Kryptering på serversidan av Azure Disk Storage

  • Artikel
  • 9 minuter för att läsa

Gäller för: ✔️ Virtuella Linux-datorer:heavy_check_mark: Windows VM:heavy_check_mark: Flexibla skalningsuppsättningar:heavy_check_mark: Enhetliga skalningsuppsättningar

De flesta Azure-hanterade diskar krypteras med Azure Storage kryptering, som använder kryptering på serversidan (SSE) för att skydda dina data och för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Storage krypterar automatiskt data som lagras på Azure-hanterade diskar (operativsystem och datadiskar) i vila när de sparas i molnet. Diskar med kryptering på värden aktiverad krypteras dock inte via Azure Storage. För diskar med kryptering på värden aktiverad tillhandahåller den server som är värd för den virtuella datorn krypteringen för dina data och som krypterade data flödar till Azure Storage.

Data i Azure-hanterade diskar krypteras transparent med 256-bitars AES-kryptering,ett av de starkaste blockchiffreringarna som är tillgängliga och är FIPS 140-2-kompatibel. Mer information om de kryptografiska modulerna som underliggande Azure-hanterade diskar finns i Kryptografi-API: Nästa generation

Azure Storage kryptering påverkar inte prestanda för hanterade diskar och det finns ingen extra kostnad. Mer information om hur Azure Storage kryptering finns i Azure Storage kryptering.

Anteckning

Temporära diskar hanteras inte och krypteras inte av SSE, såvida du inte aktiverar kryptering på värden.

Om hantering av krypteringsnycklar

Du kan förlita dig på plattformshanterade nycklar för kryptering av din hanterade disk, eller så kan du hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för kryptering och dekryptering av alla data på hanterade diskar.

I följande avsnitt beskrivs vart och ett av alternativen för nyckelhantering i detalj.

Plattformsbaserade nycklar

Som standard använder hanterade diskar plattformsbaserade krypteringsnycklar. Alla hanterade diskar, ögonblicksbilder, avbildningar och data som skrivs till befintliga hanterade diskar krypteras automatiskt i vila med plattform hanterade nycklar.

Kundhanterade nycklar

Du kan välja att hantera kryptering på nivån för varje hanterad disk med dina egna nycklar. Kryptering på serversidan för hanterade diskar med kund hanterade nycklar ger en integrerad upplevelse med Azure Key Vault. Du kan antingen importera dina RSA-nycklar till Key Vault eller generera nya RSA-nycklar i Azure Key Vault.

Azure Managed Disks hanterar kryptering och dekryptering på ett helt transparent sätt med hjälp av kuvertkryptering. Den krypterar data med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med hjälp av dina nycklar. Tjänsten Storage genererar datakrypteringsnycklar och krypterar dem med kund hanterade nycklar med HJÄLP av RSA-kryptering. Med kuvertkrypteringen kan du rotera (ändra) dina nycklar regelbundet enligt dina efterlevnadsprinciper utan att påverka dina virtuella datorer. När du roterar dina nycklar Storage tjänsten datakrypteringsnycklarna med de nya kund hanterade nycklarna.

Fullständig kontroll över dina nycklar

Du måste bevilja åtkomst till hanterade diskar i Key Vault att använda dina nycklar för kryptering och dekryptering av DEK. På så sätt får du fullständig kontroll över dina data och nycklar. Du kan inaktivera dina nycklar eller återkalla åtkomsten till hanterade diskar när som helst. Du kan också granska användningen av krypteringsnyckeln med Azure Key Vault för att säkerställa att endast hanterade diskar eller andra betrodda Azure-tjänster får åtkomst till dina nycklar.

När du inaktiverar eller tar bort din nyckel stängs alla virtuella datorer med diskar som använder den nyckeln av automatiskt. Därefter kan de virtuella datorerna inte användas om inte nyckeln aktiveras igen eller om du tilldelar en ny nyckel.

