Sdílet prostřednictvím

Šifrování Azure Disk Storage na straně serveru

  • Článek

Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ Virtuální počítače s Windows ✔️ Flexibilní škálovací sady ✔️ Uniformní škálovací sady

Většina disků pod správou služby Azure je zašifrována pomocí šifrování Azure Storage, které používá šifrování na straně serveru (SSE) k ochraně vašich dat a pomáhá splnit vaše závazky v oblasti zabezpečení a dodržování předpisů. Šifrování Azure Storage automaticky ve výchozím nastavení šifruje vaše data uložená na discích pod správou Azure (OS a datové disky), když je uchováváte v cloudu. Disky s povoleným šifrováním na hostiteli se ale nešifrují prostřednictvím služby Azure Storage. U disků se šifrováním povoleným u hostitele poskytuje šifrování dat server hostující váš virtuální počítač a šifrovaná data proudí do úložiště Azure Storage.

Data ve spravovaných discích Azure se transparentně šifrují pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech, které jsou základem spravovaných disků Azure, najdete v tématu Rozhraní API kryptografie: Další generace.

Šifrování služby Azure Storage nemá vliv na výkon spravovaných disků a žádné další náklady. Další informace o šifrování služby Azure Storage najdete v tématu Šifrování služby Azure Storage.

Důležité

Dočasné disky nejsou spravované disky a nejsou šifrované protokolem SSE, pokud nepovolíte šifrování v hostiteli.

Virtuální počítače Azure, které jsou verze 5 a vyšší (například Dsv5 nebo Dsv6), automaticky šifrují dočasné disky a (pokud se používají) efemérní disky OS s šifrováním v klidu.

Správa šifrovacích klíčů

Pro šifrování spravovaného disku můžete spoléhat na klíče spravované platformou nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování všech dat na spravovaných discích.

Následující části popisují jednotlivé možnosti správy klíčů podrobněji.

Klíče spravované platformou

Spravované disky ve výchozím nastavení používají šifrovací klíče spravované platformou. Všechny spravované disky, snímky, obrazy a data zapsaná do stávajících spravovaných disků jsou automaticky šifrovány v klidu s klíči spravovanými platformou. Klíče spravované platformou spravuje Microsoft.

Klíče spravované zákazníkem

Šifrování můžete spravovat na úrovni každého spravovaného disku s vlastními klíči. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu.

K ukládání klíčů spravovaných zákazníkem musíte použít jedno z následujících úložišť klíčů Azure:

Můžete buď importovat klíče RSA do služby Key Vault, nebo vygenerovat nové klíče RSA ve službě Azure Key Vault. Spravované disky Azure zpracovávají šifrování a dešifrování plně transparentním způsobem pomocí šifrování obálek. Šifruje data pomocí šifrovacího klíče založeného na AES 256 (DEK), který je zase chráněný pomocí vašich klíčů. Služba Storage generuje šifrovací klíče dat a šifruje je pomocí klíčů spravovaných zákazníkem pomocí šifrování RSA. Šifrování obálek umožňuje pravidelně obměňovat (měnit) klíče podle zásad dodržování předpisů, aniž by to mělo vliv na vaše virtuální počítače. Při obměně klíčů služba Storage znovu zašifruje šifrovací klíče dat pomocí nových klíčů spravovaných zákazníkem.

Spravované disky a Key Vault nebo spravovaný HSM musí být ve stejné oblasti Azure, ale můžou být v různých předplatných. Musí být také ve stejném tenantovi Microsoft Entra, pokud nepoužíváte šifrování spravovaných disků s klíči spravovanými mezi tenanty spravovanými zákazníky.

Úplné řízení vašich klíčů

Abyste mohli své klíče používat k šifrování a dešifrování klíčů DEK, musíte udělit přístup ke spravovaným diskům ve vašem Key Vaultu nebo ve spravovaném HSM. To vám umožní úplnou kontrolu nad daty a klíči. Klíče můžete kdykoli zakázat nebo odvolat přístup ke spravovaným diskům. Pomocí monitorování služby Azure Key Vault můžete také auditovat použití šifrovacího klíče, abyste zajistili, že k vašim klíčům přistupují jenom spravované disky nebo jiné důvěryhodné služby Azure.

