Azure Disk Encryption للأجهزة الظاهرية لـ Linux
تنبيه
تشير هذه المقالة إلى CentOS، وهو توزيع Linux يقترب من حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.
ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ مجموعات مقياس مرنة
يساعدك تشفير قرص Azure على حماية بياناتك وحفظها للوفاء بالتزامات الأمان والتوافق المؤسسي. ويستخدم ميزة DM-Crypt لـ Linux لتوفير تشفير حجم لنظام التشغيل وأقراص البيانات من الأجهزة الظاهرية لـ Azure، ويتم دمجها باستخدام Azure Key Vault لمساعدتك على التحكم وإدارة مفاتيح التشفير القرص والأسرار.
يعد تشفير القرص في Azure مرنًا للمنطقة، تمامًا مثل الأجهزة الظاهرية. لمزيد من التفاصيل، راجع خدمات Azure التي تدعم مناطق التوفر.
إذا كنت تستخدم Microsoft Defender لـ Cloud، فسيتم تنبيهك إذا كان لديك أجهزة ظاهرية غير مشفرة. تظهر التنبيهات كخطورة عالية والتوصية هي تشفير هذه الأجهزة الظاهرية.
تحذير
- إذا كنت قد استخدمت تشفير قرص Azure مسبقا مع معرف Microsoft Entra لتشفير جهاز ظاهري، يجب الاستمرار في استخدام هذا الخيار لتشفير الجهاز الظاهري الخاص بك. راجع تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق) للحصول على التفاصيل.
- قد تؤدي بعض التوصيات إلى زيادة استخدام البيانات أو الشبكة أو حساب الموارد، مما يؤدي إلى تكاليف ترخيص أو اشتراك إضافية. يجب أن يكون لديك اشتراك Azure نشط صالح لإنشاء موارد في Azure في المناطق المدعومة.
يمكنك التعرف على أساسيات تشفير قرص Azure لنظام التشغيل Linux في بضع دقائق فقط باستخدام إنشاء جهاز ظاهري Linux وتشفيره باستخدام التشغيل السريع ل Azure CLI أو إنشاء جهاز ظاهري Linux وتشفيره باستخدام التشغيل السريع Azure PowerShell.
الأجهزة الظاهرية المدعومة وأنظمة التشغيل
الأجهزة الظاهرية المعتمدة
تتوفر الأجهزة الظاهرية لـ Linux في مجموعة من الأحجام. يتم دعم Azure Disk Encryption على الأجهزة الظاهرية من الجيل 1 والجيل 2. يتوفر Azure Disk Encryption أيضاً للأجهزة الظاهرية مع سعة تخزين متميزة.
راجع أحجام Azure VM بدون قرص مؤقت محلي.
تكون Azure Disk Encryption غير متوفرة على الأساسية أو أجهزة ظاهرية من A-series أو على الأجهزة الظاهرية التي لا تفي بمتطلبات الذاكرة الدنيا هذه
متطلبات الذاكرة
| الجهاز الظاهري | الحد الأدنى من متطلبات الذاكرة |
|---|---|
| الأجهزة الظاهرية لـ Linux عند تشفير وحدات تخزين البيانات فقط | 2 جيجابايت |
| أجهزة Linux الظاهرية عند تشفير كل من البيانات ووحدات تخزين نظام التشغيل، وحيث يكون استخدام نظام الملفات الجذر (/) 4 غيغابايت أو أقل | 8 غيغابايت |
| أجهزة Linux الظاهرية عند تشفير كل من البيانات ووحدات تخزين نظام التشغيل، وحيث يكون استخدام نظام الملفات الجذر (/) أكبر من 4 غيغابايت | The root file system usage * 2. على سبيل المثال، يتطلب استخدام نظام الملفات الجذر 16 غيغابايت على الأقل 32 غيغابايت من ذاكرة الوصول العشوائي |
بمجرد اكتمال عملية تشفير قرص نظام التشغيل على الأجهزة الظاهرية Linux، يمكن تكوين الجهاز الظاهري لتشغيل ذاكرة أقل.
لمزيد من الاستثناءات، راجع تشفير قرص Azure: القيود.
أنظمة التشغيل المدعومة
يتم دعم تشفير قرص Azure على مجموعة فرعية من توزيعات Linux المعتمدة من Azure، والتي تعد في حد ذاتها مجموعة فرعية من جميع التوزيعات المحتملة لخادم Linux.
لا تدعم توزيعات خوادم Linux التي لم يتم اعتمادها من قبل Azure تشفير قرص Azure؛ ومن بين التوزيعات والإصدارات المعتمدة، تدعم تشفير قرص Azure فقط توزيعات وإصدارات Linux:
| الناشر | العرض | وحدة حفظ المخزون SKU | URN | نوع وحدة التخزين المدعومة للتشفير |
|---|---|---|---|---|
| Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu | 22.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | نظام التشغيل وقرص البيانات |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | نظام التشغيل وقرص البيانات |
| MicrosoftCBLMariner | Cbl-Mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | نظام التشغيل وقرص البيانات |
| MicrosoftCBLMariner | Cbl-Mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 7.4 | 7.4 | OpenLogic:CentOS:7.4:latest | نظام التشغيل وقرص البيانات |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | قرص البيانات فقط |
| Oracle | Oracle Linux 8.6 | 8.6 | Oracle:Oracle-Linux:ol86-lvm:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| Oracle | Oracle Linux 8.6 Gen 2 | 8.6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| Oracle | Oracle Linux 8.5 | 8.5 | Oracle:Oracle-Linux:ol85-lvm:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| Oracle | Oracle Linux 8.5 Gen 2 | 8.5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 9.2 | 9.2 | RedHat:RHEL:9_2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 9.2 Gen 2 | 9.2 | RedHat:RHEL:92-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 9.0 Gen 2 | 9.0 | RedHat:RHEL:90-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 9-lvm | 9-lvm | RedHat:RHEL:9-lvm:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 9-lvm Gen 2 | 9-lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.9 | 8.9 | RedHat:RHEL:8_9:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.9 Gen 2 | 8.9 | RedHat:RHEL:89-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.8 Gen 2 | 8.8 | RedHat:RHEL:88-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.7 | 8.7 | RedHat:RHEL:8_7:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.7 Gen 2 | 8.7 | RedHat:RHEL:87-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.6 | 8.6 | RedHat:RHEL:8_6:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.6 Gen 2 | 8.6 | RedHat:RHEL:86-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.5 | 8.5 | RedHat:RHEL:8_5:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.5 Gen 2 | 8.5 | RedHat:RHEL:85-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8-LVM Gen 2 | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7.8 | 7.8 | RedHat:RHEL:7.8:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 7.4 | 7.4 | RedHat:RHEL:7.4:latest | نظام التشغيل وقرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | قرص البيانات (انظر الملاحظة أدناه) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | قرص البيانات (انظر الملاحظة أدناه) |
| SUSE | OpenSUSE 42.3+ | 42.3 | SUSE:openSUSE-Leap:42.3:latest | قرص البيانات فقط |
| SUSE | SLES 12-SP4 | 12 SP4 | SUSE:SLES:12-SP4:latest | قرص البيانات فقط |
| SUSE | SLES HPC 12-SP3 | 12 SP3 | SUSE:SLES-HPC:12-SP3:latest | قرص البيانات فقط |
* لإصدارات الصور الأكبر من مايو 2023 أو مساوية له.
إشعار
Rhel:
- يتم دعم تطبيق تشفير قرص Azure الجديد لنظام التشغيل RHEL وقرص البيانات لصور RHEL7 Pay-As-You-Go.
- يتم دعم ADE أيضا ل RHEL Bring-Your-Own-Subscription Gold Images، ولكن فقط بعد تسجيل الاشتراك. لمزيد من المعلومات، راجع Red Hat Enterprise Linux Bring-Your-Own-Subscription Gold Images في Azure
جميع توزيعات:
- لا يمتد دعم ADE لنوع عرض معين إلى ما بعد تاريخ نهاية العمر الافتراضي الذي يقدمه الناشر.
- لا ينصح بحل ADE القديم (باستخدام بيانات اعتماد Microsoft Entra) للأجهزة الظاهرية الجديدة ولا يتوافق مع إصدارات RHEL الأحدث من RHEL 7.8 أو مع Python 3 كافتراضي.
المتطلبات الإضافية للأجهزة الظاهرية
يتطلب Azure Disk Encryption لـ dm-crypt والوحدات النمطية لتكون موجودة على النظام. إزالة أو تعطيل من الصورة الافتراضية سيمنع النظام من قراءة وحدة تخزين المفتاح والحصول على المفتاح المطلوب لإلغاء تأمين الأقراص على تمهيد اللاحقة. خطوات تصلب النظام التي تزيل وحدة vfat من النظام أو تفرض توسيع نقاط تحميل / مجلدات نظام التشغيل على محركات أقراص البيانات غير متوافقة مع تشفير قرص Azure.
قبل تمكين التشفير، يجب إدراج أقراص البيانات المراد تشفيرها بشكل صحيح في /etc/fstab. استخدم الخيار "nofail" عند إنشاء إدخالات، واختر اسم جهاز كتلة مستمر (حيث قد لا تكون أسماء الأجهزة بتنسيق "/dev/sdX" مقترنة بنفس القرص عبر عمليات إعادة التشغيل، خاصة بعد التشفير؛ لمزيد من التفاصيل حول هذا السلوك، راجع: استكشاف أخطاء تغييرات اسم جهاز Linux VM وإصلاحها).
تأكد من تكوين إعدادات /etc/fstab بشكل صحيح للتركيب. لتكوين هذه الإعدادات، قم بتشغيل الأمر mount -a أو أعد تشغيل الجهاز الظاهري وقم بتشغيل إعادة التحميل بهذه الطريقة. بمجرد اكتمال ذلك، تحقق من إخراج الأمر lsblk للتحقق من أن محرك الأقراص لا يزال محمولا.
- إذا لم يقم الملف /etc/fstab بتحميل محرك الأقراص بشكل صحيح قبل تمكين التشفير، فلن يتمكن تشفير قرص Azure من تركيبه بشكل صحيح.
