Azure Disk Encryption för virtuella Linux-datorer
Gäller för: ✔️ Virtuella Linux-datorer:heavy_check_mark: Flexibla skalningsuppsättningar
Azure Disk Encryption hjälper till att skydda dina data så att din verksamhet uppfyller både interna och externa krav och åtaganden. Den använder FUNKTIONEN DM-Crypt i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer (VM) och är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklarna och hemligheterna.
Azure Disk Encryption är zontålig, på samma sätt som Virtual Machines. Mer information finns i Azure-tjänster som stöder Tillgänglighetszoner.
Om du använder Microsoft Defender förmolnet får du en avisering om du har virtuella datorer som inte är krypterade. Aviseringarna visar hög allvarlighetsgrad och rekommendationen är att kryptera de här virtuella datorerna.
Varning
- Om du tidigare har använt Azure Disk Encryption Azure AD för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn. Se Azure Disk Encryption med Azure AD (tidigare version) för mer information.
- Vissa rekommendationer kan öka användningen av data-, nätverks- eller beräkningsresurser, vilket resulterar i ytterligare licens- eller prenumerationskostnader. Du måste ha en giltig aktiv Azure-prenumeration för att kunna skapa resurser i Azure i de regioner som stöds.
Du kan lära dig grunderna i Azure Disk Encryption för Linux på bara några minuter med snabbstarten Skapa och kryptera en virtuell Linux-dator med Azure CLI eller snabbstarten Skapa och kryptera en virtuell Linux-dator med Azure PowerShell.
Virtuella datorer och operativsystem som stöds
Virtuella datorer som stöds
Virtuella Linux-datorer är tillgängliga i olika storlekar. Azure Disk Encryption stöds på virtuella datorer i generation 1 och generation 2. Azure Disk Encryption är också tillgängligt för virtuella datorer med Premium Storage.
Se Storlekar på virtuella Azure-datorer utan lokal tillfällig disk.
Azure Disk Encryption är inte heller tillgängligt på virtuella datorer i Basic-, A-serieneller på virtuella datorer som inte uppfyller dessa minimikrav för minne:
| Virtuell dator | Minimikrav på minne |
|---|---|
| Virtuella Linux-datorer när du endast krypterar datavolymer | 2 GB |
| Virtuella Linux-datorer vid kryptering av både data- och OS-volymer, och där användningen av rotfilsystemet (/) är 4 GB eller mindre | 8 GB |
| Virtuella Linux-datorer vid kryptering av både data- och OS-volymer, och där användningen av rotfilsystemet (/) är större än 4 GB | Rotfilsystemets användning * 2. Till exempel kräver en 16 GB användning av rotfilsystemet minst 32 GB RAM-minne |
När os-diskkrypteringsprocessen är klar på virtuella Linux-datorer kan den virtuella datorn konfigureras för att köras med mindre minne.
Fler undantag finns i Azure Disk Encryption: Scenarier som inte stöds.
Operativsystem som stöds
Azure Disk Encryption stöds på en delmängd av de Azure-godkända Linux-distributionerna, som i sig är en delmängd av alla möjliga distributioner för Linux-servrar.
Linux-serverdistributioner som inte stöds av Azure stöder inte Azure Disk Encryption; av de som stöds stöds endast följande distributioner och versioner Azure Disk Encryption:
| Publisher | Erbjudande | SKU | URN | Volymtyp som stöds för kryptering |
|---|---|---|---|---|
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | Operativsystem och datadisk |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | Operativsystem och datadisk |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | Operativsystem och datadisk |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | Operativsystem och datadisk |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Operativsystem och datadisk |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Operativsystem och datadisk |
| Canonical | Ubuntu 16.04 | 16.04-DAILY-LTS | Canonical:UbuntuServer:16.04-DAILY-LTS:latest | Operativsystem och datadisk |
| Canonical | Ubuntu 14.04.5med Azure-finjusterad kernel uppdaterad till 4.15 eller senare | 14.04.5-LTS | Canonical:UbuntuServer:14.04.5-LTS:latest | Operativsystem och datadisk |
| Canonical | Ubuntu 14.04.5med Azure-finjusterad kernel uppdaterad till 4.15 eller senare | 14.04.5-DAILY-LTS | Canonical:UbuntuServer:14.04.5-DAILY-LTS:latest | Operativsystem och datadisk |
| Redhat | RHEL 8.4 | 8,4 | RedHat:RHEL:8.4:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 8 LVM | 8 LVM | RedHat:RHEL:8-LVM:8.2.20200905 | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7-LVM | 7 LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.8 | 7,8 | RedHat:RHEL:7.8:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.4 | 7,4 | RedHat:RHEL:7.4:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.3 | 7.3 | RedHat:RHEL:7.3:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 7.2 | 7.2 | RedHat:RHEL:7.2:latest | Operativsystem och datadisk (se anmärkning nedan) |
| Redhat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Datadisk (se anmärkning nedan) |
| Redhat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Datadisk (se anmärkning nedan) |
| OpenLogic | CentOS 8-LVM | 8 LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 8.1 | 8_1 | OpenLogic:CentOS:8_1:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7-LVM | 7 LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Operativsystem och datadisk |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.4 | 7,4 | OpenLogic:CentOS:7.4:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.3 | 7.3 | OpenLogic:CentOS:7.3:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.2n | 7.2n | OpenLogic:CentOS:7.2n:latest | Operativsystem och datadisk |
| OpenLogic | CentOS 7.1 | 7.1 | OpenLogic:CentOS:7.1:latest | Endast datadisk |
| OpenLogic | CentOS 7.0 | 7.0 | OpenLogic:CentOS:7.0:latest | Endast datadisk |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | Endast datadisk |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Endast datadisk |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Endast datadisk |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Endast datadisk |
Anteckning
Den nya Azure Disk Encryption-implementeringen stöds för RHEL OS och datadisk för RHEL7-avbildningar med betala/du-betalning.
ADE stöds också för RHEL Bring-Your-Own-Subscription Gold Images, men endast efter att prenumerationen har registrerats. Mer information finns i Red Hat Enterprise Linux Bring-Your-Own-Subscription Gold Images i Azure
ADE-stöd för en viss erbjudandetyp sträcker sig inte längre än det slutdatum som tillhandahålls av utgivaren.
Den äldre ADE-lösningen (med AAD autentiseringsuppgifter) rekommenderas inte för nya virtuella datorer och är inte kompatibel med RHEL-versioner senare än RHEL 7.8.
Ytterligare krav för virtuella datorer
Azure Disk Encryption kräver att modulerna dm-crypt och vfat finns i systemet. Om du tar bort eller inaktiverar vfat från standardavbildningen hindras systemet från att läsa in nyckelvolymen och hämta nyckeln som behövs för att låsa upp diskarna vid efterföljande omstarter. Systemhärdningssteg som tar bort vfat-modulen från systemet eller framtvingar expansion av OS-monteringspunkter/mappar på dataenheter är inte kompatibla med Azure Disk Encryption.
Innan du aktiverar kryptering måste datadiskarna som ska krypteras vara korrekt listade i /etc/fstab. Använd alternativet "nofail" när du skapar poster och välj ett beständigt blockenhetsnamn (som enhetsnamn i formatet "/dev/sdX" kanske inte är associerade med samma disk över omstarter, särskilt efter kryptering. Mer information om det här beteendet finns i: Felsöka ändringar av namnet på linux VM-enheten).
Kontrollera att inställningarna för /etc/fstab är korrekt konfigurerade för montering. Om du vill konfigurera de här inställningarna kör du kommandot mount -a eller startar om den virtuella datorn och utlöser återmonteringen på det sättet. När det är klart kontrollerar du utdata från kommandot lsblk för att kontrollera att enheten fortfarande är monterad.
