Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pro spravované disky je k dispozici několik typů šifrování, včetně služby Azure Disk Encryption (ADE), šifrování na straně serveru (SSE) a šifrování v hostiteli.
Šifrování na straně serveru Azure Disk Storage (označované také jako šifrování neaktivních uložených dat nebo šifrování Azure Storage) je vždy povolené a automaticky šifruje data uložená na spravovaných discích Azure (disky s operačním systémem a datovými disky) při zachování v clusterech úložiště. Pokud je nakonfigurovaná sada šifrování disků (DES), podporuje také klíče spravované zákazníkem. Nešifruje dočasné disky ani mezipaměti disku. Úplné podrobnosti najdete v tématu Šifrování azure Disk Storage na straně serveru.
Šifrování na hostiteli je možnost virtuálního počítače, která vylepšuje šifrování na straně serveru pro Azure Disk Storage, aby se zajistilo, že všechny dočasné disky a mezipaměti disků jsou zašifrované v klidovém stavu a při přenosu do úložných clusterů. Úplné podrobnosti najdete v tématu Šifrování na hostiteli – kompletní šifrování dat virtuálního počítače.
Azure Disk Encryption pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. ADE šifruje operační systém a datové disky virtuálních počítačů Azure ve vašich virtuálních počítačích pomocí funkce DM-Crypt linuxu nebo funkce BitLockeru pro Windows. Služba ADE je integrovaná se službou Azure Key Vault, která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disku s možností šifrování pomocí šifrovacího klíče klíče (KEK). Úplné podrobnosti najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem nebo Azure Disk Encryption pro virtuální počítače s Windows.
Důvěrné šifrování disků sváže šifrovací klíče disku s čipem TPM virtuálního počítače a zpřístupní chráněný obsah disku jenom virtuálnímu počítači. Stav TPM a hostovaného systému virtuálního počítače je vždy šifrovaný v ověřeném kódu pomocí klíčů vydaných zabezpečeným protokolem, který obchází hypervisor a hostitelský operační systém. Aktuálně je k dispozici pouze pro disk s operačním systémem; Podpora dočasného disku je ve verzi Preview. Šifrování na hostiteli se může používat pro jiné disky na důvěrném virtuálním počítači kromě šifrování důvěrných disků. Úplné podrobnosti najdete v části Důvěrné virtuální počítače řady DCasv5 a ECasv5.
Šifrování je součástí vrstveného přístupu k zabezpečení a mělo by se používat s dalšími doporučeními k zabezpečení virtuálních počítačů a jejich disků. Úplné podrobnosti najdete v doporučeních zabezpečení pro virtuální počítače v Azure a omezení přístupu k importu a exportu na spravované disky.
Porovnání
Tady je porovnání diskového úložiště SSE, ADE, šifrování na hostiteli a šifrování důvěrných disků.
| Šifrování na straně serveru azure Disk Storage | Šifrování na hostiteli | Azure Šifrování disku | Důvěrné šifrování disku (pouze pro disk s operačním systémem) | |
|---|---|---|---|---|
| Šifrování neaktivních uložených dat (disky s operačním systémem a datovými disky) | ✅ | ✅ | ✅ | ✅ |
| Šifrování dočasného disku | ❌ | ✅ Podporováno pouze se spravovaným klíčem platformy | ✅ | ✅ V náhledu |
| Šifrování mezipamětí | ❌ | ✅ | ✅ | ✅ |
| Toky dat šifrované mezi výpočetními prostředky a úložištěm | ❌ | ✅ | ✅ | ✅ |
| Řízení klíčů zákazníkem | ✅ Při konfiguraci s DES | ✅ Při konfiguraci s DES | ✅ Při konfiguraci s využitím KEK | ✅ Při konfiguraci s DES |
| Podpora HSM | Azure Key Vault Premium a spravovaný HSM | Azure Key Vault Premium a spravovaný HSM | Azure Key Vault Premium | Azure Key Vault Premium a spravovaný HSM |
| Nepoužívá procesor virtuálního počítače. | ✅ | ✅ | ❌ | ❌ |
| Funguje pro vlastní image | ✅ | ✅ | ❌ Nefunguje pro vlastní Linuxové obrazy | ✅ |
| Rozšířená ochrana klíčů | ❌ | ❌ | ❌ | ✅ |
| Stav šifrování disků v programu Microsoft Defender for Cloud* | Není v pořádku | V pořádku | V pořádku | Není relevantní |
Důležité
Pro šifrování důvěrných disků microsoft Defender pro cloud v současné době nemá doporučení, které je možné použít.
* Microsoft Defender for Cloud má následující doporučení pro šifrování disků:
- Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli (detekuje pouze šifrování na hostiteli).
- Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště (detekuje pouze Službu Azure Disk Encryption).
- Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost (detekuje službu Azure Disk Encryption i EncryptionAtHost).
- Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost (detekuje službu Azure Disk Encryption i EncryptionAtHost).