Azure Disk depolama için sunucu tarafı şifrelemesi Depolama

  • Makale
  • Okumak için 8 dakika

Uygulama: ✔️ Linux VM'leri ✔️ Windows VM'ler ✔️ Esnek ölçek kümeleri ✔️ Tekdüz ölçek kümeleri

Azure yönetilen disklerin çoğu, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamanıza yardımcı olmak için sunucu tarafı şifreleme (SSE) kullanan Azure Depolama şifrelemesi ile şifrelenir. Azure Depolama şifrelemesi, bulutta kalıcı olarak azure yönetilen disklerde (işletim sistemi ve veri diskleri) depolanan verilerinizi varsayılan olarak otomatik olarak şifreler. Ancak konakta şifreleme etkin olan diskler Azure veritabanı üzerinden Depolama. Konakta şifrelemenin etkin olduğu diskler için, VM'nizi barındıran sunucu verileriniz için şifreleme sağlar ve bu şifrelenmiş veriler Azure sanal makinesine Depolama.

Azure yönetilen disklerdeki veriler, kullanılabilen en güçlü blok şifrelemelerinden biri olan 256 bit AESşifrelemesi kullanılarak saydam bir şekilde şifrelenir ve FIPS 140-2 ile uyumludur. Azure yönetilen disklerini temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz. Şifreleme API'si: Yeni Nesil

Azure Depolama şifrelemesi yönetilen disklerin performansını etkilemez ve ek bir maliyet yoktur. Azure şifrelemesi hakkında daha fazla Depolama için bkz. Azure Depolama şifrelemesi.

Not

Konakta şifrelemeyi etkinleştirmedikçe geçici diskler yönetilen diskler değildir ve SSE tarafından şifrelenmez.

Şifreleme anahtarı yönetimi hakkında

Yönetilen diskin şifrelemesi için platform tarafından yönetilen anahtarlara güvenebilirsiniz veya şifrelemeyi kendi anahtarlarınızı kullanarak yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızı kullanarak yönetmeyi seçerseniz, yönetilen disklerdeki tüm verileri şifrelemek ve şifresini çözmek için müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.

Aşağıdaki bölümlerde anahtar yönetimi için seçeneklerin her biri daha ayrıntılı olarak açıklanmaktadır.

Platform tarafından yönetilen anahtarlar

Yönetilen diskler varsayılan olarak platform tarafından yönetilen şifreleme anahtarlarını kullanır. Mevcut yönetilen disklere yazılan tüm yönetilen diskler, anlık görüntüler, görüntüler ve veriler, platform tarafından yönetilen anahtarlarla hazırda otomatik olarak şifrelenir.

Müşteri tarafından yönetilen anahtarlar

Şifrelemeyi, her yönetilen disk düzeyinde, kendi anahtarlarınız ile yönetmeyi tercih edebilirsiniz. Müşteri tarafından yönetilen anahtarlarla yönetilen diskler için sunucu tarafı şifreleme, Azure Key Vault ile tümleşik bir deneyim sunar. RSA anahtarlarınızı Key Vault içeri aktarabilir ya da Azure Key Vault yeni RSA anahtarları oluşturabilirsiniz.

Azure yönetilen diskler, zarf şifrelemesinikullanarak tam saydam bir biçimde şifrelemeyi ve şifre çözmeyi işler. Bir AES 256 tabanlı veri şifreleme anahtarı (dek) kullanarak verileri şifreler, bu, sırasıyla anahtarlarınız kullanılarak korunur. Depolama hizmeti, veri şifreleme anahtarları oluşturur ve bunları RSA şifrelemesini kullanarak müşteri tarafından yönetilen anahtarlarla şifreler. Zarf şifreleme, sanal makinelerinizi etkilemeden anahtarlarınızı, uyumluluk ilkelerinize göre düzenli aralıklarla döndürmenize (değiştirmenize) olanak tanır. anahtarlarınızı döndürdüğünüzde Depolama hizmeti, veri şifreleme anahtarlarını yeni müşteri tarafından yönetilen anahtarlarla yeniden şifreler.

Anahtarlarınızın tam denetimi

Anahtarlarınızı şifrelemek ve şifresini çözmek için anahtarlarınızı kullanmak üzere Key Vault yönetilen disklere erişim vermeniz gerekir. Bu, veri ve anahtarlarınızın tam denetimini sağlar. Anahtarlarınızı devre dışı bırakabilir veya istediğiniz zaman yönetilen disklere erişimi iptal edebilirsiniz. Yalnızca yönetilen disklerin veya diğer güvenilen Azure hizmetlerinin Anahtarlarınıza erişebildiğinden emin olmak için Azure Key Vault izlemeye sahip şifreleme anahtarı kullanımını da denetleyebilirsiniz.

Anahtarınızı devre dışı bıraktığınızda veya sildiğinizde, bu anahtarı kullanan disklere sahip VM 'Ler otomatik olarak kapatılır. Bu işlem sonrasında, anahtar tekrar etkinleştirilmemişse veya yeni bir anahtar atarsanız VM 'Ler kullanılamaz.

aşağıdaki diyagramda, yönetilen disklerin müşteri tarafından yönetilen anahtarı kullanarak istek yapmak için Azure Active Directory ve Azure Key Vault nasıl kullandığı gösterilmektedir:

Yönetilen disk ve müşteri tarafından yönetilen anahtarlar iş akışı. Yönetici bir Azure Key Vault oluşturur, ardından bir disk şifreleme kümesi oluşturur ve disk şifreleme kümesini ayarlar. Küme, diskin kimlik doğrulaması için Azure AD 'yi kullanmasına izin veren bir VM ile ilişkilendirilir.

Aşağıdaki listede diyagram daha ayrıntılı olarak açıklanmaktadır:

  1. Azure Key Vault Yöneticisi, Anahtar Kasası kaynakları oluşturur.
  2. Anahtar Kasası Yöneticisi, RSA anahtarlarını Key Vault veya Key Vault yeni RSA anahtarları olarak içeri aktarır.
  3. Bu yönetici, bir Azure Key Vault KIMLIĞI ve bir anahtar URL 'SI belirterek bir disk şifreleme kümesi kaynağı örneği oluşturur. Disk şifreleme kümesi, yönetilen diskler için anahtar yönetimini basitleştirmek üzere sunulan yeni bir kaynaktır.
  4. bir disk şifreleme kümesi oluşturulduğunda, Azure Active Directory (AD) içinde sistem tarafından atanan yönetilen bir kimlik oluşturulur ve disk şifreleme kümesiyle ilişkilendirilir.
  5. Azure Anahtar Kasası Yöneticisi, anahtar kasasında işlem gerçekleştirmek için yönetilen kimlik iznini verir.
  6. Bir VM kullanıcısı disk şifreleme kümesiyle ilişkilendirerek diskler oluşturur. VM kullanıcısı aynı zamanda, mevcut kaynaklar için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi, disk şifreleme kümesiyle ilişkilendirerek da etkinleştirebilir.
  7. Yönetilen diskler Azure Key Vault istekleri göndermek için yönetilen kimliği kullanır.
  8. Yönetilen diskler verileri okumak veya yazmak için, verileri şifrelemeyi ve şifre çözmeyi gerçekleştirmek üzere veri şifreleme anahtarını şifrelemek (sarmalamak) ve şifresini çözmek (kaydırmak) için Azure Key Vault istek gönderir.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için bkz. PowerShell ve Azure Key Vault CLIAzure Key Vault. erişimi iptal etmek, Azure Depolama şifreleme anahtarına erişilemediğinden, depolama hesabındaki tüm verilere erişimi etkin bir şekilde engeller.

Müşteri tarafından yönetilen anahtarların otomatik anahtar dönüşü

En son anahtar sürümüne otomatik anahtar döndürmeyi etkinleştirmeyi seçebilirsiniz. Disk, disk şifreleme kümesi aracılığıyla bir anahtara başvurur. Bir disk şifrelemesi kümesi için Otomatik döndürmeyi etkinleştirdiğinizde sistem, disk şifreleme kümesine başvuran tüm yönetilen diskleri, anlık görüntüleri ve görüntüleri bir saat içinde anahtarın yeni sürümünü kullanacak şekilde otomatik olarak güncelleştirir. Müşteri tarafından yönetilen anahtarları otomatik anahtar rotasyoniyle nasıl etkinleştireceğinizi öğrenmek için bkz. otomatik anahtar dönüşüyle bir Azure Key Vault ve DiskEncryptionSetayarlama.