Důležité

Pokud je klíč zakázán, odstraněn nebo vypršela jeho platnost, všechny virtuální počítače s operačním systémem nebo datovými disky, které tento klíč používají, se automaticky vypne. Po automatickém vypnutí se virtuální počítače nespustí, dokud se klíč znovu nepovolí nebo nepřiřadíte nový klíč.

Obecně platí, že vstupně-výstupní operace disku (operace čtení nebo zápisu) začnou selhávat jednu hodinu po zakázání, odstranění nebo vypršení platnosti klíče.

Následující diagram ukazuje, jak spravované disky používají Microsoft Entra ID a Azure Key Vault k vytváření žádostí pomocí klíče spravovaného zákazníkem:

Diagram pracovního postupu spravovaných disků a klíčů spravovaných zákazníkem Správce vytvoří Službu Azure Key Vault, pak vytvoří sadu šifrování disků a nastaví sadu šifrování disku. Sada je přidružená k virtuálnímu počítači, což umožňuje disku použít k ověření ID Microsoft Entra.

Následující seznam podrobněji vysvětluje diagram:

  1. Správce služby Azure Key Vault vytvoří prostředky trezoru klíčů.
  2. Správce trezoru klíčů buď naimportuje klíče RSA do služby Key Vault, nebo vygeneruje nové klíče RSA ve službě Key Vault.
  3. Tento správce vytvoří instanci prostředku Sady šifrování disků a zadá ID služby Azure Key Vault a adresu URL klíče. Sada šifrování disků je nový prostředek, který zjednodušuje správu klíčů pro spravované disky.
  4. Při vytvoření sady šifrování disku se vytvoří spravovaná identita přiřazená systémem v ID Microsoft Entra a přidružená k sadě šifrování disku.
  5. Správce služby Azure Key Vault pak udělí spravované identitě oprávnění k provádění operací v trezoru klíčů.
  6. Uživatel virtuálního počítače vytvoří disky tím, že je přidruží k sadě šifrování disku. Uživatel virtuálního počítače může také povolit šifrování na straně serveru s klíči spravovanými zákazníkem pro existující prostředky tím, že je přidruží k sadě šifrování disku.
  7. Spravované disky používají spravovanou identitu k odesílání požadavků do služby Azure Key Vault.
  8. Pro čtení nebo zápis dat spravované disky odesílají žádosti do služby Azure Key Vault za účelem šifrování (zabalení) a dešifrování (rozbalení) šifrovacího klíče dat za účelem šifrování a dešifrování dat.

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, přečtěte si téma Azure Key Vault PowerShell a Azure Key Vault CLI. Odvolání přístupu efektivně blokuje přístup ke všem datům v účtu úložiště, protože šifrovací klíč je pro Azure Storage nepřístupný.

Automatická obměna klíčů spravovaných zákazníkem

Obecně platí, že pokud používáte klíče spravované zákazníkem, měli byste povolit automatickou obměnu klíčů na nejnovější verzi klíče. Automatická obměně klíčů pomáhá zajistit zabezpečení vašich klíčů. Disk odkazuje na klíč prostřednictvím sady šifrování disku. Když povolíte automatickou rotaci sady šifrování disků, systém automaticky aktualizuje všechny spravované disky, snímky a obrazy, které odkazují na sadu šifrování disků, tak aby do jedné hodiny používaly novou verzi klíče. Informace o povolení klíčů spravovaných zákazníkem pomocí automatické obměny klíčů najdete v tématu Nastavení služby Azure Key Vault a DiskEncryptionSet pomocí automatické obměny klíčů.

Poznámka:

Během automatické obměna klíčů se virtuální počítače nerestartují.

