Přehled možností šifrování spravovaných disků
Pro spravované disky je k dispozici několik typů šifrování, včetně služby Azure Disk Encryption (ADE), šifrování na straně serveru (SSE) a šifrování v hostiteli.
Šifrování na straně serveru Azure Disk Storage (označované také jako šifrování neaktivních uložených dat nebo šifrování Azure Storage) je vždy povolené a automaticky šifruje data uložená na spravovaných discích Azure (disky s operačním systémem a datovými disky) při zachování v clusterech úložiště. Pokud je nakonfigurovaná sada šifrování disků (DES), podporuje také klíče spravované zákazníkem. Nešifruje dočasné disky ani mezipaměti disku. Úplné podrobnosti najdete v tématu Šifrování azure Disk Storage na straně serveru.
Šifrování v hostiteli je možnost virtuálního počítače, která vylepšuje šifrování na straně serveru Azure Disk Storage, aby se zajistilo, že všechny dočasné disky a mezipaměti disků jsou zašifrované v klidovém stavu a tok se šifrují do clusterů úložiště. Úplné podrobnosti najdete v tématu Šifrování na hostiteli – kompletní šifrování dat virtuálního počítače.
Azure Disk Encryption pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. ADE šifruje operační systém a datové disky virtuálních počítačů Azure ve vašich virtuálních počítačích pomocí funkce DM-Crypt linuxu nebo funkce BitLockeru pro Windows. Služba ADE je integrovaná se službou Azure Key Vault, která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disku s možností šifrování pomocí šifrovacího klíče klíče (KEK). Úplné podrobnosti najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem nebo Azure Disk Encryption pro virtuální počítače s Windows.
Důvěrné šifrování disků sváže šifrovací klíče disku s čipem TPM virtuálního počítače a zpřístupní chráněný obsah disku jenom virtuálnímu počítači. Stav hosta čipu TPM a virtuálního počítače je vždy šifrovaný v otestovaném kódu pomocí klíčů vydaných zabezpečeným protokolem, který obchází hypervisor a hostitelský operační systém. Aktuálně je k dispozici pouze pro disk s operačním systémem; Podpora dočasného disku je ve verzi Preview. Šifrování na hostiteli se může používat pro jiné disky na důvěrném virtuálním počítači kromě šifrování důvěrných disků. Úplné podrobnosti najdete v části Důvěrné virtuální počítače řady DCasv5 a ECasv5.
Šifrování je součástí vrstveného přístupu k zabezpečení a mělo by se používat s dalšími doporučeními k zabezpečení virtuálních počítačů a jejich disků. Úplné podrobnosti najdete v doporučeních zabezpečení pro virtuální počítače v Azure a omezení přístupu k importu a exportu na spravované disky.
Porovnání
Tady je porovnání diskového úložiště SSE, ADE, šifrování na hostiteli a šifrování důvěrných disků.
| Šifrování na straně serveru azure Disk Storage | Šifrování na hostiteli | Azure Disk Encryption | Důvěrné šifrování disku (pouze pro disk s operačním systémem) | |
|---|---|---|---|---|
| Šifrování neaktivních uložených dat (disky s operačním systémem a datovými disky) | ✅ | ✅ | ✅ | ✅ |
| Šifrování dočasného disku | ❌ | ✅ Podporováno pouze se spravovaným klíčem platformy | ✅ | ✅Ve verzi Preview |
| Šifrování mezipamětí | ❌ | ✅ | ✅ | ✅ |
| Toky dat šifrované mezi výpočetními prostředky a úložištěm | ❌ | ✅ | ✅ | ✅ |
| Řízení klíčů zákazníkem | ✅ Při konfiguraci s DES | ✅ Při konfiguraci s DES | ✅ Při konfiguraci s využitím KEK | ✅ Při konfiguraci s DES |
| Podpora HSM | Azure Key Vault Premium a spravovaný HSM | Azure Key Vault Premium a spravovaný HSM | Azure Key Vault Premium | Azure Key Vault Premium a spravovaný HSM |
| Nepoužívá procesor virtuálního počítače. | ✅ | ✅ | ❌ | ❌ |
| Funguje pro vlastní image | ✅ | ✅ | ❌ Nefunguje pro vlastní image Linuxu | ✅ |
| Rozšířená ochrana klíčů | ❌ | ❌ | ❌ | ✅ |
| Stav šifrování disků v programu Microsoft Defender for Cloud* | Není v pořádku | V pořádku | V pořádku | Nelze použít |
Důležité
Pro šifrování důvěrných disků microsoft Defender pro cloud v současné době nemá doporučení, které je možné použít.
* Microsoft Defender for Cloud má následující doporučení pro šifrování disků:
- Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli (detekuje pouze šifrování na hostiteli).
- Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště (detekuje pouze Službu Azure Disk Encryption).
- Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost (detekuje službu Azure Disk Encryption i EncryptionAtHost).
- Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost (detekuje službu Azure Disk Encryption i EncryptionAtHost).