受控磁碟加密選項概觀
受控磁碟有數個可用的加密類型,包括 Azure 磁碟加密 (ADE)、伺服器端加密 (SSE),以及主機加密。
Azure 磁碟儲存體伺服器端加密 (又稱待用加密或 Azure 儲存體加密) 會一律啟用,並在資料儲存在儲存體叢集時,為存放在 Azure 受控磁碟(OS 和資料磁碟)上的資料自動加密。 使用磁碟加密集 (DES) 進行設定時,也支援客戶自控金鑰。 這不會加密暫存磁碟或磁碟快取。 如需完整詳細資料,請參閱《Azure 磁碟儲存體的伺服器端加密》。
[主機加密] 是一種虛擬機器選項,可加強 Azure 磁碟儲存體伺服器端加密,以確保所有暫存磁碟和磁碟快取都會在待用時加密,並且流量會以加密方式送至儲存體叢集。 如需完整詳細資訊,請參閱《主機加密 - VM 資料的端對端加密》。
Azure 磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 ADE 會透過 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能,將您 VM 中的 Azure 虛擬機器 (VM) OS 和資料磁碟加密。 ADE 會與 Azure Key Vault 整合,協助您控制及管理磁碟加密金鑰和祕密,並提供使用金鑰加密金鑰 (KEK) 進行加密的選項。 如需完整詳細資訊,請參閱《適用於 Linux VM 的 Azure 磁碟加密》或《適用於 Windows VM 的 Azure 磁碟加密》。
機密磁碟加密會將磁碟加密金鑰繫結到虛擬機器的 TPM,並只讓該 VM 存取受保護的磁碟內容。 TPM 和 VM 客體狀態一律會使用安全通訊協定所發行且會略過 Hypervisor 和主機作業系統的金鑰,在證明的程式碼中加密。 目前僅適用於作業系統磁碟。 除了機密磁碟加密,主機加密也可用在機密 VM 中的其他磁碟上。 如需完整的詳細資料,請參閱 DCasv5 和 ECasv5 系列機密 VM。
加密是多層式安全性方法的一部分,應該與其他建議搭配使用,以保護虛擬機器及其磁碟的安全。 如需完整詳細資料,請參閱《Azure 中虛擬機器的安全性建議》和《限制受控磁碟的匯入/匯出存取》。
比較
以下是磁碟儲存體 SSE、ADE、主機加密和機密磁碟加密的比較。
| Azure 磁碟儲存體伺服器端加密 | 主機加密 | Azure 磁碟加密 | 機密磁碟加密 (僅適用於 OS 磁碟) | |
|---|---|---|---|---|
| 待用加密 (OS 和資料磁碟) | ✅ | ✅ | ✅ | ✅ |
| 暫存磁碟加密 | ❌ | ✅ 僅支援平台代控金鑰 | ✅ | ❌ |
| 快取的加密 | ❌ | ✅ | ✅ | ✅ |
| 計算與儲存體之間的資料流程加密 | ❌ | ✅ | ✅ | ✅ |
| 客戶控制金鑰 | ✅ 使用 DES 設定時 | ✅ 使用 DES 設定時 | ✅ 使用 KEK 設定時 | ✅ 使用 DES 設定時 |
| HSM 支援 | Azure Key Vault Premium 和受控 HSM | Azure Key Vault Premium 和受控 HSM | Azure Key Vault 進階 | Azure Key Vault Premium 和受控 HSM |
| 不使用 VM 的 CPU | ✅ | ✅ | ❌ | ❌ |
| 支援自訂映像 | ✅ | ✅ | ❌ 不適用於自訂 Linux 映像 | ✅ |
| 增強的金鑰保護 | ❌ | ❌ | ❌ | ✅ |
| 適用於雲端的 Microsoft Defender 磁碟加密狀態* | Unhealthy | Healthy | Healthy | 不適用 |
重要
針對機密磁碟加密,適用於雲端的 Microsoft Defender 目前沒有適用的建議。
* 適用於雲端的 Microsoft Defender 具有下列磁碟加密建議:
- 虛擬機器應該加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 (僅偵測 Azure 磁碟加密)
- [預覽]:Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost (同時偵測 Azure 磁碟加密和 EncryptionAtHost)
- [預覽]:Linux 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost (同時偵測 Azure 磁碟加密和 EncryptionAtHost)