- ستقوم عملية تشفير قرص Azure بنقل معلومات التحميل من /etc/fstab إلى ملف التكوين الخاص بها كجزء من عملية التشفير. لا تنزعج لرؤية الإدخال مفقودا من /etc/fstab بعد اكتمال تشفير محرك البيانات.
- قبل بدء التشفير، تأكد من إيقاف جميع الخدمات والعمليات التي يمكن أن تكتب إلى أقراص البيانات المثبتة وتعطيلها، بحيث لا يتم إعادة تشغيلها تلقائيا بعد إعادة التشغيل. يمكن أن تبقي هذه الملفات مفتوحة على هذه الأقسام، مما يمنع إجراء التشفير من إعادة تحميلها، مما يتسبب في فشل التشفير.
- بعد إعادة التشغيل، سيستغرق الأمر بعض الوقت حتى تقوم عملية تشفير قرص Azure بتحميل الأقراص المشفرة حديثا. لن تكون متاحة على الفور بعد إعادة التشغيل. تحتاج العملية إلى وقت لبدء تشغيل محركات الأقراص المشفرة وإلغاء قفلها ثم تركيبها قبل أن تكون متاحة للعمليات الأخرى للوصول إليها. قد تستغرق هذه العملية أكثر من دقيقة بعد إعادة التشغيل اعتمادا على خصائص النظام.
فيما يلي مثال على الأوامر المستخدمة لتحميل أقراص البيانات وإنشاء إدخالات /etc/fstab الضرورية:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
متطلبات الشبكات
لتمكين Azure Disk Encryption يجب أن تفي الأجهزة الظاهرية لمتطلبات تكوين نقطة نهاية الشبكة التالية:
- للحصول على رمز مميز للاتصال بخزنة المفاتيح الخاصة بك، يجب أن يكون جهاز Linux الظاهري قادرا على الاتصال بنقطة نهاية Microsoft Entra، [login.microsoftonline.com].
- لكتابة مفاتيح التشفير إلى مخزن رئيسي خاص بك، يجب أن يكون جهاز Linux الظاهري قادرًا على الاتصال بنقطة نهاية المخزن الرئيسي.
- يجب أن يكون الجهاز الظاهري Linux قادراً على الاتصال بـ Azure storage endpoint التي تستضيف Azure extension repository وحساب تخزين Azure الذي يستضيف ملفات VHD.
- إذا كان نهج الأمان الخاص بك يحد من الوصول من الأجهزة الظاهرية لـ Azure إلى الإنترنت، يمكنك حل "URL" السابقة وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.
متطلبات تخزين مفتاح التشفير
يتطلب تشفير القرص Azure Vault مفتاح Azure للتحكم في مفاتيح تشفير القرص والأسرار وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.
لمزيد من التفاصيل راجع إنشاء مخزن مفاتيح وتكوينه لتشفير Azure Disk Encryption.
المصطلحات
يعرف الجدول التالي بعض المصطلحات الشائعة المستخدمة في وثائق تشفير القرص Azure:
| المصطلحات | التعريف |
|---|---|
| Azure Key Vault | Key Vault هي خدمة تشفير وإدارة المفاتيح التي تستند إلى وحدات أمان الأجهزة المعتمدة لمعايير معالجة المعلومات الفيدرالية (FIPS). تساعد هذه المعايير على حماية مفاتيح التشفير والأسرار الحساسة. لمزيد من المعلومات، راجع وثائق Azure Key Vault وإنشاء وتكوين خزنة مفاتيح لتشفير قرص Azure. |
| Azure CLI | The Azure CLI مُحسّن لإدارة موارد Azure وإدارتها من سطر الأوامر. |
| DM-Crypt | DM-Crypt هو نظام فرعي شفاف لتشفير الأقراص يستند إلى Linux ويستخدم لتمكين تشفير القرص على أجهزة Linux الظاهرية. |
| مفتاح تشفير المفتاح (KEK) | المفتاح غير المتماثل (RSA 2048) الذي يمكنك استخدامه لحماية السر أو تضمينه. يمكنك توفير مفتاح محمي بواسطة وحدة أمان الأجهزة (HSM) أو مفتاح محمي بواسطة البرامج. لمزيد من المعلومات، راجع وثائق Azure Key Vault وإنشاء وتكوين خزنة مفاتيح لتشفير قرص Azure. |
| PowerShell cmdlets | لمزيد من المعلومات، راجع أوامر Azure PowerShell cmdlets. |
الخطوات التالية
- التشغيل السريع - إنشاء وتشفير جهاز لينكس VM مع Azure CLI
- التشغيل السريع - إنشاء جهاز ظاهري لينكس وتشفيره باستخدام Azure PowerShell
- سيناريوهات تشفير قرص Azure على أجهزة ظاهرية تعمل بنظام Windows
- تشفير قرص Azure المتطلبات الأساسية البرنامج النصي CLI
- المتطلبات الأساسية تشفير قرص Azure البرنامج النصي PowerShell
- إنشاء مخزن مفاتيح وتكوينه تشفير قرص Azure