PowerShell cmdlets.

Nästa stegNext steps

Se Azure Disk Encryption förutsättningarför att komma igång.To get started, see the Azure Disk Encryption prerequisites.