إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هناك عدة أنواع من التشفير المتوفرة للأقراص المدارة، بما في ذلك تشفير قرص Azure (ADE) والتشفير من جانب الخادم (SSE) والتشفير في المضيف.
يتم دائما تمكين التشفير من جانب خادم تخزين قرص Azure (يشار إليه أيضا باسم التشفير الثابت أو تشفير تخزين Azure) وتشفير البيانات المخزنة تلقائيا على الأقراص المدارة من Azure (نظام التشغيل وأقراص البيانات) عند الاستمرار في مجموعات التخزين. عند تكوينه باستخدام مجموعة تشفير القرص (DES)، فإنه يدعم المفاتيح التي يديرها العميل أيضًا. لا يقوم بتشفير الأقراص المؤقتة أو ذاكرة التخزين المؤقت للقرص. للحصول على التفاصيل الكاملة، راجع التشفير من جانب الخادم لتخزين قرص Azure.
التشفير في المضيف هو خيار الجهاز الظاهري الذي يعزز التشفير من جانب خادم تخزين قرص Azure لضمان تشفير جميع الأقراص المؤقتة وذاكرة التخزين المؤقت للأقراص الثابتة وتشفير التدفق إلى مجموعات التخزين. للحصول على التفاصيل الكاملة، راجع التشفير في المضيف - التشفير الشامل لبيانات جهازك الظاهري.
يربط تشفير القرص السري مفاتيح تشفير القرص بـTPM الخاص بالجهاز الظاهري ويجعل محتوى القرص المحمي متاحًا فقط للجهاز الظاهري. يتم تشفير حالة ضيف TPM والجهاز الظاهري دائمًا في التعليمات البرمجية المصدق عليها باستخدام المفاتيح التي تم إصدارها بواسطة بروتوكول آمن يتجاوز برنامج تشغيل الآلة الافتراضية ونظام التشغيل المضيف. متوفر حاليا فقط لقرص نظام التشغيل؛ دعم القرص المؤقت قيد المعاينة. يمكن استخدام التشفير في المضيف للأقراص الأخرى على جهاز ظاهري سري بالإضافة إلى تشفير القرص السري. للحصول على التفاصيل الكاملة، راجع الأجهزة الظاهرية السرية لسلسلة DCasv5 وECasv5.
يساعدك تشفير قرص Azure على حماية بياناتك وحفظها للوفاء بالتزامات الأمان والتوافق المؤسسي. يقوم ADE بتشفير نظام التشغيل وأقراص البيانات الخاصة بأجهزة Azure الظاهرية (VMs) داخل الأجهزة الظاهرية باستخدام ميزة DM-Crypt من Linux أو ميزة BitLocker من Windows. تم دمج ADE مع Azure Key Vault لمساعدتك في التحكم في مفاتيح تشفير القرص والأسرار وإدارتها، مع خيار التشفير باستخدام مفتاح تشفير المفتاح (KEK). للحصول على التفاصيل الكاملة، راجع تشفير قرص Azure لأجهزة Linux الظاهرية أو تشفير قرص Azure لأجهزة Windows الظاهرية.
مهم
من المقرر إيقاف تشفير الأقراص Azure في 15 سبتمبر 2028. حتى ذلك التاريخ، يمكنك الاستمرار في استخدام تشفير الأقراص Azure دون انقطاع. في 15 سبتمبر 2028، ستستمر أحمال العمل المفعلة ب ADE، لكن الأقراص المشفرة ستفشل في فتح التشغيل بعد إعادة تشغيل الجهاز الافتراضي، مما يؤدي إلى تعطيل الخدمة.
استخدم التشفير في المضيف للأجهزة الافتراضية الجديدة، أو فكر في أحجام المحركات الافتراضية السرية مع تشفير قرص نظام التشغيل لأحمال عمل الحوسبة السرية. يجب على جميع الأجهزة الافتراضية المفعلة بدعم ADE (بما في ذلك النسخ الاحتياطية) الانتقال إلى التشفير عند المضيف قبل تاريخ التقاعد لتجنب تعطيل الخدمة. راجع Migrationate from Azure Disk Encryption إلى Encryption في المضيف لمزيد من التفاصيل.
يعد التشفير جزءاً من نهج متعدد الطبقات للأمان ويجب استخدامه مع توصيات أخرى لتأمين الأجهزة الظاهرية وأقراصها. للحصول على التفاصيل الكاملة، راجع توصيات الأمان للأجهزة الظاهرية في Azure و تقييد وصول الاستيراد/التصدير إلى الأقراص المدارة.
المقارنة
فيما يلي مقارنة بين SSE وADE والتشفير في المضيف وتشفير القرص السري.
| التشفير من جانب خادم تخزين قرص Azure | التشفير على المضيف | تشفير قرص Azure | تشفير القرص السري (لقرص نظام التشغيل فقط) | |
|---|---|---|---|---|
| التشفير في وضع السكون (نظام التشغيل وأقراص البيانات) | ✅ | ✅ | ✅ | ✅ |
| تشفير القرص المؤقت | ❌ | ✅ مدعوم فقط مع مفتاح مدار بواسطة النظام الأساسي | ✅ | ✅ في المعاينة |
| تشفير ذاكرات التخزين المؤقت | ❌ | ✅ | ✅ | ✅ |
| تدفقات البيانات المشفرة بين الحوسبة والتخزين | ❌ | ✅ | ✅ | ✅ |
| تحكم العميل في المفاتيح | ✅ عند تكوينه باستخدام DES | ✅ عند تكوينه باستخدام DES | ✅ عند تكوينه باستخدام KEK | ✅ عند تكوينه باستخدام DES |
| دعم HSM | Azure Key Vault Premium وHSM المدار | Azure Key Vault Premium وHSM المدار | Azure Key Vault متميز | Azure Key Vault Premium وHSM المدار |
| لا يستخدم معالج جهازك الظاهري | ✅ | ✅ | ❌ | ❌ |
| يعمل للصور المخصصة | ✅ | ✅ | ❌ لا يعمل مع صور Linux المخصصة | ✅ |
| حماية المفاتيح المحسنة | ❌ | ❌ | ❌ | ✅ |
| حالة تشفير قرص Microsoft Defender for Cloud* | غير سليمة | سليمة | سليمة | غير قابل للتطبيق |
مهم
بالنسبة لتشفير القرص السري، لا يحتوي Microsoft Defender for Cloud حاليا على توصية قابلة للتطبيق.
* يحتوي Microsoft Defender for Cloud على توصيات تشفير القرص التالية:
- يجب تمكين التشفير في المضيف للأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري (يكتشف فقط التشفير عند المضيف)
- يجب أن تقوم الأجهزة الظاهرية بتشفير الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفقات البيانات بين موارد الحوسبة والتخزين (يكشف فقط عن تشفير قرص Azure)
- يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost (يكشف عن كل من تشفير قرص Azure و EncryptionAtHost)
- يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost (يكشف عن كل من تشفير قرص Azure و EncryptionAtHost)