Följande diagram visar hur hanterade diskar använder Azure Active Directory och Azure Key Vault för att göra begäranden med hjälp av den kund hanterade nyckeln:

Arbetsflöde för hanterade diskar och kund hanterade nycklar. En administratör skapar en Azure Key Vault, skapar sedan en diskkrypteringsuppsättning och ställer in diskkrypteringsuppsättningen. Uppsättningen är associerad med en virtuell dator, vilket gör att disken kan använda Azure AD för att autentisera

I följande lista förklaras diagrammet i detalj:

  1. En Azure Key Vault-administratör skapar nyckelvalvsresurser.
  2. Nyckelvalvsadministratören importerar antingen sina RSA-nycklar för att Key Vault generera nya RSA-nycklar i Key Vault.
  3. Administratören skapar en instans av diskkrypteringsuppsättningsresursen och anger ett Azure Key Vault-ID och en nyckel-URL. Diskkrypteringsuppsättning är en ny resurs som introducerades för att förenkla nyckelhanteringen för hanterade diskar.
  4. När en diskkrypteringsuppsättning skapas skapas en system tilldelad hanterad identitet i Azure Active Directory (AD) och associeras med diskkrypteringsuppsättningen.
  5. Azure Key Vault-administratören ger sedan den hanterade identiteten behörighet att utföra åtgärder i nyckelvalvet.
  6. En VM-användare skapar diskar genom att associera dem med diskkrypteringsuppsättningen. Den virtuella datoranvändaren kan också aktivera kryptering på serversidan med kund hanterade nycklar för befintliga resurser genom att koppla dem till diskkrypteringsuppsättningen.
  7. Hanterade diskar använder den hanterade identiteten för att skicka begäranden till Azure Key Vault.
  8. Vid läsning eller skrivning av data skickar hanterade diskar begäranden till Azure Key Vault för att kryptera (omsluta) och dekryptera (packa upp) datakrypteringsnyckeln för att utföra kryptering och dekryptering av data.

Information om hur du återkallar åtkomsten till kund hanterade nycklar finns i Azure Key Vault PowerShell och Azure Key Vault CLI. När åtkomsten återkallas blockeras åtkomsten till alla data i lagringskontot eftersom krypteringsnyckeln inte kan nås av Azure Storage.

Automatisk nyckelrotation av kund hanterade nycklar

Du kan välja att aktivera automatisk nyckelrotation till den senaste nyckelversionen. En disk refererar till en nyckel via dess diskkrypteringsuppsättning. När du aktiverar automatisk rotation för en diskkrypteringsuppsättning uppdaterar systemet automatiskt alla hanterade diskar, ögonblicksbilder och avbildningar som refererar till diskkrypteringsuppsättningen för att använda den nya versionen av nyckeln inom en timme. Information om hur du aktiverar kund hanterade nycklar med automatisk nyckelrotation finns i Konfigurera en Azure Key Vault och DiskEncryptionSet med automatisk nyckelrotation.

Begränsningar

För tillfället har kund hanterade nycklar följande begränsningar:

  • Om den här funktionen är aktiverad för disken kan du inte inaktivera den. Om du behöver komma runt detta måste du kopiera alla data med antingen Azure PowerShell-modulen eller Azure CLItill en helt annan hanterad disk som inte använder kund hanterade nycklar.
  • Endast program varu-och HSM RSA-nycklar med storlekar 2 048-bitar, 3 072-bitars och 4 096-bit stöds, inga andra nycklar eller storlekar.
    • HSM -nycklar kräver Premium -nivån i Azure Key Vaults.
  • Diskar som har skapats från anpassade avbildningar som krypteras med kryptering på Server sidan och Kundhanterade nycklar måste krypteras med samma Kundhanterade nycklar och måste finnas i samma prenumeration.
  • Ögonblicks bilder som har skapats från diskar som är krypterade med kryptering på Server sidan och Kundhanterade nycklar måste vara krypterade med samma Kundhanterade nycklar.
  • Alla resurser som är relaterade till dina Kundhanterade nycklar (Azure Key Vaults, disk krypterings uppsättningar, virtuella datorer, diskar och ögonblicks bilder) måste finnas i samma prenumeration och region.
  • Diskar, ögonblicks bilder och bilder som är krypterade med Kundhanterade nycklar kan inte flyttas till en annan resurs grupp och prenumeration.
  • Hanterade diskar som för närvarande eller tidigare krypteras med Azure Disk Encryption kan inte krypteras med Kundhanterade nycklar.
  • Det går bara att skapa upp till 1000 disk krypterings uppsättningar per region per prenumeration.
  • Information om hur du använder Kundhanterade nycklar med delade avbildnings gallerier finns i för hands version: Använd Kundhanterade nycklar för att kryptera avbildningar.

Regioner som stöds

Kund hanterade nycklar är tillgängliga i alla regioner som hanterade diskar är tillgängliga.

