你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
托管磁盘加密选项概述
托管磁盘可以使用多种加密类型,包括 Azure 磁盘加密 (ADE)、服务器端加密 (SSE) 和主机加密。
将 Azure 托管磁盘(OS 和数据磁盘)上存储的数据保存到存储群集时,Azure 磁盘存储服务器端加密(也称为静态加密或 Azure 存储加密)始终启用,且会自动对这些数据进行加密。 如果配置了磁盘加密集 (DES),它还支持客户管理的密钥。 它不会加密临时磁盘或磁盘缓存。 有关完整详细信息,请参阅 Azure 磁盘存储的服务器端加密。
主机加密是一个虚拟机选项,可增强 Azure 磁盘存储服务器端的加密,以确保所有临时磁盘和磁盘缓存都静态加密并流向存储群集。 有关完整详细信息,请参阅主机加密 - VM 数据的端到端加密。
Azure 磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 ADE 可通过使用 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能,对 VM 内的 Azure 虚拟机 (VM) 的 OS 和数据磁盘进行加密。 ADE 与 Azure Key Vault 集成,可帮助你控制和管理磁盘加密密钥和机密,并提供使用密钥加密密钥 (KEK) 进行加密的选项。 有关完整详细信息,请参阅适用于 Linux VM 的 Azure 磁盘加密或适用于 Windows VM 的 Azure 磁盘加密。
机密磁盘加密将磁盘加密密钥绑定到虚拟机的 TPM,并且只允许 VM 访问受保护的磁盘内容。 TPM 和 VM 来宾状态始终使用安全协议(绕过虚拟机监控程序和主机操作系统)发布的密钥在经证明的代码中加密。 目前仅适用于 OS 磁盘。 除了机密磁盘加密外,主机加密还可用于机密 VM 上的其他磁盘。 有关完整详细信息,请参阅 DCasv5 和 ECasv5 系列机密 VM。
加密是安全的分层方法的一部分,应与其他建议一起用于保护虚拟机及其磁盘。 有关完整详细信息,请参阅 Azure 中虚拟机的安全建议和限制对托管磁盘的导入/导出访问。
比较
下面是磁盘存储 SSE、ADE、主机加密和机密磁盘加密的比较。
| Azure 磁盘存储服务器端加密 | 主机加密 | Azure 磁盘加密 | 机密磁盘加密(仅适用于 OS 磁盘) | |
|---|---|---|---|---|
| 静态加密(操作系统和数据磁盘) | ✅ | ✅ | ✅ | ✅ |
| 临时磁盘加密 | ❌ | ✅ 仅支持平台托管密钥 | ✅ | ❌ |
| 缓存加密 | ❌ | ✅ | ✅ | ✅ |
| 在计算和存储之间加密的数据流 | ❌ | ✅ | ✅ | ✅ |
| 客户控制密钥 | ✅ 配置有 DES 后 | ✅ 配置有 DES 后 | ✅ 使用 KEK 进行配置时 | ✅ 配置有 DES 后 |
| HSM 支持 | Azure Key Vault 高级版和托管 HSM | Azure Key Vault 高级版和托管 HSM | Azure 密钥保管库高级版 | Azure Key Vault 高级版和托管 HSM |
| 不使用 VM 的 CPU | ✅ | ✅ | ❌ | ❌ |
| 适用于自定义映像 | ✅ | ✅ | ❌ 不适用于自定义 Linux 映像 | ✅ |
| 增强型密钥保护 | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender for Cloud 磁盘加密状态* | 不正常 | 正常 | 正常 | 不适用 |
重要
对于机密磁盘加密,Microsoft Defender for Cloud 目前没有适用的建议。
* Microsoft Defender for Cloud 具有以下磁盘加密建议:
- 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流(仅检测 Azure 磁盘加密)
- [预览]:Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost(检测 Azure 磁盘加密和 EncryptionAtHost)
- [预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost(检测 Azure 磁盘加密和 EncryptionAtHost)