Azure Disk Encryption för virtuella Linux-datorer

Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️

Azure Disk Encryption hjälper till att skydda dina data så att din verksamhet uppfyller både interna och externa krav och åtaganden. Den använder DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer och är integrerad med Azure Key Vault som hjälper dig att kontrollera och hantera diskkrypteringsnycklar och hemligheter.

Azure Disk Encryption är zonmotståndskraftigt, på samma sätt som Virtual Machines. Mer information finns i Azure-tjänster som stöder Tillgänglighetszoner.

Om du använder Microsoft Defender för molnet aviseras du om du har virtuella datorer som inte är krypterade. Aviseringarna visas som hög allvarlighetsgrad och rekommendationen är att kryptera dessa virtuella datorer.

Microsoft Defender for Cloud disk encryption alert

Varning

  • Om du tidigare har använt Azure Disk Encryption med Azure AD för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn. Mer information finns i Azure Disk Encryption med Azure AD (tidigare version).
  • Vissa rekommendationer kan öka användningen av data, nätverk eller beräkningsresurser, vilket resulterar i ytterligare licens- eller prenumerationskostnader. Du måste ha en giltig aktiv Azure-prenumeration för att skapa resurser i Azure i de regioner som stöds.

Du kan lära dig grunderna i Azure Disk Encryption för Linux på bara några minuter med snabbstarten Skapa och kryptera en virtuell Linux-dator med Azure CLI eller snabbstarten Skapa och kryptera en virtuell Linux-dator med Azure PowerShell.

Virtuella datorer och operativsystem som stöds

Virtuella datorer som stöds

Virtuella Linux-datorer är tillgängliga i olika storlekar. Azure Disk Encryption stöds på virtuella datorer i generation 1 och generation 2. Azure Disk Encryption är också tillgängligt för virtuella datorer med premiumlagring.

Se Storlekar på virtuella Azure-datorer utan lokal tillfällig disk.

Azure Disk Encryption är inte heller tillgängligt på grundläggande virtuella datorer i A-serien eller på virtuella datorer som inte uppfyller dessa minimikrav på minne:

Virtuell dator Minimikrav för minne
Virtuella Linux-datorer vid endast kryptering av datavolymer 2 GB
Virtuella Linux-datorer vid kryptering av både data- och OS-volymer och där rotfilsystemanvändningen (/) är 4 GB eller mindre 8 GB
Virtuella Linux-datorer vid kryptering av både data- och OS-volymer och där rotfilsystemanvändningen (/) är större än 4 GB Rotfilsystemets användning * 2. Till exempel kräver en 16 GB rotfilsystemanvändning minst 32 GB RAM-minne

När krypteringsprocessen för OS-diskar är klar på virtuella Linux-datorer kan den virtuella datorn konfigureras att köras med mindre minne.

Fler undantag finns i Azure Disk Encryption: Scenarier som inte stöds.

Operativsystem som stöds

Azure Disk Encryption stöds i en delmängd av De Azure-godkända Linux-distributionerna, som i sig är en delmängd av alla möjliga Distributioner av Linux-servrar.

Venn Diagram of Linux server distributions that support Azure Disk Encryption

Linux-serverdistributioner som inte stöds av Azure stöder inte Azure Disk Encryption. Av dem som stöds stöder endast följande distributioner och versioner Azure Disk Encryption:

