Kryptering på serversidan av Azure Disk Storage

Gäller för: ✔️ Virtuella Linux-datorer ✔️ Windows virtuella datorer ✔️ – flexibla skalningsuppsättningar ✔️ – enhetliga skalningsuppsättningar

De flesta Hanterade Azure-diskar krypteras med Azure Storage kryptering, som använder kryptering på serversidan (SSE) för att skydda dina data och för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Storage kryptering krypterar automatiskt data som lagras på Azure-hanterade diskar (OS och datadiskar) i vila som standard när de sparas i molnet. Diskar med kryptering på värden är dock inte krypterade via Azure Storage. För diskar med kryptering på värden aktiverat tillhandahåller servern som är värd för den virtuella datorn krypteringen för dina data och krypterade data flödar till Azure Storage.

Data i Azure-hanterade diskar krypteras transparent med 256-bitars AES-kryptering, en av de starkaste block chiffer som är tillgängliga och är FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som underliggande Azure-hanterade diskar finns i Kryptografi-API: Nästa generation

Azure Storage kryptering påverkar inte prestandan för hanterade diskar och det tillkommer ingen extra kostnad. Mer information om Azure Storage kryptering finns i Azure Storage kryptering.

Anteckning

Tillfälliga diskar är inte hanterade diskar och krypteras inte av SSE, såvida du inte aktiverar kryptering på värden.

Om hantering av krypteringsnycklar

Du kan förlita dig på plattformshanterade nycklar för kryptering av din hanterade disk, eller så kan du hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med egna nycklar kan du ange en kundhanterad nyckel som ska användas för kryptering och dekryptering av alla data på hanterade diskar.

I följande avsnitt beskrivs vart och ett av alternativen för nyckelhantering i detalj.

Plattformshanterade nycklar

Som standard använder hanterade diskar plattformshanterade krypteringsnycklar. Alla hanterade diskar, ögonblicksbilder, avbildningar och data som skrivs till befintliga hanterade diskar krypteras automatiskt i vila med plattformshanterade nycklar.

Kundhanterade nycklar

Du kan välja att hantera kryptering på nivån för varje hanterad disk med dina egna nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller.

Du måste använda något av följande Azure-nyckelarkiv för att lagra dina kundhanterade nycklar:

Du kan antingen importera dina RSA-nycklar till din Key Vault eller generera nya RSA-nycklar i Azure Key Vault. Azure-hanterade diskar hanterar kryptering och dekryptering på ett helt transparent sätt med hjälp av kuvertkryptering. Den krypterar data med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med hjälp av dina nycklar. Storage-tjänsten genererar datakrypteringsnycklar och krypterar dem med kundhanterade nycklar med RSA-kryptering. Med kuvertkryptering kan du rotera (ändra) dina nycklar regelbundet enligt dina efterlevnadsprinciper utan att påverka dina virtuella datorer. När du roterar dina nycklar krypterar Storage-tjänsten om datakrypteringsnycklarna med de nya kundhanterade nycklarna.

Managed Disks och nyckelvalvet eller hanterad HSM måste finnas i samma region och i samma Azure Active Directory klientorganisation (Azure AD), men de kan finnas i olika prenumerationer.

Fullständig kontroll över dina nycklar

Du måste bevilja åtkomst till hanterade diskar i din Key Vault eller hanterad HSM för att använda dina nycklar för kryptering och dekryptering av DEK. På så sätt kan du få fullständig kontroll över dina data och nycklar. Du kan inaktivera dina nycklar eller återkalla åtkomsten till hanterade diskar när som helst. Du kan också granska krypteringsnyckelanvändningen med Azure Key Vault övervakning för att säkerställa att endast hanterade diskar eller andra betrodda Azure-tjänster har åtkomst till dina nycklar.

När du inaktiverar eller tar bort din nyckel stängs alla virtuella datorer med diskar som använder den nyckeln automatiskt av. Därefter kan de virtuella datorerna inte användas om inte nyckeln är aktiverad igen eller om du tilldelar en ny nyckel.

