Windows VM’leri için Azure Disk Şifrelemesi
uygulama hedefi: : heavy_check_mark: Windows vm 'ler: heavy_check_mark: esnek ölçek kümeleri
Azure Disk Şifrelemesi verilerinizi koruyarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Azure sanal makinelerinin (vm 'ler) işletim sistemi ve veri diskleri için birim şifrelemesi sağlamak üzere Windows BitLocker özelliğini kullanır ve disk şifreleme anahtarlarını ve gizli dizileri denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir.
Azure disk şifrelemesi, sanal makinelerle aynı şekilde bölge esnektir. Ayrıntılar için bkz. kullanılabilirlik alanları destekleyen Azure hizmetleri.
Bulut Için Microsoft Defenderkullanıyorsanız, şifrelenmeyen VM 'ler varsa uyarılırsınız. Uyarılar yüksek önem derecesine sahiptir ve bu VM 'Leri şifrelemeniz önerilir.
Uyarı
- Bir VM 'yi şifrelemek için Azure AD ile Azure disk şifrelemesi 'ni daha önce kullandıysanız, VM 'nizi şifrelemek için bu seçeneği kullanmaya devam etmeniz gerekir. Ayrıntılar için bkz. Azure AD ile Azure disk şifrelemesi (önceki sürüm) .
- Bazı öneriler veri, ağ veya işlem kaynak kullanımını artırabilir, bu da ek lisans veya abonelik maliyetlerine neden olur. Desteklenen bölgelerde Azure 'da kaynak oluşturmak için geçerli bir etkin Azure aboneliğiniz olması gerekir.
Windows için azure Disk şifrelemesi temellerini, azure clı hızlı başlangıç ile Windows bir vm oluşturma ve şifreleme ile Azure PowerShell hızlı başlangıç ile Windows vm oluşturma ve şifrelemeile yalnızca birkaç dakika içinde öğrenebilirsiniz.
Desteklenen VM 'Ler ve işletim sistemleri
Desteklenen VM 'Ler
Windows VM 'Ler çeşitli boyutlardakullanılabilir. Azure disk şifrelemesi, 1. nesil ve 2. nesil VM 'lerde desteklenir. Azure disk şifrelemesi, Premium depolama özellikli VM 'Ler için de kullanılabilir.
Azure disk şifrelemesi, temel, A serisi VM'lerde veya 2 GB 'den az belleğe sahip sanal makinelerde kullanılamaz. Daha fazla özel durum için bkz. Azure disk şifrelemesi: desteklenmeyen senaryolar.
Desteklenen işletim sistemleri
- Windows client: Windows 8 ve üzeri.
- Windows sunucu: Windows server 2008 R2 ve üzeri.
- çoklu oturum Windows 10 Enterprise.
Not
Windows Server 2008 R2, şifreleme için .NET Framework 4,5 ' nin yüklenmesini gerektirir; Windows Update .NET Framework Windows Server 2008 R2 x64 tabanlı sistemler için Microsoft 4.5.2 güncelleştirmesi ' nden (KB2901983) yükler.
Windows Server 2012 R2 Core ve Windows Server 2016 Core, şifreleme için sanal makinede bdehdcfg bileşeninin yüklü olmasını gerektirir.
Ağ gereksinimleri
Azure disk şifrelemeyi etkinleştirmek için VM 'Lerin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- anahtar kasanıza bağlanma belirteci almak için Windows VM 'nin bir Azure Active Directory uç noktasına bağlanabilmesi gerekir, [ login.microsoftonline.com ] .
- şifreleme anahtarlarını anahtar kasanıza yazmak için, Windows VM 'nin anahtar kasası uç noktasına bağlanabiliyor olması gerekir.
- Windows VM, azure uzantı deposunu barındıran bir azure depolama uç noktasına ve VHD dosyalarını barındıran bir azure depolama hesabına bağlanabilmelidir.
- Güvenlik ilkeniz, Azure VM 'lerinden Internet 'e erişimi sınırlayıp, önceki URI 'yi çözümleyebilir ve IP 'lere giden bağlantılara izin vermek için belirli bir kuralı yapılandırabilirsin. Daha fazla bilgi için bkz. Azure Key Vault bir güvenlik duvarı arkasında.
grup ilkesi gereksinimleri
Azure Disk şifrelemesi, Windows vm 'ler için BitLocker dış anahtar koruyucusunu kullanır. Etki alanına katılmış VM 'Ler için TPM koruyucuları uygulayan herhangi bir grup ilkesi göndermeyin. "Uyumlu TPM olmadan BitLocker 'a Izin ver" Grup ilkesi hakkında bilgi için bkz. bitlocker Grup İlkesi başvurusu.