Publisher Erbjudande SKU URN Volymtyp som stöds för kryptering
Canonical Ubuntu 20.04-LTS Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 20.04-DAILY-LTS Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 20.04-LTS Gen2 Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 20.04-DAILY-LTS Gen2 Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 18.04-LTS Canonical:UbuntuServer:18.04-LTS:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 18.04 18.04-DAILY-LTS Canonical:UbuntuServer:18.04-DAILY-LTS:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 16.04 16.04-DAILY-LTS Canonical:UbuntuServer:16.04-DAILY-LTS:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 14.04.5med
Azure-finjusterad kernel uppdaterad till 4.15 eller senare
14.04.5-LTS Canonical:UbuntuServer:14.04.5-LTS:latest OPERATIVSYSTEM och datadisk
Canonical Ubuntu 14.04.5med
Azure-finjusterad kernel uppdaterad till 4.15 eller senare
14.04.5-DAILY-LTS Canonical:UbuntuServer:14.04.5-DAILY-LTS:latest OPERATIVSYSTEM och datadisk
Redhat RHEL 8.4 8,4 RedHat:RHEL:8.4:latest OPERATIVSYSTEM och datadisk (se anmärkning nedan)
Redhat RHEL 8.3 8.3 RedHat:RHEL:8.3:latest OPERATIVSYSTEM och datadisk (se anmärkning nedan)
Redhat RHEL 8-LVM 8-LVM RedHat:RHEL:8-LVM:8.2.20200905 Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 8.2 8.2 RedHat:RHEL:8.2:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 8.1 8.1 RedHat:RHEL:8.1:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7-LVM 7-LVM RedHat:RHEL:7-LVM:7.9.2020111202 Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.9 7_9 RedHat:RHEL:7_9:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.8 7,8 RedHat:RHEL:7.8:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.7 7.7 RedHat:RHEL:7.7:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.6 7.6 RedHat:RHEL:7.6:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.5 7.5 RedHat:RHEL:7.5:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.4 7,4 RedHat:RHEL:7.4:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.3 7.3 RedHat:RHEL:7.3:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 7.2 7.2 RedHat:RHEL:7.2:latest Operativsystem och datadisk (se anmärkningen nedan)
Redhat RHEL 6.8 6.8 RedHat:RHEL:6.8:latest Datadisk (se anteckningen nedan)
Redhat RHEL 6.7 6.7 RedHat:RHEL:6.7:latest Datadisk (se anteckningen nedan)
OpenLogic CentOS 8-LVM 8-LVM OpenLogic:CentOS-LVM:8-LVM:latest Operativsystem och datadisk
OpenLogic CentOS 8,4 8_4 OpenLogic:CentOS:8_4:latest Operativsystem och datadisk
OpenLogic CentOS 8,3 8_3 OpenLogic:CentOS:8_3:latest Operativsystem och datadisk
OpenLogic CentOS 8,2 8_2 OpenLogic:CentOS:8_2:latest Operativsystem och datadisk
OpenLogic CentOS 8,1 8_1 OpenLogic:CentOS:8_1:latest Operativsystem och datadisk
OpenLogic CentOS 7-LVM 7-LVM OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 Operativsystem och datadisk
OpenLogic CentOS 7,9 7_9 OpenLogic:CentOS:7_9:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7,8 7_8 OpenLogic:CentOS:7_8:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7,7 7.7 OpenLogic:CentOS:7.7:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7,6 7.6 OpenLogic:CentOS:7.6:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7.5 7.5 OpenLogic:CentOS:7.5:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7.4 7,4 OpenLogic:CentOS:7.4:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7,3 7.3 OpenLogic:CentOS:7.3:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7,2n 7.2n OpenLogic:CentOS:7.2n:latest OPERATIVSYSTEM och datadisk
OpenLogic CentOS 7,1 7.1 OpenLogic:CentOS:7.1:latest Endast datadisk
OpenLogic CentOS 7,0 7.0 OpenLogic:CentOS:7.0:latest Endast datadisk
OpenLogic CentOS 6,8 6.8 OpenLogic:CentOS:6.8:latest Endast datadisk
SUSE openSUSE 42.3 42.3 SUSE:openSUSE-Leap:42.3:latest Endast datadisk
SUSE SLES 12-SP4 12-SP4 SUSE:SLES:12-SP4:latest Endast datadisk
SUSE SLES HPC 12-SP3 12-SP3 SUSE:SLES-HPC:12-SP3:latest Endast datadisk

Anteckning

Den nya Azure Disk Encryption implementeringen stöds för RHEL OS och datadisk för RHEL7 Betala per användning-avbildningar.

ADE stöds också för RHEL Bring-Your-Own-Subscription Gold Images, men först efter att prenumerationen har registrerats. Mer information finns i Red Hat Enterprise Linux Bring-Your-Own-Subscription Gold Images i Azure

ADE-stödet för en viss erbjudandetyp sträcker sig inte längre än det slutdatum som utgivaren anger.

Den äldre ADE-lösningen (med AAD autentiseringsuppgifter) rekommenderas inte för nya virtuella datorer och är inte kompatibel med RHEL-versioner senare än RHEL 7.8.

Ytterligare vm-krav

Azure Disk Encryption kräver att dm-crypt- och vfat-modulerna finns i systemet. Om du tar bort eller inaktiverar vfat från standardavbildningen hindras systemet från att läsa nyckelvolymen och hämta nyckeln som behövs för att låsa upp diskarna vid efterföljande omstarter. Systemhärdningssteg som tar bort vfat-modulen från systemet eller framtvingar utökning av operativsystemmonteringspunkter/-mappar på dataenheter är inte kompatibla med Azure Disk Encryption.

Innan kryptering aktiveras måste de datadiskar som ska krypteras anges korrekt i /etc/fstab. Använd alternativet "nofail" när du skapar poster och välj ett beständigt blockenhetsnamn (eftersom enhetsnamn i formatet "/dev/sdX" kanske inte är associerade med samma disk över omstarter, särskilt efter kryptering. Mer information om det här beteendet finns i Felsöka ändringar av enhetsnamn för virtuella Linux-datorer).

Kontrollera att inställningarna /etc/fstab är korrekt konfigurerade för montering. Om du vill konfigurera de här inställningarna kör du kommandot mount -a eller startar om den virtuella datorn och utlöser återmonteringen på det sättet. När det är klart kontrollerar du utdata från kommandot lsblk för att kontrollera att enheten fortfarande är monterad.

  • Om filen /etc/fstab inte monterar enheten korrekt innan kryptering aktiveras kan Azure Disk Encryption inte montera den korrekt.
  • Den Azure Disk Encryption processen flyttar monteringsinformationen från /etc/fstab och till en egen konfigurationsfil som en del av krypteringsprocessen. Oroa dig inte för att posten saknas i /etc/fstab när dataenhetskryptering har slutförts.
  • Innan du påbörjar krypteringen måste du stoppa alla tjänster och processer som kan skrivas till monterade datadiskar och inaktivera dem, så att de inte startas om automatiskt efter en omstart. Dessa kan hålla filerna öppna på dessa partitioner, vilket förhindrar krypteringsproceduren att återmontera dem, vilket orsakar fel i krypteringen.
  • Efter omstarten tar det tid för Azure Disk Encryption att montera de nyligen krypterade diskarna. De kommer inte att vara tillgängliga omedelbart efter en omstart. Processen behöver tid att starta, låsa upp och sedan montera de krypterade enheterna innan de är tillgängliga för andra processer att komma åt. Den här processen kan ta mer än en minut efter omstarten beroende på systemets egenskaper.

Här är ett exempel på de kommandon som används för att montera datadiskarna och skapa nödvändiga /etc/fstab-poster:

UUID0="$(blkid -s UUID -o value /dev/sda1)"
UUID1="$(blkid -s UUID -o value /dev/sda2)"
mkdir /data0
mkdir /data1
echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
mount -a

Nätverkskrav

För att aktivera funktionen Azure Disk Encryption måste de virtuella Linux-datorerna uppfylla följande konfigurationskrav för nätverksslutpunkten:

  • För att få en token för att ansluta till ditt nyckelvalv måste den virtuella Linux-datorn kunna ansluta till en Azure Active Directory slutpunkt, [login.microsoftonline.com].
  • Om du vill skriva krypteringsnycklarna till ditt nyckelvalv måste den virtuella Linux-datorn kunna ansluta till nyckelvalvsslutpunkten.
  • Den virtuella Linux-datorn måste kunna ansluta till en Azure Storage-slutpunkt som är värd för Azure-tilläggets lagringsplats och ett Azure Storage-konto som är värd för VHD-filerna.
  • Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresserna. Mer information finns i Azure Key Vault bakom en brandvägg.

Krav för krypteringsnyckellagring

Azure Disk Encryption kräver en Azure-Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter. Nyckelvalvet och de virtuella datorerna måste finnas i samma Azure-region och prenumeration.

Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.

Terminologi

I följande tabell definieras några av de vanliga termer som används i dokumentationen för Azure-diskkryptering:

Terminologi Definition
Azure Key Vault Key Vault är en kryptografisk nyckelhanteringstjänst som baseras på FIPS-verifierade maskinvarusäkerhetsmoduler (Federal Information Processing Standards). Dessa standarder hjälper till att skydda dina kryptografiska nycklar och känsliga hemligheter. Mer information finns i Dokumentation om Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Azure CLI Azure CLI är optimerat för att hantera och administrera Azure-resurser från kommandoraden.
DM-Crypt DM-Crypt är det Linux-baserade, transparenta diskkrypteringsundersystemet som används för att aktivera diskkryptering på virtuella Linux-datorer.
Nyckelkrypteringsnyckel (KEK) Den asymmetriska nyckeln (RSA 2048) som du kan använda för att skydda eller omsluta hemligheten. Du kan tillhandahålla en maskinvarusäkerhetsmodul (HSM)-skyddad nyckel eller programvaruskyddad nyckel. Mer information finns i Dokumentation om Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
PowerShell-cmdletar Mer information finns i Azure PowerShell cmdletar.

Nästa steg