الأسئلة المتداولة حول تشفير قرص Azure Disk Encryption لأجهزة Windows الافتراضية

توفر هذه المقالة إجابات للأسئلة المتداولة (FAQ) حول تشفير قرص Azure Disk Encryption لأجهزة Windows VM. لمزيد من المعلومات حول هذه الخدمة، راجع نظرة عامة على تشفير قرص Azure.

ما المقصود بتشفير قرص Azure Disk Encryption لأجهزة Windows VM؟

يستخدم Azure Disk Encryption for Windows VMs ميزة BitLocker في Windows لتوفير تشفير القرص الكامل لقرص نظام التشغيل وأقراص البيانات. بالإضافة إلى ذلك، فإنه يوفر تشفير القرص المؤقت عندما تكون المعلمة VolumeType هي الكل. يتدفق المحتوى مشفرًا من الجهاز الظاهري إلى الواجهة الخلفية للتخزين. وبالتالي، يتم توفير التشفير من طرف إلى طرف باستخدام مفتاح يديره العميل.

راجع الأجهزة الظاهرية وأنظمة التشغيل المدعومة.

أين يوجد تشفير قرص Azure في التوفر العام (GA)؟

يتوفر تشفير قرص Azure Disk Encryption بشكل عام في جميع مناطق Azure العامة.

ما هي تجارب المستخدم المتوفرة مع Azure Disk Encryption؟

يدعم تشفير قرص Azure Disk Encryption GA قوالب Azure Resource Manager، وAzure PowerShell، و Azure CLI. تمنحك تجارب المستخدم المختلفة مرونة. لديك ثلاثة خيارات مختلفة لتمكين تشفير القرص للأجهزة الظاهرية. لمزيد من المعلومات حول تجربة المستخدم والإرشادات المفصلة خطوة بخطوة المتوفرة في تشفير قرص Azure، راجع سيناريوهات تشفير قرص Azure ل Windows.

كم تكلفة تشفير قرص Azure؟

لا توجد رسوم لتشفير أقراص VM باستخدام Azure Disk Encryption؛ ولكن هناك رسوم مرتبطة باستخدام Azure Key Vault. لمزيد من المعلومات حول تكاليف Azure Key Vault، راجع صفحة تسعير Key Vault.

كيف يمكنني البدء باستخدام تشفير قرص Azure؟

ما أحجام الأجهزة الظاهرية وأنظمة التشغيل التي تدعم تشفير قرص Azure؟

هل يمكنني تشفير وحدات تخزين كل من التمهيد والبيانات باستخدام تشفير قرص Azure؟

يمكنك تشفير كل من وحدات تخزين التمهيد والبيانات؛ ولكن لا يمكنك تشفير البيانات دون تشفير وحدة تخزين نظام التشغيل أولاً.

هل يمكنني تشفير وحدة تخزين غير مُحملة باستخدام تشفير قرص Azure؟

لا يقوم تشفير القرص في Azure Disk Encryption بتشفير وحدات التخزين المثبتة فقط.

ما هو تشفير التخزين من جانب الخادم؟

التشفير من جانب خادم التخزين يعمل على تشفير أقراص Azure المُدارة في مساحة تخزين Azure. تُشفر الأقراص المُدارة افتراضيًا باستخدام تشفير من جانب الخادم بواسطة مفتاح يُديره النظام الأساسي (اعتبارًا من 10 يونيو 2017). يمكنك إدارة تشفير الأقراص المُدارة باستخدام المفاتيح الخاصة بك عن طريق تحديد مفتاح يديره العميل. لمزيد من المعلومات، راجع التشفير من جانب الخادم للأقراص المدارة من Azure.

كيف يختلف تشفير القرص Azure Disk Encryption عن تشفير التخزين من جانب الخادم باستخدام مفتاح يديره العميل، ومتى يجب عليَّ استخدام كل حل؟

يوفر Azure Disk Encryption تشفيرًا شاملاً لقرص نظام التشغيل، وأقراص البيانات، والقرص المؤقت باستخدام مفتاح يديره العميل.

  • إذا كانت متطلباتك تتضمن تشفير كل ما سبق، والتشفير من طرف إلى طرف، فاستخدم Azure Disk Encryption.
  • إذا كانت متطلباتك تتضمن تشفير البيانات الثابتة فقط باستخدام المفتاح المُدار من قِبل العميل، فاستخدِم التشفير من جانب الخادم باستخدام المفاتيح المُدارة من قِبل العميل. لا يمكنك تشفير قرص باستخدام كل من التشفير من جانب خادم تشفير قرص Azure والتخزين باستخدام مفاتيح يديرها العميل.
  • إذا كنت تستخدم سيناريو يسمى في القيود، ففكر في التشفير من جانب الخادم باستخدام مفاتيح يديرها العميل.
  • إذا كانت سياسة مؤسستك تسمح لك بتشفير المحتوى في حالة عدم وجود مفتاح مُدار بواسطة Azure، فلا داعي لاتخاذ أي إجراء - يتم تشفير المحتوى افتراضيًّا. بالنسبة إلى الأقراص المُدارة، يُشفر المحتوى الموجود داخل وحدة التخزين افتراضيًّا باستخدام التشفير من جانب الخادم بواسطة مفتاح مُدار من قِبل النظام الأساسي. يُدار المفتاح بواسطة خدمة التخزين من Azure.

كيف أقوم بتدوير الأسرار أو مفاتيح التشفير؟

لتدوير الأسرار، ما عليك سوى استدعاء الأمر نفسه الذي استخدمته في الأصل لتمكين تشفير القرص، مع تحديد Key Vault مختلف. لتدوير مفتاح تشفير مفتاح، استدع الأمر نفسه الذي استخدمته في الأصل لتمكين تشفير القرص، مع تحديد تشفير المفتاح الجديد.

تحذير

  • إذا كنت قد استخدمت تشفير قرص Azure مسبقا مع تطبيق Microsoft Entra عن طريق تحديد بيانات اعتماد Microsoft Entra لتشفير هذا الجهاز الظاهري، يجب الاستمرار في استخدام هذا الخيار. استخدام تشفير قرص Azure بدون معرف Microsoft Entra على جهاز ظاهري تم تشفيره باستخدام تشفير قرص Azure مع معرف Microsoft Entra ليس سيناريو مدعوما بعد.

كيف يمكنني إضافة مفتاح تشفير المفتاح (KEK) أو إزالته إذا لم أستخدمه في الأصل؟

لإضافة مفتاح تشفير مفتاح، استدع أمر التمكين مرة أخرى لتمرير معلمة مفتاح تشفير المفتاح. لإزالة مفتاح تشفير مفتاح، استدع أمر التمكين مرة أخرى بدون معلمة مفتاح تشفير المفتاح.

ما هو الحجم الذي يجب استخدامه لمفتاح تشفير المفتاح (KEK)؟

يتضمن Windows Server 2022 وWindows 11 إصدارا أحدث من BitLocker ولا يعمل حاليا مع مفاتيح تشفير مفتاح RSA 2048 بت. حتى يتم حلها، استخدم مفاتيح RSA 3072 أو RSA 4096-bit، كما هو موضح في أنظمة التشغيل المدعومة.

بالنسبة للإصدار السابق من Windows، يمكنك بدلاً من ذلك استخدام مفاتيح تشفير مفاتيح RSA 2048.

هل يسمح لك تشفير Azure Disk Encryption بإحضار المفتاح الخاص بك (BYOK)؟

نعم، يمكنك توفير مفاتيح تشفير المفاتيح الخاصة بك. يتم حماية هذه المفاتيح في Azure Key Vault، وهو مخزن المفاتيح لتشفير قرص Azure. لمزيد من المعلومات حول سيناريوهات دعم مفاتيح تشفير المفاتيح، راجع إنشاء key vault وتكوينه لتشفير قرص Azure.

هل يمكنني استخدام مفتاح تشفير مفتاح تم إنشاؤه بواسطة Azure؟

نعم، يمكنك استخدام Azure Key Vault لإنشاء مفتاح تشفير مفتاح لاستخدام تشفير قرص Azure Disk Encryption. يتم حماية هذه المفاتيح في Azure Key Vault، وهو مخزن المفاتيح لتشفير قرص Azure. لمزيد من المعلومات حول مفتاح تشفير المفتاح، راجع إنشاء key vault وتكوينه لتشفير قرص Azure.

هل يمكنني استخدام خدمة إدارة المفاتيح المحلية أو HSM لحماية مفاتيح التشفير؟

لا يمكنك استخدام خدمة إدارة المفاتيح المحلية، أو HSM لحماية مفاتيح التشفير باستخدام Azure Disk Encryption. يمكنك فقط استخدام خدمة Azure Key Vault لحماية مفاتيح التشفير. لمزيد من المعلومات حول سيناريوهات دعم مفتاح تشفير المفتاح، راجع إنشاء key vault وتكوينه لتشفير قرص Azure.

ما هي المتطلبات الأساسية لتكوين تشفير قرص Azure Disk Encryption؟

هناك متطلبات أساسية لتشفير قرص Azure. راجع مقالة إنشاء key vault وتكوينه لتشفير قرص Azure لإنشاء key vault جديد، أو إعداد key vault موجود للوصول إلى تشفير القرص لتمكين التشفير وحماية الأسرار والمفاتيح. لمزيد من المعلومات حول سيناريوهات دعم مفتاح تشفير المفتاح، راجع إنشاء key vault وتكوينه لتشفير قرص Azure.

ما المتطلبات الأساسية لتكوين تشفير قرص Azure باستخدام تطبيق Microsoft Entra (الإصدار السابق)؟

هناك متطلبات أساسية لتشفير قرص Azure. راجع تشفير قرص Azure مع محتوى معرف Microsoft Entra لإنشاء تطبيق Microsoft Entra أو إنشاء مخزن مفاتيح جديد أو إعداد مخزن مفاتيح موجود للوصول إلى تشفير القرص لتمكين التشفير وحماية الأسرار والمفاتيح. لمزيد من المعلومات حول سيناريوهات دعم مفتاح تشفير المفاتيح، راجع إنشاء مخزن مفاتيح وتكوينه تشفير قرص Azure باستخدام معرف Microsoft Entra.

هل لا يزال تشفير قرص Azure باستخدام تطبيق Microsoft Entra (الإصدار السابق) مدعوما؟

نعم. لا يزال تشفير القرص باستخدام تطبيق Microsoft Entra مدعوما. ومع ذلك، عند تشفير أجهزة ظاهرية جديدة، يوصى باستخدام الأسلوب الجديد بدلا من التشفير باستخدام تطبيق Microsoft Entra.

هل يمكنني ترحيل الأجهزة الظاهرية التي تم تشفيرها باستخدام تطبيق Microsoft Entra إلى التشفير بدون تطبيق Microsoft Entra؟

حاليا، لا يوجد مسار ترحيل مباشر للأجهزة التي تم تشفيرها باستخدام تطبيق Microsoft Entra للتشفير دون تطبيق Microsoft Entra. بالإضافة إلى ذلك، لا يوجد مسار مباشر من التشفير بدون تطبيق Microsoft Entra إلى التشفير باستخدام تطبيق AD.

ما إصدار Azure PowerShell الذي يدعمه تشفير قرص Azure؟

استخدم أحدث إصدار من Azure PowerShell SDK لتكوين تشفير قرص Azure. قم بتنزيل أحدث إصدار من Azure PowerShell. تشفير قرص Azure غير مدعوم من Azure SDK الإصدار 1.1.0.

ما هو القرص "Bek Volume" أو "/ mnt / azure_bek_disk"؟

"Bek volume" هي وحدة تخزين بيانات محلية تخزن بشكل آمن مفاتيح التشفير للأجهزة الظاهرية المشفرة من Azure.

إشعار

لا تحذف أي محتويات في هذا القرص أو تحررها. لا تلغ تحميل القرص لأن وجود مفتاح التشفير مطلوب لأي عمليات تشفير على الجهاز الظاهري IaaS.

ما طريقة التشفير التي يستخدمها Azure Disk Encryption؟

يحدد Azure Disk Encryption طريقة التشفير في BitLocker بناءً على إصدار Windows كما يلي:

إصدارات Windows إصدار طريقة التشفير
Windows Server 2012، أو Windows 10، أو أحدث >=1511 XTS-AES 256 بت
Windows Server 2012، وWindows 8 و8.1 و10 < 1511 AES 256 بت *
نظام التشغيل Windows Server 2008R2 AES 256 بت مع ناشر

* ⁧AES 256 بت مع Diffuser غير مدعوم في Windows 2012 والإصدارات الأحدث.

لتحديد إصدار نظام التشغيل Windows، قم بتشغيل أداة 'winver' في جهازك الظاهري.

هل يمكنني عمل نسخ احتياطي واستعادة جهاز ظاهري مشفر؟

يوفر Azure Backup آلية لنسخ الأجهزة الظاهرية المشفرة احتياطيا واستعادتها داخل نفس الاشتراك والمنطقة. للحصول على الإرشادات، راجع النسخ الاحتياطي واستعادة الأجهزة الظاهرية المشفرة باستخدام Azure Backup. استعادة جهاز ظاهري مشفر إلى منطقة مختلفة غير مدعوم حاليا.

أين يمكنني طرح الأسئلة أو تقديم الملاحظات؟

يمكنك طرح أسئلة أو تقديم ملاحظات في صفحة أسئلة وأجوبة Microsoft لتشفير قرص Azure.

الخطوات التالية

في هذا المستند، تعلمت المزيد حول الأسئلة الأكثر شيوعًا المتعلقة بتشفير قرص Azure Disk Encryption. لمزيد من المعلومات حول هذه الخدمة، اطلّع على المقالات التالية: