نظرة عامة على خيارات تشفير القرص المدار
هناك عدة أنواع من التشفير المتوفرة للأقراص المدارة، بما في ذلك تشفير قرص Azure (ADE) والتشفير من جانب الخادم (SSE) والتشفير في المضيف.
يتم دائما تمكين التشفير من جانب خادم تخزين قرص Azure (يشار إليه أيضا باسم التشفير الثابت أو تشفير تخزين Azure) وتشفير البيانات المخزنة تلقائيا على الأقراص المدارة من Azure (نظام التشغيل وأقراص البيانات) عند الاستمرار في مجموعات التخزين. عند تكوينه باستخدام مجموعة تشفير القرص (DES)، فإنه يدعم المفاتيح التي يديرها العميل أيضًا. لا يقوم بتشفير الأقراص المؤقتة أو ذاكرة التخزين المؤقت للقرص. للحصول على التفاصيل الكاملة، راجع التشفير من جانب الخادم لتخزين قرص Azure.
التشفير في المضيف هو خيار الجهاز الظاهري الذي يعزز التشفير من جانب خادم تخزين قرص Azure لضمان تشفير جميع الأقراص المؤقتة وذاكرة التخزين المؤقت للأقراص الثابتة وتشفير التدفق إلى مجموعات التخزين. للحصول على التفاصيل الكاملة، راجع التشفير في المضيف - التشفير الشامل لبيانات جهازك الظاهري.
يساعدك تشفير قرص Azure على حماية بياناتك وحفظها للوفاء بالتزامات الأمان والتوافق المؤسسي. يقوم ADE بتشفير نظام التشغيل وأقراص البيانات الخاصة بأجهزة Azure الظاهرية (VMs) داخل الأجهزة الظاهرية باستخدام ميزة DM-Crypt من Linux أو ميزة BitLocker من Windows. تم دمج ADE مع Azure Key Vault لمساعدتك في التحكم في مفاتيح تشفير القرص والأسرار وإدارتها، مع خيار التشفير باستخدام مفتاح تشفير المفتاح (KEK). للحصول على التفاصيل الكاملة، راجع تشفير قرص Azure لأجهزة Linux الظاهرية أو تشفير قرص Azure لأجهزة Windows الظاهرية.
يربط تشفير القرص السري مفاتيح تشفير القرص بـTPM الخاص بالجهاز الظاهري ويجعل محتوى القرص المحمي متاحًا فقط للجهاز الظاهري. يتم تشفير حالة ضيف TPM والجهاز الظاهري دائمًا في التعليمات البرمجية المصدق عليها باستخدام المفاتيح التي تم إصدارها بواسطة بروتوكول آمن يتجاوز برنامج تشغيل الآلة الافتراضية ونظام التشغيل المضيف. متوفر حاليا فقط لقرص نظام التشغيل؛ دعم القرص المؤقت قيد المعاينة. يمكن استخدام التشفير في المضيف للأقراص الأخرى على جهاز ظاهري سري بالإضافة إلى تشفير القرص السري. للحصول على التفاصيل الكاملة، راجع الأجهزة الظاهرية السرية لسلسلة DCasv5 وECasv5.
يعد التشفير جزءاً من نهج متعدد الطبقات للأمان ويجب استخدامه مع توصيات أخرى لتأمين الأجهزة الظاهرية وأقراصها. للحصول على التفاصيل الكاملة، راجع توصيات الأمان للأجهزة الظاهرية في Azure و تقييد وصول الاستيراد/التصدير إلى الأقراص المدارة.
المقارنة
فيما يلي مقارنة بين SSE وADE والتشفير في المضيف وتشفير القرص السري.
التشفير من جانب خادم تخزين قرص Azure | التشفير على المضيف | تشفير قرص Azure | تشفير القرص السري (لقرص نظام التشغيل فقط) | |
---|---|---|---|---|
التشفير في وضع السكون (نظام التشغيل وأقراص البيانات) | ✅ | ✅ | ✅ | ✅ |
تشفير القرص المؤقت | ❌ | ✅ مدعوم فقط مع مفتاح مدار بواسطة النظام الأساسي | ✅ | ✅في المعاينة |
تشفير ذاكرات التخزين المؤقت | ❌ | ✅ | ✅ | ✅ |
تدفقات البيانات المشفرة بين الحوسبة والتخزين | ❌ | ✅ | ✅ | ✅ |
تحكم العميل في المفاتيح | ✅ عند تكوينه باستخدام DES | ✅ عند تكوينه باستخدام DES | ✅ عند تكوينه باستخدام KEK | ✅ عند تكوينه باستخدام DES |
دعم HSM | Azure Key Vault Premium وHSM المدار | Azure Key Vault Premium وHSM المدار | Azure Key Vault متميز | Azure Key Vault Premium وHSM المدار |
لا يستخدم معالج جهازك الظاهري | ✅ | ✅ | ❌ | ❌ |
يعمل للصور المخصصة | ✅ | ✅ | ❌ لا يعمل مع صور Linux المخصصة | ✅ |
حماية المفاتيح المحسنة | ❌ | ❌ | ❌ | ✅ |
حالة تشفير قرص Microsoft Defender for Cloud* | غير سليم | سليم | سليم | غير قابل للتطبيق |
هام
بالنسبة لتشفير القرص السري، لا يحتوي Microsoft Defender for Cloud حاليا على توصية قابلة للتطبيق.
* يحتوي Microsoft Defender for Cloud على توصيات تشفير القرص التالية:
- يجب تمكين التشفير في المضيف للأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري (يكتشف فقط التشفير عند المضيف)
- يجب أن تقوم الأجهزة الظاهرية بتشفير الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفقات البيانات بين موارد الحوسبة والتخزين (يكشف فقط عن تشفير قرص Azure)
- يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost (يكشف عن كل من تشفير قرص Azure و EncryptionAtHost)
- يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost (يكشف عن كل من تشفير قرص Azure و EncryptionAtHost)