Följande diagram visar hur hanterade diskar använder Azure Active Directory och Azure Key Vault för att göra begäranden med hjälp av den kundhanterade nyckeln:

Managed disk and customer-managed keys workflow. An admin creates an Azure Key Vault, then creates a disk encryption set, and sets up the disk encryption set. The set is associated to a VM, which allows the disk to make use of Azure AD to authenticate

I följande lista förklaras diagrammet mer detaljerat:

  1. En Azure Key Vault-administratör skapar nyckelvalvsresurser.
  2. Nyckelvalvsadministratören importerar antingen sina RSA-nycklar för att Key Vault eller generera nya RSA-nycklar i Key Vault.
  3. Administratören skapar en instans av diskkrypteringsuppsättningsresursen och anger ett Azure Key Vault-ID och en nyckel-URL. Diskkrypteringsuppsättningen är en ny resurs som introducerades för att förenkla nyckelhanteringen för hanterade diskar.
  4. När en diskkrypteringsuppsättning skapas skapas en systemtilldelad hanterad identitet i Azure Active Directory (AD) och associeras med diskkrypteringsuppsättningen.
  5. Azure Key Vault-administratören ger sedan den hanterade identiteten behörighet att utföra åtgärder i nyckelvalvet.
  6. En vm-användare skapar diskar genom att associera dem med diskkrypteringsuppsättningen. Vm-användaren kan också aktivera kryptering på serversidan med kundhanterade nycklar för befintliga resurser genom att associera dem med diskkrypteringsuppsättningen.
  7. Hanterade diskar använder den hanterade identiteten för att skicka begäranden till Azure Key Vault.
  8. För att läsa eller skriva data skickar hanterade diskar begäranden till Azure Key Vault för att kryptera (omsluta) och dekryptera (packa upp) datakrypteringsnyckeln för att utföra kryptering och dekryptering av data.

Information om hur du återkallar åtkomsten till kundhanterade nycklar finns i Azure Key Vault PowerShell och Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data i lagringskontot eftersom krypteringsnyckeln inte kan nås av Azure Storage.

Automatisk nyckelrotation av kundhanterade nycklar

Du kan välja att aktivera automatisk nyckelrotation till den senaste nyckelversionen. En disk refererar till en nyckel via dess diskkrypteringsuppsättning. När du aktiverar automatisk rotation för en diskkrypteringsuppsättning uppdaterar systemet automatiskt alla hanterade diskar, ögonblicksbilder och avbildningar som refererar till diskkrypteringsuppsättningen så att den nya versionen av nyckeln används inom en timme. Information om hur du aktiverar kundhanterade nycklar med automatisk nyckelrotation finns i Konfigurera en Azure Key Vault och DiskEncryptionSet med automatisk nyckelrotation.

Begränsningar

För tillfället har kundhanterade nycklar följande begränsningar:

  • Om den här funktionen är aktiverad för disken kan du inte inaktivera den. Om du behöver kringgå detta måste du kopiera alla data med hjälp av antingen Azure PowerShell-modulen eller Azure CLI, till en helt annan hanterad disk som inte använder kundhanterade nycklar.
  • Endast programvara och HSM RSA-nycklar med storlekarna 2 048-bitars, 3 072- och 4 096-bitars stöds, inga andra nycklar eller storlekar.
    • HSM-nycklar kräver premiumnivån för Azure Key Vaults.
  • Diskar som skapas från anpassade avbildningar som krypteras med kryptering på serversidan och kundhanterade nycklar måste krypteras med samma kundhanterade nycklar och måste finnas i samma prenumeration.
  • Ögonblicksbilder som skapas från diskar som krypteras med kryptering på serversidan och kundhanterade nycklar måste krypteras med samma kundhanterade nycklar.
  • De flesta resurser som är relaterade till dina kundhanterade nycklar (diskkrypteringsuppsättningar, virtuella datorer, diskar och ögonblicksbilder) måste finnas i samma prenumeration och region.
    • Azure Key Vaults kan användas från en annan prenumeration men måste finnas i samma region och klientorganisation som diskkrypteringsuppsättningen.
  • Diskar, ögonblicksbilder och avbildningar som krypterats med kundhanterade nycklar kan inte flyttas till en annan resursgrupp och prenumeration.
  • Hanterade diskar som för närvarande eller tidigare har krypterats med Azure Disk Encryption kan inte krypteras med kundhanterade nycklar.
  • Det går bara att skapa upp till 1 000 diskkrypteringsuppsättningar per region per prenumeration.
  • Information om hur du använder kundhanterade nycklar med delade bildgallerier finns i Förhandsversion: Använda kundhanterade nycklar för kryptering av bilder.

Regioner som stöds

Kundhanterade nycklar är tillgängliga i alla regioner där hanterade diskar är tillgängliga.

Viktigt

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Azure Active Directory (Azure AD). När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser under försättsbladet. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Azure AD-katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Azure AD-kataloger.

Om du vill aktivera kundhanterade nycklar för hanterade diskar kan du läsa våra artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure Portal.

Kryptering på värden – Kryptering från slutpunkt till slutpunkt för dina VM-data

När du aktiverar kryptering på värden startar krypteringen på själva vm-värden, den Azure-server som den virtuella datorn allokeras till. Data för dina tillfälliga disk- och OS/datadiskcacheminnen lagras på den virtuella datorvärden. När du har aktiverat kryptering på värden krypteras alla dessa data i vila och flöden krypteras till Storage-tjänsten, där de sparas. Kryptering på värden krypterar i princip dina data från slutpunkt till slutpunkt. Kryptering på värden använder inte den virtuella datorns PROCESSOR och påverkar inte den virtuella datorns prestanda.

Tillfälliga diskar och tillfälliga OS-diskar krypteras i vila med plattformshanterade nycklar när du aktiverar kryptering från slutpunkt till slutpunkt. Cacheminnen för operativsystem och datadiskar krypteras i vila med antingen kundhanterade eller plattformshanterade nycklar, beroende på den valda diskkrypteringstypen. Om en disk till exempel krypteras med kundhanterade nycklar krypteras cachen för disken med kundhanterade nycklar, och om en disk krypteras med plattformshanterade nycklar krypteras cachen för disken med plattformshanterade nycklar.

Begränsningar

  • Stöder inte ultradiskar.
  • Det går inte att aktivera om Azure Disk Encryption (kryptering av gäst-VM med bitlocker/DM-Crypt) är aktiverat på dina virtuella datorer/VM-skalningsuppsättningar.
  • Azure Disk Encryption kan inte aktiveras på diskar som har kryptering på värden aktiverat.
  • Krypteringen kan aktiveras på en befintlig VM-skalningsuppsättning. Men endast nya virtuella datorer som skapas efter aktivering av krypteringen krypteras automatiskt.
  • Befintliga virtuella datorer måste frigöras och omallokeras för att krypteras.
  • Stöder tillfälliga OS-diskar men endast med plattformshanterade nycklar.

VM-storlekar som stöds

En fullständig lista över VM-storlekar som stöds kan hämtas programmatiskt. Information om hur du hämtar dem programmatiskt finns i avsnittet hitta VM-storlekar som stöds i artiklarna om Azure PowerShell-modulen eller Azure CLI.

Information om hur du aktiverar kryptering från slutpunkt till slutpunkt med kryptering på värden finns i våra artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure Portal.

Dubbel kryptering i vila

Kunder med hög säkerhet som oroar sig för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan nu välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/ett annat krypteringsläge på infrastrukturlagret med hjälp av plattformshanterade krypteringsnycklar. Det här nya lagret kan tillämpas på bestående operativsystem och datadiskar, ögonblicksbilder och avbildningar, som alla krypteras i vila med dubbel kryptering.

Regioner som stöds

Dubbel kryptering är tillgängligt i alla regioner där hanterade diskar är tillgängliga.

Om du vill aktivera dubbel kryptering i vila för hanterade diskar kan du läsa våra artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure Portal.

Kryptering på serversidan jämfört med Azure-diskkryptering

Azure Disk Encryption använder antingen DM-Crypt-funktionen i Linux eller BitLocker-funktionen i Windows för att kryptera hanterade diskar med kundhanterade nycklar på den virtuella gästdatorn. Kryptering på serversidan med kundhanterade nycklar förbättrar ADE genom att du kan använda operativsystemtyper och avbildningar för dina virtuella datorer genom att kryptera data i Storage-tjänsten.

Viktigt

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Azure Active Directory (Azure AD). När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser under försättsbladet. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Azure AD-katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Azure AD-kataloger.

Nästa steg