- Om /etc/fstab-filen inte monterar enheten korrekt innan kryptering Azure Disk Encryption kan inte montera den korrekt.
- Processen Azure Disk Encryption monteringsinformationen från /etc/fstab och till sin egen konfigurationsfil som en del av krypteringsprocessen. Oroa dig inte för att posten saknas i /etc/fstab när dataenhetskrypteringen har slutförts.
- Innan du påbörjar krypteringen måste du stoppa alla tjänster och processer som kan skriva till monterade datadiskar och inaktivera dem, så att de inte startas om automatiskt efter en omstart. Dessa kan hålla filer öppna på dessa partitioner, vilket förhindrar att krypteringsproceduren återmonterar dem, vilket orsakar krypteringsfel.
- Efter omstarten tar det tid för Azure Disk Encryption att montera de nyligen krypterade diskarna. De blir inte omedelbart tillgängliga efter en omstart. Processen behöver tid för att starta, låsa upp och montera de krypterade enheterna innan den blir tillgänglig för andra processer att komma åt. Den här processen kan ta mer än en minut efter omstarten beroende på systemets egenskaper.
Här är ett exempel på de kommandon som används för att montera datadiskarna och skapa nödvändiga /etc/fstab-poster:
UUID0="$(blkid -s UUID -o value /dev/sda1)"
UUID1="$(blkid -s UUID -o value /dev/sda2)"
mkdir /data0
mkdir /data1
echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
mount -a
Nätverkskrav
För att aktivera Azure Disk Encryption-funktionen måste de virtuella Linux-datorerna uppfylla följande konfigurationskrav för nätverksslutpunkter:
- För att få en token för att ansluta till nyckelvalvet måste den virtuella Linux-datorn kunna ansluta till en Azure Active Directory slutpunkt, [ login.microsoftonline.com ] .
- Om du vill skriva krypteringsnycklarna till nyckelvalvet måste den virtuella Linux-datorn kunna ansluta till slutpunkten för nyckelvalvet.
- Den virtuella Linux-datorn måste kunna ansluta till en Azure Storage-slutpunkt som är värd för lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
- Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresser. Mer information finns i Azure Key Vault bakom en brandvägg.
Lagringskrav för krypteringsnyckel
Azure Disk Encryption kräver en Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter. Ditt nyckelvalv och dina virtuella datorer måste finnas i samma Azure-region och -prenumeration.
Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Terminologi
I följande tabell definieras några av de vanliga termer som används i dokumentationen för Azure-diskkryptering:
| Terminologi | Definition |
|---|---|
| Azure Key Vault | Key Vault är en kryptografisk nyckelhanteringstjänst som baseras på FIPS-verifierade (Federal Information Processing Standards) maskinvarusäkerhetsmoduler. Dessa standarder hjälper till att skydda dina kryptografiska nycklar och känsliga hemligheter. Mer information finns i dokumentationen Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| Azure CLI | Azure CLI är optimerat för att hantera och administrera Azure-resurser från kommandoraden. |
| DM-Crypt | DM-Crypt är det Linux-baserade, transparenta underkrypteringssystemet som används för att aktivera diskkryptering på virtuella Linux-datorer. |
| Nyckelkrypteringsnyckel (KEK) | Den asymmetriska nyckeln (RSA 2048) som du kan använda för att skydda eller omsluta hemligheten. Du kan ange en maskinvarusäkerhetsmodul (HSM)-skyddad nyckel eller programvaruskyddad nyckel. Mer information finns i dokumentationen Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| PowerShell-cmdletar | Mer information finns i Azure PowerShell cmdlets. |
Nästa steg
- Snabbstart – Skapa och kryptera en virtuell Linux-dator med Azure CLI
- Snabbstart – Skapa och kryptera en virtuell Linux-dator med Azure PowerShell
- Azure Disk Encryption-scenarier på virtuella Linux-datorer
- Azure Disk Encryption CLI-skript som krävs
- Azure Disk Encryption PowerShell-skript som krävs
- Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption