Azure Disk Encryption للأجهزة الظاهرية لـ Linux

تنبيه

تشير هذه المقالة إلى CentOS، وهو توزيع Linux هو حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.

ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ مجموعات مقياس مرنة

يساعدك تشفير قرص Azure على حماية بياناتك وحفظها للوفاء بالتزامات الأمان والتوافق المؤسسي. ويستخدم ميزة DM-Crypt لـ Linux لتوفير تشفير حجم لنظام التشغيل وأقراص البيانات من الأجهزة الظاهرية لـ Azure، ويتم دمجها باستخدام Azure Key Vault لمساعدتك على التحكم وإدارة مفاتيح التشفير القرص والأسرار.

يعد تشفير القرص في Azure مرنًا للمنطقة، تمامًا مثل الأجهزة الظاهرية. لمزيد من التفاصيل، راجع خدمات Azure التي تدعم مناطق التوفر.

إذا كنت تستخدم Microsoft Defender لـ Cloud، فسيتم تنبيهك إذا كان لديك أجهزة ظاهرية غير مشفرة. تظهر التنبيهات كخطورة عالية والتوصية هي تشفير هذه الأجهزة الظاهرية.

تنبيه تشفير القرص في Microsoft Defender لـ Cloud

تحذير

  • إذا كنت قد استخدمت تشفير قرص Azure مسبقا مع معرف Microsoft Entra لتشفير جهاز ظاهري، يجب الاستمرار في استخدام هذا الخيار لتشفير الجهاز الظاهري الخاص بك. راجع تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق) للحصول على التفاصيل.
  • قد تؤدي بعض التوصيات إلى زيادة استخدام البيانات أو الشبكة أو حساب الموارد، مما يؤدي إلى تكاليف ترخيص أو اشتراك إضافية. يجب أن يكون لديك اشتراك Azure نشط صالح لإنشاء موارد في Azure في المناطق المدعومة.

يمكنك التعرف على أساسيات تشفير قرص Azure لنظام التشغيل Linux في بضع دقائق فقط باستخدام إنشاء جهاز ظاهري Linux وتشفيره باستخدام التشغيل السريع ل Azure CLI أو إنشاء جهاز ظاهري Linux وتشفيره باستخدام التشغيل السريع Azure PowerShell.

الأجهزة الظاهرية المدعومة وأنظمة التشغيل

الأجهزة الظاهرية المعتمدة

تتوفر الأجهزة الظاهرية لـ Linux في مجموعة من الأحجام. يتم دعم Azure Disk Encryption على الأجهزة الظاهرية من الجيل 1 والجيل 2. يتوفر Azure Disk Encryption أيضاً للأجهزة الظاهرية مع سعة تخزين متميزة.

راجع أحجام Azure VM بدون قرص مؤقت محلي.

تكون Azure Disk Encryption غير متوفرة على الأساسية أو أجهزة ظاهرية من A-series أو على الأجهزة الظاهرية التي لا تفي بمتطلبات الذاكرة الدنيا هذه

متطلبات الذاكرة

الجهاز الظاهري الحد الأدنى من متطلبات الذاكرة
الأجهزة الظاهرية لـ Linux عند تشفير وحدات تخزين البيانات فقط 2 جيجابايت
أجهزة Linux الظاهرية عند تشفير كل من البيانات ووحدات تخزين نظام التشغيل، وحيث يكون استخدام نظام الملفات الجذر (/) 4 غيغابايت أو أقل 8 غيغابايت
أجهزة Linux الظاهرية عند تشفير كل من البيانات ووحدات تخزين نظام التشغيل، وحيث يكون استخدام نظام الملفات الجذر (/) أكبر من 4 غيغابايت The root file system usage * 2. على سبيل المثال، يتطلب استخدام نظام الملفات الجذر 16 غيغابايت على الأقل 32 غيغابايت من ذاكرة الوصول العشوائي

بمجرد اكتمال عملية تشفير قرص نظام التشغيل على الأجهزة الظاهرية Linux، يمكن تكوين الجهاز الظاهري لتشغيل ذاكرة أقل.

لمزيد من الاستثناءات، راجع تشفير قرص Azure: القيود.

أنظمة التشغيل المدعومة

يتم دعم تشفير قرص Azure على مجموعة فرعية من توزيعات Linux المعتمدة من Azure، والتي تعد في حد ذاتها مجموعة فرعية من جميع التوزيعات المحتملة لخادم Linux.

مخطط متداخل لتوزيعات خادم Linux التي تدعم تشفير قرص Azure

لا تدعم توزيعات خوادم Linux التي لم يتم اعتمادها من قبل Azure تشفير قرص Azure؛ ومن بين التوزيعات والإصدارات المعتمدة، تدعم تشفير قرص Azure فقط توزيعات وإصدارات Linux:

الناشر العرض وحدة حفظ المخزون SKU URN نوع وحدة التخزين المدعومة للتشفير
Canonical Ubuntu 24.04-LTS Canonical:ubuntu-24_04-lts-daily:server-gen1:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 24.04-LTS Gen 2 Canonical:ubuntu-24_04-lts:server:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 22.04-LTS Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 22.04-LTS Gen2 Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 20.04-LTS Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 20.04-DAILY-LTS Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 20.04-LTS Gen2 Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 20.04-DAILY-LTS Gen2 Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 18.04-LTS Canonical:UbuntuServer:18.04-LTS:latest نظام التشغيل وقرص البيانات
Canonical Ubuntu 18.04 18.04-DAILY-LTS Canonical:UbuntuServer:18.04-DAILY-LTS:latest نظام التشغيل وقرص البيانات
MicrosoftCBLMariner Cbl-Mariner cbl-mariner-2 MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* نظام التشغيل وقرص البيانات
MicrosoftCBLMariner Cbl-Mariner cbl-mariner-2-gen2 MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* نظام التشغيل وقرص البيانات
OpenLogic CentOS 8-LVM 8-LVM OpenLogic:CentOS-LVM:8-LVM:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 8.4 8_4 OpenLogic:CentOS:8_4:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 8.3 8_3 OpenLogic:CentOS:8_3:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 8.2 8_2 OpenLogic:CentOS:8_2:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 7-LVM 7-LVM OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 نظام التشغيل وقرص البيانات
OpenLogic CentOS 7.9 7_9 OpenLogic:CentOS:7_9:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 7.8 7_8 OpenLogic:CentOS:7_8:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 7.7 7.7 OpenLogic:CentOS:7.7:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 7.6 7.6 OpenLogic:CentOS:7.6:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 7.5 7.5 OpenLogic:CentOS:7.5:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 7.4 7.4 OpenLogic:CentOS:7.4:latest نظام التشغيل وقرص البيانات
OpenLogic CentOS 6.8 6.8 OpenLogic:CentOS:6.8:latest قرص البيانات فقط
Oracle Oracle Linux 8.6 8.6 Oracle:Oracle-Linux:ol86-lvm:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
Oracle Oracle Linux 8.6 Gen 2 8.6 Oracle:Oracle-Linux:ol86-lvm-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
Oracle Oracle Linux 8.5 8.5 Oracle:Oracle-Linux:ol85-lvm:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
Oracle Oracle Linux 8.5 Gen 2 8.5 Oracle:Oracle-Linux:ol85-lvm-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.4 9.4 RedHat:RHEL:9_4:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.4 Gen 2 9.4 RedHat:RHEL:94_gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.3 9.3 RedHat:RHEL:9_3:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.3 Gen 2 9.3 RedHat:RHEL:93-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.2 9.2 RedHat:RHEL:9_2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.2 Gen 2 9.2 RedHat:RHEL:92-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.0 9.0 RedHat:RHEL:9_0:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9.0 Gen 2 9.0 RedHat:RHEL:90-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9-lvm 9-lvm RedHat:RHEL:9-lvm:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 9-lvm Gen 2 9-lvm-gen2 RedHat:RHEL:9-lvm-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.9 8.9 RedHat:RHEL:8_9:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.9 Gen 2 8.9 RedHat:RHEL:89-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.8 8.8 RedHat:RHEL:8_8:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.8 Gen 2 8.8 RedHat:RHEL:88-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.7 8.7 RedHat:RHEL:8_7:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.7 Gen 2 8.7 RedHat:RHEL:87-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.6 8.6 RedHat:RHEL:8_6:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.6 Gen 2 8.6 RedHat:RHEL:86-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.5 8.5 RedHat:RHEL:8_5:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.5 Gen 2 8.5 RedHat:RHEL:85-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.4 8.4 RedHat:RHEL:8.4:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.3 8.3 RedHat:RHEL:8.3:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8-LVM 8-LVM RedHat:RHEL:8-LVM:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8-LVM Gen 2 8-lvm-gen2 RedHat:RHEL:8-lvm-gen2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.2 8.2 RedHat:RHEL:8.2:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 8.1 8.1 RedHat:RHEL:8.1:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7-LVM 7-LVM RedHat:RHEL:7-LVM:7.9.2020111202 نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7.9 7_9 RedHat:RHEL:7_9:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7.8 7.8 RedHat:RHEL:7.8:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7.7 7.7 RedHat:RHEL:7.7:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7.6 7.6 RedHat:RHEL:7.6:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7.5 7.5 RedHat:RHEL:7.5:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 7.4 7.4 RedHat:RHEL:7.4:latest نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 6.8 6.8 RedHat:RHEL:6.8:latest قرص البيانات (انظر الملاحظة أدناه)
RedHat RHEL 6.7 6.7 RedHat:RHEL:6.7:latest قرص البيانات (انظر الملاحظة أدناه)
SUSE OpenSUSE 42.3+ 42.3 SUSE:openSUSE-Leap:42.3:latest قرص البيانات فقط
SUSE SLES 12-SP4 12 SP4 SUSE:SLES:12-SP4:latest قرص البيانات فقط
SUSE SLES HPC 12-SP3 12 SP3 SUSE:SLES-HPC:12-SP3:latest قرص البيانات فقط

* لإصدارات الصور الأكبر من مايو 2023 أو مساوية له.

إشعار

RHEL:

  • يتم دعم تطبيق تشفير قرص Azure الجديد لنظام التشغيل RHEL وقرص البيانات لصور RHEL7 Pay-As-You-Go.
  • يتم دعم ADE أيضا ل RHEL Bring-Your-Own-Subscription Gold Images، ولكن فقط بعد تسجيل الاشتراك. لمزيد من المعلومات، راجع Red Hat Enterprise Linux Bring-Your-Own-Subscription Gold Images في Azure

جميع توزيعات:

  • لا يمتد دعم ADE لنوع عرض معين إلى ما بعد تاريخ نهاية العمر الافتراضي الذي يقدمه الناشر.
  • لا ينصح بحل ADE القديم (باستخدام بيانات اعتماد Microsoft Entra) للأجهزة الظاهرية الجديدة ولا يتوافق مع إصدارات RHEL الأحدث من RHEL 7.8 أو مع Python 3 كافتراضي.

المتطلبات الإضافية للأجهزة الظاهرية

يتطلب Azure Disk Encryption لـ dm-crypt والوحدات النمطية لتكون موجودة على النظام. إزالة أو تعطيل من الصورة الافتراضية سيمنع النظام من قراءة وحدة تخزين المفتاح والحصول على المفتاح المطلوب لإلغاء تأمين الأقراص على تمهيد اللاحقة. خطوات تصلب النظام التي تزيل وحدة vfat من النظام أو تفرض توسيع نقاط تحميل / مجلدات نظام التشغيل على محركات أقراص البيانات غير متوافقة مع تشفير قرص Azure.

قبل تمكين التشفير، يجب إدراج أقراص البيانات المراد تشفيرها بشكل صحيح في /etc/fstab. استخدم الخيار "nofail" عند إنشاء إدخالات، واختر اسم جهاز كتلة مستمر (حيث قد لا تكون أسماء الأجهزة بتنسيق "/dev/sdX" مقترنة بنفس القرص عبر عمليات إعادة التشغيل، خاصة بعد التشفير؛ لمزيد من التفاصيل حول هذا السلوك، راجع: استكشاف أخطاء تغييرات اسم جهاز Linux VM وإصلاحها).

تأكد من تكوين إعدادات /etc/fstab بشكل صحيح للتركيب. لتكوين هذه الإعدادات، قم بتشغيل الأمر mount -a أو أعد تشغيل الجهاز الظاهري وقم بتشغيل إعادة التحميل بهذه الطريقة. بمجرد اكتمال ذلك، تحقق من إخراج الأمر lsblk للتحقق من أن محرك الأقراص لا يزال محمولا.

  • إذا لم يقم الملف /etc/fstab بتحميل محرك الأقراص بشكل صحيح قبل تمكين التشفير، فلن يتمكن تشفير قرص Azure من تركيبه بشكل صحيح.
  • ستقوم عملية تشفير قرص Azure بنقل معلومات التحميل من /etc/fstab إلى ملف التكوين الخاص بها كجزء من عملية التشفير. لا تنزعج لرؤية الإدخال مفقودا من /etc/fstab بعد اكتمال تشفير محرك البيانات.
  • قبل بدء التشفير، تأكد من إيقاف جميع الخدمات والعمليات التي يمكن أن تكتب إلى أقراص البيانات المثبتة وتعطيلها، بحيث لا يتم إعادة تشغيلها تلقائيا بعد إعادة التشغيل. يمكن أن تبقي هذه الملفات مفتوحة على هذه الأقسام، مما يمنع إجراء التشفير من إعادة تحميلها، مما يتسبب في فشل التشفير.
  • بعد إعادة التشغيل، سيستغرق الأمر بعض الوقت حتى تقوم عملية تشفير قرص Azure بتحميل الأقراص المشفرة حديثا. لن تكون متاحة على الفور بعد إعادة التشغيل. تحتاج العملية إلى وقت لبدء تشغيل محركات الأقراص المشفرة وإلغاء قفلها ثم تركيبها قبل أن تكون متاحة للعمليات الأخرى للوصول إليها. قد تستغرق هذه العملية أكثر من دقيقة بعد إعادة التشغيل اعتمادا على خصائص النظام.

فيما يلي مثال على الأوامر المستخدمة لتحميل أقراص البيانات وإنشاء إدخالات /etc/fstab الضرورية:

sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a

متطلبات الشبكات

لتمكين Azure Disk Encryption يجب أن تفي الأجهزة الظاهرية لمتطلبات تكوين نقطة نهاية الشبكة التالية:

  • يجب أن يكون الجهاز الظاهري Linux قادراً على الاتصال بـ Azure storage endpoint التي تستضيف Azure extension repository وحساب تخزين Azure الذي يستضيف ملفات VHD.
  • إذا كان نهج الأمان الخاص بك يحد من الوصول من الأجهزة الظاهرية لـ Azure إلى الإنترنت، يمكنك حل "URL" السابقة وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.

متطلبات تخزين مفتاح التشفير

يتطلب تشفير القرص Azure Vault مفتاح Azure للتحكم في مفاتيح تشفير القرص والأسرار وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.

لمزيد من التفاصيل راجع إنشاء مخزن مفاتيح وتكوينه لتشفير Azure Disk Encryption.

المصطلحات

يعرف الجدول التالي بعض المصطلحات الشائعة المستخدمة في وثائق تشفير القرص Azure:

المصطلحات التعريف
Azure Key Vault Key Vault هي خدمة تشفير وإدارة المفاتيح التي تستند إلى وحدات أمان الأجهزة المعتمدة لمعايير معالجة المعلومات الفيدرالية (FIPS). تساعد هذه المعايير على حماية مفاتيح التشفير والأسرار الحساسة. لمزيد من المعلومات، راجع وثائق Azure Key Vault وإنشاء وتكوين خزنة مفاتيح لتشفير قرص Azure.
Azure CLI The Azure CLI مُحسّن لإدارة موارد Azure وإدارتها من سطر الأوامر.
DM-Crypt DM-Crypt هو نظام فرعي شفاف لتشفير الأقراص يستند إلى Linux ويستخدم لتمكين تشفير القرص على أجهزة Linux الظاهرية.
مفتاح تشفير المفتاح (KEK) المفتاح غير المتماثل (RSA 2048) الذي يمكنك استخدامه لحماية السر أو تضمينه. يمكنك توفير مفتاح محمي بواسطة وحدة أمان الأجهزة (HSM) أو مفتاح محمي بواسطة البرامج. لمزيد من المعلومات، راجع وثائق Azure Key Vault وإنشاء وتكوين خزنة مفاتيح لتشفير قرص Azure.
PowerShell cmdlets لمزيد من المعلومات، راجع أوامر Azure PowerShell cmdlets.

الخطوات التالية