Pokud nemůžete povolit automatické obměně klíčů, můžete k upozorňování před vypršením platnosti klíčů použít jiné metody. Tímto způsobem můžete klíče před vypršením platnosti otočit a zachovat kontinuitu podnikových procesů. K odeslání oznámení, když brzy vyprší platnost klíče, můžete použít Azure Policy nebo Azure Event Grid .

Omezení

Klíče spravované zákazníkem mají prozatím následující omezení:

  • Pokud je tato funkce povolená pro disk s přírůstkovými snímky, není možné ji na tomto disku ani jeho snímky zakázat. Pokud chcete tento problém obejít, zkopírujte všechna data na zcela jiný spravovaný disk, který nepoužívá klíče spravované zákazníkem. Můžete to udělat pomocí Azure CLI nebo modulu Azure PowerShellu.
  • Disk a všechny přidružené přírůstkové snímky musí mít stejnou sadu šifrování disku.
  • Podporovány jsou pouze softwarové a HSM RSA klíče o velikostech 2 048 bitů, 3 072 bitů a 4 096 bitů, žádné jiné klíče ani velikosti.
    • Klíče HSM vyžadují úroveň Premium trezorů klíčů Azure.
  • Pouze pro disky Úrovně Ultra a disky SSD úrovně Premium v2:
    • Spravované identity přiřazené uživatelem se nepodporují pro disky Ultra a disky SSD Premium v2 šifrované pomocí klíčů spravovaných zákazníkem.
    • Šifrování disků Ultra a disků Premium SSD v2 zákaznickými klíči pomocí služby Azure Key Vault uložených u jiného tenantu Microsoft Entra ID se v současné době nepodporuje.
  • Většina prostředků souvisejících s klíči spravovanými zákazníkem (sady šifrování disků, virtuální počítače, disky a snímky) musí být ve stejném předplatném a oblasti.
    • Služby Azure Key Vault se můžou používat z jiného předplatného, ale musí být ve stejné oblasti jako vaše sada šifrování disků. Ve verzi Preview můžete používat služby Azure Key Vault z různých tenantů Microsoft Entra.
  • Disky šifrované pomocí klíčů spravovaných zákazníkem se můžou přesunout jenom do jiné skupiny prostředků, pokud je virtuální počítač, ke kterému jsou připojeny, dealokovaný.
  • Disky, snímky a image šifrované pomocí klíčů spravovaných zákazníkem se mezi předplatnými nedají přesouvat.
  • Spravované disky aktuálně nebo dříve šifrované pomocí služby Azure Disk Encryption se nedají šifrovat pomocí klíčů spravovaných zákazníkem.
  • Může vytvořit až 5 000 sad šifrování disků pro každou oblast na předplatné.
  • Informace o používání klíčů spravovaných zákazníkem se sdílenými galeriemi imagí najdete v tématu Preview: Použití klíčů spravovaných zákazníkem pro šifrování imagí.

Podporované oblasti

Klíče spravované zákazníkem jsou k dispozici ve všech oblastech, ve kterých jsou k dispozici spravované disky.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, což je funkce Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům na pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace naleznete v tématu Převod předplatného mezi adresáři Microsoft Entra.

Pokud chcete povolit klíče spravované zákazníkem pro spravované disky, přečtěte si články, které popisují, jak je povolit pomocí modulu Azure PowerShellu , Azure CLI nebo webu Azure Portal.

Viz Vytvoření spravovaného disku ze snímku pomocí rozhraní příkazového řádku pro ukázku kódu.

Šifrování na hostiteli – Kompletní šifrování dat virtuálních počítačů

Když povolíte šifrování na hostiteli, toto šifrování je aplikováno přímo na hostiteli VM, tedy Azure serveru, ke kterému je váš virtuální počítač přidělen. Data dočasného disku a mezipamětí operačního systému a datového disku jsou uložená na daném hostiteli virtuálního počítače. Po povolení šifrování v hostiteli se všechna tato data šifrují v klidovém stavu a toky se zašifrují do služby Storage, kde se uchovávají. Šifrování v hostiteli v podstatě šifruje vaše data od začátku do konce. Šifrování na hostiteli nepoužívá procesor virtuálního počítače a nemá vliv na výkon virtuálního počítače.

Dočasné disky a dočasné disky s operačním systémem se při povolování kompletního šifrování šifrují pomocí klíčů spravovaných platformou. Neaktivní uložené mezipaměti operačního systému a datového disku se šifrují pomocí klíčů spravovaných zákazníkem nebo spravovaných platformou v závislosti na vybraném typu šifrování disku. Pokud je například disk šifrovaný pomocí klíčů spravovaných zákazníkem, pak se mezipaměť disku zašifruje pomocí klíčů spravovaných zákazníkem a pokud je disk šifrovaný pomocí klíčů spravovaných platformou, mezipaměť disku se zašifruje pomocí klíčů spravovaných platformou.

Omezení

  • Podporováno pro disky Ultra s velikostí 4k sektorů a SSD úrovně Premium v2.
  • Podporováno pouze na discích s velikostí sektoru 512e a na discích SSD Premium úrovně v2, pokud byly tyto disky vytvořeny po 13. 5. 2023.
  • Na virtuálních počítačích nebo ve škálovacích sadách virtuálních počítačů, které v současné době nebo kdy měly povolenou službu Azure Disk Encryption, není možné povolit.
  • Azure Disk Encryption nejde povolit na discích s povoleným šifrováním na hostiteli.
  • Šifrování je možné povolit ve stávajících škálovacích sadách virtuálních počítačů. Po povolení šifrování se ale automaticky zašifrují jenom nové virtuální počítače vytvořené po povolení šifrování.
  • Aby bylo možné šifrovat stávající virtuální počítače, musí být odpojené a znovu přidělené.

Podporované velikosti virtuálních počítačů

Úplný seznam podporovaných velikostí virtuálních počítačů je možné načíst prostřednictvím kódu programu. Informace o tom, jak je načíst prostřednictvím kódu programu, najdete v části Vyhledání podporovaných velikostí virtuálních počítačů v modulu Azure PowerShellu nebo v článcích Azure CLI .

Pokud chcete povolit komplexní šifrování pomocí šifrování na hostiteli, přečtěte si naše články, které popisují, jak ho povolit pomocí modulu Azure PowerShellu, Azure CLI nebo webu Azure Portal.

Dvojité šifrování dat v klidu

Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se teď můžou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. Tuto novou vrstvu je možné použít pro trvalé disky s operačním systémem a datovými disky, snímky a obrazy, což vše bude v uloženém stavu zašifrováno dvojitým šifrováním.

Omezení

U disků Ultra nebo disků SSD úrovně Premium v2 se v současné době dvojité šifrování dat v klidu nepodporuje.

Pokud chcete pro spravované disky povolit dvojité šifrování neaktivních uložených dat, přečtěte si téma Povolení dvojitého šifrování neaktivních uložených dat pro spravované disky.

Šifrování v hostiteli versus Azure Disk Encryption

Azure Disk Encryption využívá funkci DM-Crypt v Linuxu nebo funkci BitLockeru systému Windows k šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem v rámci hostovaného virtuálního počítače. Šifrování na straně serveru se šifrováním hostitele je vylepšením oproti ADE. Při šifrování na hostiteli se data dočasného disku a mezipamětí disku s operačním systémem a datovými disky ukládají na daném hostiteli virtuálních počítačů. Po povolení šifrování v hostiteli se všechna tato data šifrují v klidovém stavu a toky se zašifrují do služby Storage, kde se uchovávají. Šifrování v hostiteli v podstatě šifruje vaše data od začátku do konce. Šifrování na hostiteli nepoužívá procesor virtuálního počítače a nemá vliv na výkon virtuálního počítače.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, což je funkce Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům na pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace naleznete v tématu Převod předplatného mezi adresáři Microsoft Entra.

Další kroky