Šifrování Azure Disk Storage na straně serveru

Platí pro: ✔️ virtuální počítače s Linuxem ✔️ virtuální počítače s Windows ✔️ flexibilní škálovací sady ✔️ uniformní škálovací sady

Většina Azure spravovaných disků se šifruje pomocí šifrování Azure Storage, které používá šifrování na straně serveru (SSE) k ochraně dat a k zajištění splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Azure Storage šifrování automaticky šifruje vaše data uložená na azurem spravovaných discích (OS disky a datové disky) ve výchozím nastavení v klidovém stavu při jejich ukládání do cloudu. Disky s povoleným šifrováním na hostiteli se ale nešifrují prostřednictvím Azure Storage. Pro disky s povoleným šifrováním na hostiteli poskytuje server hostující virtuální počítač šifrování vašich dat a šifrovaná data proudí do Azure Storage.

Data ve Azure spravovaných discích se transparentně šifrují pomocí 256bitového šifrování AES, jedné z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech základních Azure spravovaných disků najdete v tématu Kryptografické rozhraní API: Další generace

Azure Storage šifrování nemá vliv na výkon spravovaných disků a žádné další náklady. Další informace o šifrování Azure Storage najdete v tématu Azure Storage šifrování.

Důležité

Dočasné disky nejsou spravované disky a nejsou šifrované protokolem SSE, pokud nepovolíte šifrování v hostiteli.

Azure virtuální počítače verze 5 a vyšší (například Dsv5 nebo Dsv6) automaticky šifrují dočasné disky a (pokud se používají) dočasné disky s operačním systémem s šifrováním neaktivních uložených dat.

Správa šifrovacích klíčů

Pro šifrování spravovaného disku můžete spoléhat na klíče spravované platformou nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování všech dat na spravovaných discích.

Následující části popisují jednotlivé možnosti správy klíčů podrobněji.

Klíče spravované platformou

Spravované disky ve výchozím nastavení používají šifrovací klíče spravované platformou. Všechny spravované disky, snímky, obrazy a data zapsaná do stávajících spravovaných disků jsou automaticky šifrovány v klidu s klíči spravovanými platformou. Klíče spravované platformou spravuje Microsoft.

Klíče spravované zákazníkem

Šifrování můžete spravovat na úrovni každého spravovaného disku s vlastními klíči. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu.

K ukládání klíčů spravovaných zákazníkem musíte použít jedno z následujících úložišť klíčů Azure:

• Azure Key Vault (úroveň Premium doporučená pro ochranu klíčů založených na HSM)
• Azure Key Vault spravovaný modul hardwarového zabezpečení (HSM)

Můžete buď importovat vaše klíče RSA do služby Key Vault nebo vygenerovat nové klíče RSA v Azure Key Vault. Azure spravované disky zpracovávají šifrování a dešifrování plně transparentním způsobem pomocí šifrování obálky. Šifruje data pomocí šifrovacího klíče založeného na AES 256 (DEK), který je zase chráněný pomocí vašich klíčů. Služba Storage generuje šifrovací klíče dat a šifruje je pomocí klíčů spravovaných zákazníkem pomocí šifrování RSA. Šifrování obálek umožňuje pravidelně obměňovat (měnit) klíče podle zásad dodržování předpisů, aniž by to mělo vliv na vaše virtuální počítače. Když otočíte své klíče, služba úložiště znovu zabalí šifrovací klíče pro data novou verzí klíče spravovanou zákazníkem. Samotná podkladová data disku nejsou znovu zašifrována. Staré i nové verze klíčů musí zůstat povolené, dokud není přebalení dokončeno.

Spravované disky a Key Vault nebo spravovaný HSM musí být ve stejné oblasti Azure, ale mohou být v různých předplatných. Musí být také ve stejném tenantovi Microsoft Entra, pokud nepoužíváte Kryptované disky s klíči spravovanými zákazníkem napříč tenanty.

Úplné řízení vašich klíčů

Přístup ke spravovaným diskům ve vašem Key Vault nebo spravovaném HSM musíte udělit, aby vaše klíče mohly být použity k šifrování a dešifrování DEK. To vám umožní úplnou kontrolu nad daty a klíči. Klíče můžete kdykoli zakázat nebo odvolat přístup ke spravovaným diskům. Můžete také auditovat použití šifrovacího klíče pomocí monitorování Azure Key Vault, abyste zajistili, že ke klíčům přistupují jenom spravované disky nebo jiné důvěryhodné Azure služby.

Důležité

Pokud je klíč zakázán, odstraněn nebo vypršela jeho platnost, všechny virtuální počítače s operačním systémem nebo datovými disky, které tento klíč používají, se automaticky vypne. Po automatickém vypnutí se virtuální počítače nespustí, dokud se klíč znovu nepovolí nebo nepřiřadíte nový klíč.

Obecně platí, že vstupně-výstupní operace disku (operace čtení nebo zápisu) začnou selhávat jednu hodinu po zakázání, odstranění nebo vypršení platnosti klíče.

Následující diagram ukazuje, jak spravované disky používají Microsoft Entra ID a Azure Key Vault k provádění žádostí pomocí klíče spravovaného zákazníkem:

Následující seznam podrobněji vysvětluje diagram:

1. Správce Azure Key Vault vytvoří prostředky trezoru klíčů.
2. Správce key vault buď naimportuje klíče RSA do Key Vault, nebo v Key Vault vygeneruje nové klíče RSA.
3. Tento správce vytvoří instanci prostředku Sady šifrování disku, zadá ID Azure Key Vault a adresu URL klíče. Sada šifrování disků je nový prostředek, který zjednodušuje správu klíčů pro spravované disky.
4. Po vytvoření sady šifrování disku se v Microsoft Entra ID vytvoří spravovaná identita přiřazená systémem a přidružená k sadě šifrování disku.
5. Správce Azure trezoru klíčů pak udělí spravované identitě oprávnění k provádění operací v trezoru klíčů.
6. Uživatel virtuálního počítače vytvoří disky tím, že je přidruží k sadě šifrování disku. Uživatel virtuálního počítače může také povolit šifrování na straně serveru s klíči spravovanými zákazníkem pro existující prostředky tím, že je přidruží k sadě šifrování disku.
7. Spravované disky používají spravovanou identitu k odesílání požadavků do Azure Key Vault.
8. Při čtení nebo zápisu dat odesílají spravované disky požadavky do Azure Key Vault pro zašifrování (zabalení) a dešifrování (rozbalení) klíče pro šifrování dat za účelem šifrování a dešifrování dat.

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, viz „Azure Key Vault PowerShell“ a „Azure Key Vault CLI“. Odvolání přístupu efektivně blokuje přístup ke všem datům v účtu úložiště, protože šifrovací klíč je nepřístupný Azure Storage.

Automatická obměna klíčů spravovaných zákazníkem

Obecně platí, že pokud používáte klíče spravované zákazníkem, měli byste povolit automatickou obměnu klíčů na nejnovější verzi klíče. Automatická obměně klíčů pomáhá zajistit zabezpečení vašich klíčů. Disk odkazuje na klíč prostřednictvím sady šifrování disku. Když povolíte automatickou rotaci sady šifrování disků, systém automaticky aktualizuje všechny spravované disky, snímky a obrazy, které odkazují na sadu šifrování disků, tak aby do jedné hodiny používaly novou verzi klíče. Informace o povolení klíčů spravovaných zákazníkem pomocí automatické obměna klíčů najdete v tématu Nastavte Azure Key Vault a DiskEncryptionSet pomocí automatické obměna klíčů.

Poznámka:

Virtual Machines se při automatické obměně klíčů nerestartují.

Pokud nemůžete povolit automatické obměně klíčů, můžete k upozorňování před vypršením platnosti klíčů použít jiné metody. Tímto způsobem můžete klíče před vypršením platnosti otočit a zachovat kontinuitu podnikových procesů. K odeslání oznámení můžete použít buď Azure Policy nebo Azure Event Grid k odeslání oznámení, jakmile vyprší platnost klíče.