Viktigt

Kund hanterade nycklar är beroende av hanterade identiteter för Azure-resurser, en funktion i Azure Active Directory (Azure AD). När du konfigurerar kund hanterade nycklar tilldelas dina resurser automatiskt en hanterad identitet. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Azure AD-katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kund hanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Azure AD-kataloger.

Om du vill aktivera kund hanterade nycklar för hanterade diskar kan du läsa våra artiklar om hur du aktiverar det med antingen Azure PowerShell-modulen, Azure CLI eller Azure Portal.

Kryptering på värden – Kryptering från slutpunkt till slutpunkt för dina VM-data

När du aktiverar kryptering på värden startar krypteringen på själva VM-värden, den Azure-server som den virtuella datorn har allokerats till. Data för den tillfälliga disken och OS/datadiskcacheminnen lagras på den virtuella datorvärden. När kryptering har möjliggörs på värden krypteras alla dessa data i vila och flöden krypteras till Storage tjänsten, där de bevaras. Kryptering på värden krypterar i princip dina data från slutpunkt till slutpunkt. Kryptering på värden använder inte den virtuella datorns PROCESSOR och påverkar inte den virtuella datorns prestanda.

Temporära diskar och tillfälliga OS-diskar krypteras i vila med plattformsbaserade nycklar när du aktiverar kryptering från slutpunkt till slutpunkt. Operativsystemet och datadiskcacheminnen krypteras i vila med antingen kund-hanterade eller plattformsbaserade nycklar, beroende på vilken diskkrypteringstyp som valts. Om en disk till exempel krypteras med kund hanterade nycklar krypteras cacheminnet för disken med kund hanterade nycklar, och om en disk krypteras med plattform hanterade nycklar krypteras cacheminnet för disken med plattform hanterade nycklar.

Begränsningar

  • Stöder inte ultradiskar.
  • Kan inte aktiveras om Azure Disk Encryption (kryptering av gäst-VM med bitlocker/DM-Crypt) är aktiverat på dina virtuella datorer/VM-skalningsuppsättningar.
  • Azure Disk Encryption kan inte aktiveras på diskar som har kryptering på värden aktiverad.
  • Krypteringen kan aktiveras på en befintlig VM-skalningsuppsättning. Men endast nya virtuella datorer som har skapats efter att krypteringen har aktiveras krypteras automatiskt.
  • Befintliga virtuella datorer måste friplaceras och omallokeras för att krypteras.
  • Stöder tillfälliga OS-diskar, men endast med plattformsbaserade nycklar.

VM-storlekar som stöds

Den fullständiga listan över VM-storlekar som stöds kan hämtas programmatiskt. Information om hur du hämtar dem programmatiskt finns i avsnittet Hitta VM-storlekar som stöds i antingen Azure PowerShell modulen eller Azure CLI-artiklarna.

Om du vill aktivera kryptering från slutpunkt till slutpunkt med kryptering på värden kan du läsa våra artiklar om hur du aktiverar det med antingen Azure PowerShell-modulen, Azure CLI eller Azure Portal.

Dubbel kryptering i vila

Kunder med hög säkerhetskänsliga problem som är kopplade till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan nu välja ytterligare ett lager med kryptering med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivå med plattforms hanterade krypteringsnycklar. Det här nya lagret kan tillämpas på bestående operativsystem och datadiskar, ögonblicksbilder och avbildningar, som alla krypteras i vila med dubbel kryptering.

Regioner som stöds

Dubbel kryptering är tillgängligt i alla regioner som hanterade diskar är tillgängliga.

Om du vill aktivera dubbel kryptering i vila för hanterade diskar kan du läsa våra artiklar om hur du aktiverar det med antingen Azure PowerShell-modulen, Azure CLI eller Azure Portal.

Kryptering på serversidan jämfört med Azure-diskkryptering

Azure Disk Encryption använder antingen DM-Crypt-funktionen i Linux eller BitLocker-funktionen i Windows för att kryptera hanterade diskar med kund hanterade nycklar på den virtuella gästdatorn. Kryptering på serversidan med kund hanterade nycklar förbättrar ADE genom att göra det möjligt för dig att använda alla typer av operativsystem och avbildningar för dina virtuella datorer genom att kryptera data i Storage tjänsten.

Viktigt

Kund hanterade nycklar är beroende av hanterade identiteter för Azure-resurser, en funktion i Azure Active Directory (Azure AD). När du konfigurerar kund hanterade nycklar tilldelas dina resurser automatiskt en hanterad identitet. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Azure AD-katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kund hanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Azure AD-kataloger.

Nästa steg