Kısıtlamalar

Şimdilik müşteri tarafından yönetilen anahtarlar aşağıdaki kısıtlamalara sahip:

  • Bu özellik diskiniz için etkinleştirildiyse devre dışı bırakamazsiniz. Bunun üzerinde çalışmanız gerekirse, Azure PowerShell modülünü veya Azure CLI'yikullanarak tüm verileri müşteri tarafından yönetilen anahtarları kullanmayan tamamen farklı bir yönetilen diske kopyalamanız gerekir.
  • Yalnızca 2.048-bit, 3.072-bit ve 4.096-bit boyutlarının yazılım ve HSM RSA anahtarları desteklenir, başka hiçbir anahtar veya boyut yoktur.
    • HSM anahtarları Için Azure Anahtar Kasası 'nın Premium katmanı gerekir.
  • Sunucu tarafı şifreleme ve müşterinin yönettiği anahtarlar kullanılarak şifrelenen özel görüntülerden oluşturulan diskler, müşteri tarafından yönetilen aynı anahtar kullanılarak şifrelenmelidir ve aynı abonelikte olmalıdır.
  • Sunucu tarafı şifreleme ve müşteri tarafından yönetilen anahtarlarla şifrelenen disklerden oluşturulan anlık görüntüler, müşteri tarafından yönetilen aynı anahtarlarla şifrelenmelidir.
  • Müşteri tarafından yönetilen anahtarlarınızla ilgili tüm kaynakların (Azure Anahtar kasaları, disk şifreleme kümeleri, VM 'Ler, diskler ve anlık görüntüler) aynı abonelikte ve bölgede olması gerekir.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenen diskler, anlık görüntüler ve görüntüler başka bir kaynak grubuna ve aboneliğe taşınamaz.
  • Azure disk şifrelemesi kullanılarak Şu anda veya daha önce şifrelenen yönetilen diskler, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenemez.
  • , Her abonelik için bölge başına en fazla 1000 disk şifreleme kümesi oluşturabilir.
  • Paylaşılan görüntü galerileriyle müşteri tarafından yönetilen anahtarları kullanma hakkında daha fazla bilgi için bkz. Önizleme: görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanma.

Desteklenen bölgeler

Müşteri tarafından yönetilen anahtarlar yönetilen disklerin kullanılabilir olduğu tüm bölgelerde kullanılabilir.

Önemli

Müşteri tarafından yönetilen anahtarlar, azure kaynaklarının (Azure AD) Azure Active Directory kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırıldığında, yönetilen kimlik otomatik olarak kaynaklarınıza alt alta atanır. Aboneliği, kaynak grubunu veya yönetilen diski daha sonra bir Azure AD dizininden diğerine taşımanız, yönetilen disklerle ilişkili yönetilen kimliğin yeni kiracıya aktarılamayarak müşteri tarafından yönetilen anahtarların çalışmayabilirsiniz. Daha fazla bilgi için bkz. Aboneliği Azure AD dizinleri arasında aktarma.

Yönetilen disklerde müşteri tarafından yönetilen anahtarları etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portal.

Konakta şifreleme - VM verileriniz için uz-2.000 şifreleme

Konakta şifrelemeyi etkinleştirebilirsiniz. Bu şifreleme, VM'nizin ayrılmış olduğu Azure sunucusu olan VM ana bilgisayarı üzerinde başlar. Geçici disk ve işletim sistemi/veri diski önbellekleri için veriler bu VM ana bilgisayar üzerinde depolanır. Konakta şifreleme etkinleştirdikten sonra, tüm bu veriler beklemede şifrelenir ve akışlar Depolama hizmetine şifrelenir ve burada kalıcı olur. Temel olarak, konakta şifreleme verilerinizi 4-2 24 şifreler. Konakta şifreleme, VM'nizin CPU'larını kullanmaz ve VM'nizin performansını etkilemez.

Geçici diskler ve kısa ömürlü işletim sistemi diskleri, esnedilen şifrelemeyi etkinleştiren platform tarafından yönetilen anahtarlarla beklemede şifrelenir. Işletim sistemi ve veri diski önbellekleri, seçilen disk şifreleme türüne bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarlarla beklemede şifrelenir. Örneğin, bir disk müşteri tarafından yönetilen anahtarlarla şifrelenirse, diskin önbelleği müşteri tarafından yönetilen anahtarlarla şifrelenir ve bir disk platform tarafından yönetilen anahtarlarla şifrelenirse diskin önbelleği platform tarafından yönetilen anahtarlarla şifrelenir.

Kısıtlamalar

  • , Ultra diskleri desteklemez.
  • , VM 'leriniz/sanal makine ölçek kümelerinde Azure disk şifrelemesi (BitLocker/DM-Crypt kullanan Konuk VM şifrelemesi) etkin ise etkinleştirilemiyor.
  • Azure disk şifrelemesi, konakta şifreleme etkin olan disklerde etkinleştirilemez.
  • Şifreleme, var olan sanal makine ölçek kümesi üzerinde etkinleştirilebilir. Ancak, yalnızca şifrelemeyi etkinleştirdikten sonra oluşturulan yeni VM 'Ler otomatik olarak şifrelenir.
  • Mevcut VM 'Lerin şifrelenmesi için serbest bırakılmasının ve yeniden ayrılması gerekir.
  • Yalnızca platform tarafından yönetilen anahtarlarla, kısa ömürlü işletim sistemi disklerini destekler.

Desteklenen VM boyutları

Desteklenen VM boyutlarının tam listesi program aracılığıyla çekebilirsiniz. Bunları program aracılığıyla alma hakkında bilgi edinmek için Azure PowerShell modülünün veya Azure CLI makalelerinin desteklenen VM boyutlarını bulma bölümüne bakın.

Konakta şifrelemeyi kullanarak uçta şifrelemeyi etkinleştirmek için Azure PowerShell modülü, Azure CLIveya Azure portal.

Beklemede çift şifreleme

Güvenliği tehlikeye atılmış herhangi bir şifreleme algoritması, uygulaması veya anahtarıyla ilişkili riskten endişe eden yüksek güvenlikli hassas müşteriler artık platform tarafından yönetilen şifreleme anahtarları kullanan altyapı katmanında farklı bir şifreleme algoritması/mod kullanarak ek şifreleme katmanı tercih ediyor olabilir. Bu yeni katman kalıcı işletim sistemi ve veri diskleri, anlık görüntüler ve görüntülere uygulanabilir ve bunların hepsi beklemede çift şifrelemeyle şifrelenir.

Desteklenen bölgeler

Yönetilen disklerin kullanılabilir olduğu tüm bölgelerde çift şifreleme kullanılabilir.

Yönetilen disklerde beklemede çift şifrelemeyi etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portal.

Sunucu tarafı şifreleme ile Azure disk şifrelemesi karşılaştırması

Azure Disk Şifrelemesi, yönetilen diskleri konuk VM'de müşteri tarafından yönetilen anahtarlarla şifrelemek için Linux'un DM-Crypt özelliği veya Windows BitLocker özelliğini kullanır. Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifreleme, ADE'de, vm'leriniz için işletim sistemi türlerini ve görüntülerini Depolama geliştirmektedir.

Önemli

Müşteri tarafından yönetilen anahtarlar, azure kaynaklarının (Azure AD) Azure Active Directory kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırıldığında, yönetilen kimlik otomatik olarak kaynaklarınıza alt alta atanır. Aboneliği, kaynak grubunu veya yönetilen diski daha sonra bir Azure AD dizininden diğerine taşısanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarlanmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilirsiniz. Daha fazla bilgi için bkz. Aboneliği Azure AD dizinleri arasında aktarma.

Sonraki adımlar