Omezení

Klíče spravované zákazníkem mají prozatím následující omezení:

• Pokud je tato funkce povolená pro disk s přírůstkovými snímky, není možné ji na tomto disku ani jeho snímky zakázat. Pokud chcete tento problém obejít, zkopírujte všechna data na zcela jiný spravovaný disk, který nepoužívá klíče spravované zákazníkem. Můžete to udělat pomocí modulu Azure CLI nebo modulu Azure PowerShell.
• Disk a všechny přidružené přírůstkové snímky musí mít stejnou sadu šifrování disku.
• Podporovány jsou pouze softwarové a HSM RSA klíče o velikostech 2 048 bitů, 3 072 bitů a 4 096 bitů, žádné jiné klíče ani velikosti.
  • klíče HSM vyžadují úroveň premium trezorů klíčů Azure.
• Pouze pro disky Úrovně Ultra a disky SSD úrovně Premium v2:
  • (Preview) Spravované identity přiřazené uživatelem jsou k dispozici pro Ultra Disks a Premium SSD v2 disky šifrované pomocí klíčů spravovaných zákazníkem.
• Většina prostředků souvisejících s klíči spravovanými zákazníkem (sady šifrování disků, virtuální počítače, disky a snímky) musí být ve stejném předplatném a oblasti.
  • Azure Key Vault může být používán z jiného předplatného, ale musí být ve stejné oblasti jako vaše sada pro šifrování disků. Azure trezory klíčů v různých tenantech Microsoft Entra jsou podporované pro spravované disky. Podrobnosti najdete v tématu Šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem napříč tenanty.
• Disky šifrované pomocí klíčů spravovaných zákazníkem se můžou přesunout jenom do jiné skupiny prostředků, pokud je virtuální počítač, ke kterému jsou připojeny, uvolněn ze zdrojů.
• Disky, snímky a image šifrované pomocí klíčů spravovaných zákazníkem se mezi předplatnými nedají přesouvat.
• Spravované disky aktuálně nebo dříve šifrované pomocí Azure Disk Encryption není možné šifrovat pomocí klíčů spravovaných zákazníkem.
• Může vytvořit až 5 000 sad šifrování disků pro každou oblast na předplatné.
• Informace o používání klíčů spravovaných zákazníkem se sdílenými galeriemi imagí najdete v tématu Preview: Použití klíčů spravovaných zákazníkem pro šifrování imagí.

Podporované oblasti

Klíče spravované zákazníkem jsou k dispozici ve všech oblastech, ve kterých jsou k dispozici spravované disky.

Důležité

Klíče spravované zákazníkem využívají spravované identity pro prostředky Azure, která je součástí Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům na pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho Microsoft Entra adresáře do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Přenos předplatného mezi adresáři Microsoft Entra.

Pokud chcete povolit klíče spravované zákazníkem pro spravované disky, přečtěte si články o tom, jak je povolit pomocí modulu Azure PowerShell, Azure CLI nebo portálu Azure.

Viz Vytvoření spravovaného disku ze snímku pomocí rozhraní příkazového řádku pro ukázku kódu.

Šifrování na hostiteli – Kompletní šifrování dat virtuálních počítačů

Když povolíte šifrování na hostiteli, spustí se toto šifrování na samotném hostiteli virtuálního počítače, Azure server, kterému je váš virtuální počítač přidělen. Data dočasného disku a mezipamětí operačního systému a datového disku jsou uložená na daném hostiteli virtuálního počítače. Po povolení šifrování v hostiteli se všechna tato data šifrují v klidovém stavu a toky se zašifrují do služby Storage, kde se uchovávají. Šifrování v hostiteli v podstatě šifruje vaše data od začátku do konce. Šifrování na hostiteli nepoužívá procesor virtuálního počítače a nemá vliv na výkon virtuálního počítače.

Dočasné disky a dočasné disky s operačním systémem se při povolování kompletního šifrování šifrují pomocí klíčů spravovaných platformou. Neaktivní uložené mezipaměti operačního systému a datového disku se šifrují pomocí klíčů spravovaných zákazníkem nebo spravovaných platformou v závislosti na vybraném typu šifrování disku. Pokud je například disk šifrovaný pomocí klíčů spravovaných zákazníkem, pak se mezipaměť disku zašifruje pomocí klíčů spravovaných zákazníkem a pokud je disk šifrovaný pomocí klíčů spravovaných platformou, mezipaměť disku se zašifruje pomocí klíčů spravovaných platformou.

Omezení

• Nejde povolit na virtuálních počítačích nebo škálovacích sadách virtuálních počítačů, které aktuálně nebo kdy měly Azure Disk Encryption povolené.
• Azure Disk Encryption není možné povolit na discích s povoleným šifrováním na hostiteli.
• Šifrování je možné povolit ve stávajících škálovacích sadách virtuálních počítačů. Po povolení šifrování se ale automaticky zašifrují jenom nové virtuální počítače vytvořené po povolení šifrování.
• Aby bylo možné šifrovat stávající virtuální počítače, musí být odpojené a znovu přidělené.

Následující omezení platí jenom pro disky Úrovně Ultra a SSD úrovně Premium v2:

• Po 13. 5. 2023 je potřeba vytvořit disky s velikostí sektoru 512e.
  • Pokud byl disk vytvořen před tímto datem, vytvořte snímek disku a vytvořte nový disk pomocí snímku.

Podporované velikosti virtuálních počítačů

Úplný seznam podporovaných velikostí virtuálních počítačů je možné načíst prostřednictvím kódu programu. Informace o tom, jak je načíst prostřednictvím kódu programu, najdete v části věnované vyhledání podporovaných velikostí virtuálních počítačů v článcích Azure PowerShell nebo Azure CLI.

Pokud chcete povolit komplexní šifrování pomocí šifrování na hostiteli, přečtěte si články o tom, jak ho povolit pomocí modulu Azure PowerShell, Azure CLI nebo portálu Azure.

Dvojité šifrování dat v klidu

Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se teď můžou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. Tuto novou vrstvu je možné použít pro trvalé disky s operačním systémem a datovými disky, snímky a obrazy, což vše bude v uloženém stavu zašifrováno dvojitým šifrováním.

Omezení

U disků Ultra nebo disků SSD úrovně Premium v2 se v současné době dvojité šifrování dat v klidu nepodporuje.

Pokud chcete pro spravované disky povolit dvojité šifrování neaktivních uložených dat, přečtěte si téma Povolení dvojitého šifrování neaktivních uložených dat pro spravované disky.

Šifrování v hostiteli versus šifrování disků Azure

Azure Disk Encryption využívá funkci DM-Crypt z Linuxu nebo funkci BitLocker z Windows k šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem v rámci hostovaného VM. Šifrování na straně serveru se šifrováním hostitele je vylepšením oproti ADE. Při šifrování na hostiteli se data dočasného disku a mezipamětí disku s operačním systémem a datovými disky ukládají na daném hostiteli virtuálních počítačů. Po povolení šifrování v hostiteli se všechna tato data šifrují v klidovém stavu a toky se zašifrují do služby Storage, kde se uchovávají. Šifrování v hostiteli v podstatě šifruje vaše data od začátku do konce. Šifrování na hostiteli nepoužívá procesor virtuálního počítače a nemá vliv na výkon virtuálního počítače.

Důležité

Klíče spravované zákazníkem využívají spravované identity pro prostředky Azure, která je součástí Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům na pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho Microsoft Entra adresáře do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Přenos předplatného mezi adresáři Microsoft Entra.

Další kroky

• Povolte komplexní šifrování pomocí šifrování na hostiteli pomocí modulu Azure PowerShell, Azure CLI nebo portálu Azure.
• Pokud chcete pro spravované disky povolit dvojité šifrování neaktivních uložených dat, přečtěte si téma Povolení dvojitého šifrování neaktivních uložených dat pro spravované disky.
• Povolte klíče spravované zákazníkem pro spravované disky pomocí modulu Azure PowerShell, Azure CLI nebo Azure portal.
• Migrace z Azure Disk Encryption na šifrování na straně serveru
• Prozkoumejte šablony Azure Resource Manager pro vytváření šifrovaných disků s klíči spravovanými zákazníkem
• Co je Azure Key Vault?