Özel grup ilkesiyle etki alanına katılmış sanal makinelerde BitLocker ilkesi şu ayarı içermelidir: BitLocker kurtarma bilgileri 'nin Kullanıcı depolamasını yapılandırma-> Izin ver 256-bit kurtarma anahtarı. BitLocker için özel Grup İlkesi ayarları uyumsuz olduğunda Azure disk şifrelemesi başarısız olur. Doğru ilke ayarına sahip olmayan makinelerde, yeni ilkeyi uygulayın ve yeni ilkeyi güncelleştirmeye zorlayın (gpupdate.exe/Force). Yeniden başlatma gerekebilir.
Microsoft BitLocker yönetim ve Izleme (MBAD) Grup İlkesi Özellikleri, Azure disk şifrelemesi ile uyumlu değildir.
Uyarı
Azure disk şifrelemesi , kurtarma anahtarlarını depolamaz. Etkileşimli oturum açma: makine hesabı kilitleme eşiği güvenlik ayarı etkinse, makineler yalnızca seri konsol aracılığıyla bir kurtarma anahtarı sağlanarak kurtarılabilir. Uygun Kurtarma ilkelerinin etkin olmasını sağlamaya yönelik yönergeler BitLocker kurtarma Kılavuzu planındabulunabilir.
Etki alanı düzeyi Grup ilkesi, BitLocker tarafından kullanılan AES-CBC algoritmasını engelliyorsa Azure disk şifrelemesi başarısız olur.
Şifreleme anahtarı depolama gereksinimleri
Azure disk şifrelemesi, disk şifreleme anahtarlarını ve gizli dizileri denetlemek ve yönetmek için bir Azure Key Vault gerektirir. Anahtar kasanızın ve sanal makinelerinizin aynı Azure bölgesinde ve abonelikte bulunması gerekir.
Ayrıntılar için bkz. Azure disk şifrelemesi için bir Anahtar Kasası oluşturma ve yapılandırma.
Terminoloji
Aşağıdaki tabloda, Azure disk şifrelemesi belgelerinde kullanılan bazı yaygın terimler tanımlanmaktadır:
| Terminoloji | Tanım |
|---|---|
| Azure Key Vault | Key Vault, Federal bilgi Işleme standartları (FIPS) tarafından doğrulanan donanım güvenlik modüllerini temel alan bir şifreleme, anahtar yönetim hizmetidir. Bu standartlar, şifreleme anahtarlarınızı ve hassas gizli dizileri korumaya yardımcı olur. Daha fazla bilgi için bkz. Azure Key Vault belgeleri ve Azure disk şifrelemesi için bir Anahtar Kasası oluşturma ve yapılandırma. |
| Azure CLI | Azure CLI, Azure kaynaklarını komut satırından yönetmek ve yönetmek için iyileştirilmiştir. |
| BitLocker | BitLocker , Windows vm 'lerde disk şifrelemeyi etkinleştirmek için kullanılan sektör tarafından tanınan Windows birim şifreleme teknolojisidir. |
| Anahtar şifreleme anahtarı (KEK) | Gizli anahtarı korumak veya kaydırmak için kullanabileceğiniz asimetrik anahtar (RSA 2048). Donanım güvenlik modülü (HSM) korumalı bir anahtar veya yazılımla korunan anahtar sağlayabilirsiniz. Daha fazla bilgi için bkz. Azure Key Vault belgeleri ve Azure disk şifrelemesi için bir Anahtar Kasası oluşturma ve yapılandırma. |
| PowerShell cmdlet'leri | daha fazla bilgi için bkz. Azure PowerShell cmdlet 'leri. |
Sonraki adımlar
- hızlı başlangıç-Azure clı ile Windows VM oluşturma ve şifreleme
- hızlı başlangıç-Azure PowerShell Windows VM oluşturma ve şifreleme
- Windows VM'lerinde Azure Disk Şifrelemesi senaryoları
- Azure disk şifrelemesi önkoşulları CLı betiği
- Azure disk şifrelemesi önkoşulları PowerShell betiği
- Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma