Azure Disk Encryption pro virtuální počítače s Linuxem
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a odpovídajícím způsobem naplánujte. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️
Azure Disk Encryption přispívá k zabezpečení a ochraně vašich dat, aby byly splněny závazky organizace související se zabezpečením a dodržováním předpisů. Používá funkci DM-Crypt linuxu k poskytování šifrování svazků pro disky s operačním systémem a datovými disky virtuálních počítačů Azure a je integrovaná se službou Azure Key Vault, která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disku.
Služba Azure Disk Encryption je odolná proti zóně stejným způsobem jako u virtuálních počítačů. Podrobnosti najdete v tématu Služby Azure, které podporují Zóny dostupnosti.
Pokud používáte Microsoft Defender for Cloud, zobrazí se upozornění, pokud máte virtuální počítače, které nejsou šifrované. Výstrahy se zobrazují jako vysoká závažnost a doporučení je zašifrovat tyto virtuální počítače.
Upozorňující
- Pokud jste k šifrování virtuálního počítače použili službu Azure Disk Encryption s ID Microsoft Entra, musíte k šifrování virtuálního počítače pokračovat v použití této možnosti. Podrobnější informace viz Azure Disk Encryption s Microsoft Entra ID (předchozí verze).
- Některá doporučení můžou zvýšit využití dat, sítě nebo výpočetních prostředků, což vede k dalším nákladům na licence nebo předplatné. Abyste mohli vytvářet prostředky v Azure v podporovaných oblastech, musíte mít platné aktivní předplatné Azure.
Základy služby Azure Disk Encryption pro Linux najdete během několika minut pomocí rychlého startu Vytvoření a šifrování virtuálního počítače s Linuxem pomocí Azure CLI nebo vytvoření a šifrování virtuálního počítače s Linuxem pomocí rychlého startu Azure PowerShellu.
Podporované virtuální počítače a operační systémy
Podporované virtuální počítače
Virtuální počítače s Linuxem jsou dostupné v různých velikostech. Azure Disk Encryption se podporuje na virtuálních počítačích generace 1 a 2. generace. Azure Disk Encryption je také k dispozici pro virtuální počítače se službou Premium Storage.
Podívejte se na velikosti virtuálních počítačů Azure bez místního dočasného disku.
Azure Disk Encryption také není k dispozici na virtuálních počítačích Basic, A-Series ani na virtuálních počítačích, které nesplňují tyto minimální požadavky na paměť:
Požadavky na paměť
| Virtuální počítač | Minimální požadavek na paměť |
|---|---|
| Virtuální počítače s Linuxem při šifrování jenom datových svazků | 2 GB |
| Virtuální počítače s Linuxem při šifrování dat i svazků operačního systému a v případě, že využití kořenového (/) systému souborů je 4 GB nebo méně | 8 GB |
| Virtuální počítače s Linuxem při šifrování dat i svazků operačního systému a kde je využití kořenového (/) systému souborů větší než 4 GB | Využití kořenového systému souborů * 2. Například 16 GB využití kořenového systému souborů vyžaduje alespoň 32 GB paměti RAM. |
Po dokončení procesu šifrování disku s operačním systémem na virtuálních počítačích s Linuxem je možné virtuální počítač nakonfigurovat tak, aby běžel s menší pamětí.
Další výjimky najdete v tématu Azure Disk Encryption: Omezení.
Podporované operační systémy
Azure Disk Encryption se podporuje v podmnožině linuxových distribucí schválených pro Azure, což je sama podmnožina všech možných distribucí linuxového serveru.
Distribuce serverů s Linuxem, které Azure nepodporuje službu Azure Disk Encryption; z těch, které jsou schválené, podporují službu Azure Disk Encryption pouze následující distribuce a verze:
| Publisher | Nabízet | Skladová jednotka (SKU) | URNO | Typ svazku podporovaný pro šifrování |
|---|---|---|---|---|
| Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | Operační systém a datový disk |
| Canonical | Ubuntu | 22.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | Operační systém a datový disk |
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | Operační systém a datový disk |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | Operační systém a datový disk |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | Operační systém a datový disk |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | Operační systém a datový disk |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Operační systém a datový disk |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Operační systém a datový disk |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | Operační systém a datový disk |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | Operační systém a datový disk |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Operační systém a datový disk |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Operační systém a datový disk |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Operační systém a datový disk |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Operační systém a datový disk |
| OpenLogic | CentOS 7-LVM | 7–LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Operační systém a datový disk |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Operační systém a datový disk |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Operační systém a datový disk |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Operační systém a datový disk |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Operační systém a datový disk |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | Operační systém a datový disk |
| OpenLogic | CentOS 7.4 | 7,4 | OpenLogic:CentOS:7.4:latest | Operační systém a datový disk |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | Pouze datový disk |
| Oracle | Oracle Linux 8.6 | 8.6 | Oracle:Oracle-Linux:ol86-lvm:latest | Operační systém a datový disk (viz poznámka níže) |
| Oracle | Oracle Linux 8.6 Gen 2 | 8.6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| Oracle | Oracle Linux 8.5 | 8.5 | Oracle:Oracle-Linux:ol85-lvm:latest | Operační systém a datový disk (viz poznámka níže) |
| Oracle | Oracle Linux 8.5 Gen 2 | 8.5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 9.2 | 9.2 | RedHat:RHEL:9_2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 9.2 Gen 2 | 9.2 | RedHat:RHEL:92-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 9.0 Gen 2 | 9.0 | RedHat:RHEL:90-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 9-lvm | 9 lvm | RedHat:RHEL:9-lvm:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 9-lvm Gen 2 | 9 lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.9 | 8.9 | RedHat:RHEL:8_9:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.9 Gen 2 | 8.9 | RedHat:RHEL:89-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.8 Gen 2 | 8.8 | RedHat:RHEL:88-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.7 | 8.7 | RedHat:RHEL:8_7:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.7 Gen 2 | 8.7 | RedHat:RHEL:87-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.6 | 8.6 | RedHat:RHEL:8_6:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.6 Gen 2 | 8.6 | RedHat:RHEL:86-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.5 | 8.5 | RedHat:RHEL:8_5:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.5 Gen 2 | 8.5 | RedHat:RHEL:85-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8-LVM Gen 2 | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7-LVM | 7–LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.8 | 7,8 | RedHat:RHEL:7.8:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 7.4 | 7,4 | RedHat:RHEL:7.4:latest | Operační systém a datový disk (viz poznámka níže) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Datový disk (viz poznámka níže) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Datový disk (viz poznámka níže) |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Pouze datový disk |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Pouze datový disk |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Pouze datový disk |
* Pro verze bitových verzí větších nebo rovnajících se květnu 2023.
Poznámka:
RHEL:
- Nová implementace služby Azure Disk Encryption je podporovaná pro image RHEL s průběžným platbami a datový disk RHEL7.
- ADE je také podporován pro RHEL Bring-Your-Own-Subscription Gold Images, ale až po registraci předplatného . Další informace najdete v tématu Red Hat Enterprise Linux Bring-Your-Own-Subscription Gold Images in Azure
Všechna distribuce:
- Podpora ADE pro konkrétní typ nabídky nepřekračuje datum ukončení životnosti poskytované vydavatelem.
- Starší řešení ADE (pomocí přihlašovacích údajů Microsoft Entra) se nedoporučuje pro nové virtuální počítače a není kompatibilní s verzemi RHEL novějšími než RHEL 7.8 nebo Python 3 jako výchozí.
Další požadavky na virtuální počítač
Azure Disk Encryption vyžaduje, aby se v systému vyskytovaly moduly dm-crypt a vfat. Odebráním nebo zakázáním nástroje vfat z výchozí image zabráníte systému číst svazek klíče a získat klíč potřebný k odemknutí disků při následných restartováních. Kroky posílení zabezpečení systému, které odeberou modul vfat ze systému nebo vynucují rozšíření přípojných bodů nebo složek operačního systému na datových jednotkách, nejsou kompatibilní se službou Azure Disk Encryption.
Před povolením šifrování musí být datové disky, které se mají šifrovat, správně uvedené v souboru /etc/fstab. Při vytváření položek použijte možnost "nofail" a zvolte trvalý název blokového zařízení (jako názvy zařízení ve formátu /dev/sdX nemusí být při restartování přidruženy ke stejnému disku, zejména po šifrování. Další podrobnosti o tomto chování najdete v tématu: Řešení potíží se změnami názvu zařízení virtuálního počítače s Linuxem).
Ujistěte se, že jsou správně nakonfigurovaná nastavení /etc/fstab pro připojení. Pokud chcete tato nastavení nakonfigurovat, spusťte příkaz mount -a nebo restartujte virtuální počítač a aktivujte opětovné připojení tímto způsobem. Po dokončení zkontrolujte výstup příkazu lsblk a ověřte, že je jednotka stále připojená.
- Pokud soubor /etc/fstab nepřipojí jednotku správně před povolením šifrování, azure Disk Encryption ji nebude moct správně připojit.
- Proces Azure Disk Encryption přesune informace o připojení z /etc/fstab a do vlastního konfiguračního souboru v rámci procesu šifrování. Po dokončení šifrování datové jednotky se v /etc/fstab nezohrožujte.
- Před zahájením šifrování nezapomeňte zastavit všechny služby a procesy, které by mohly zapisovat na připojené datové disky, a zakázat je, aby se po restartování automaticky nerestartovaly. V těchto oddílech můžou být soubory otevřené, což brání opětovnému připojení šifrovací procedury, což způsobí selhání šifrování.
- Po restartování bude trvat nějakou dobu, než proces Azure Disk Encryption připojí nově šifrované disky. Po restartování nebudou okamžitě dostupné. Proces potřebuje čas na spuštění, odemknutí a následné připojení šifrovaných jednotek, než budou k dispozici pro přístup k jiným procesům. Tento proces může trvat déle než minutu po restartování v závislosti na charakteristikách systému.
Tady je příklad příkazů použitých k připojení datových disků a vytvoření potřebných položek /etc/fstab:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
Požadavky na síť
Pokud chcete povolit funkci Azure Disk Encryption, musí virtuální počítače s Linuxem splňovat následující požadavky na konfiguraci koncového bodu sítě:
- Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač s Linuxem připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
- Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač s Linuxem připojit ke koncovému bodu trezoru klíčů.
- Virtuální počítač s Linuxem se musí připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
- Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.
Požadavky na úložiště šifrovacích klíčů
Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.
Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.
Terminologie
Následující tabulka definuje některé běžné termíny používané v dokumentaci ke službě Azure Disk Encryption:
| Terminologie | Definice |
|---|---|
| Azure Key Vault | Key Vault je kryptografická služba pro správu klíčů, která je založená na modulech zabezpečení hardwaru ověřených standardem FIPS (Federal Information Processing Standards). Tyto standardy pomáhají chránit kryptografické klíče a citlivé tajné kódy. Další informace najdete v dokumentaci ke službě Azure Key Vault a vytvoření a konfiguraci trezoru klíčů pro Službu Azure Disk Encryption. |
| Azure CLI | Azure CLI je optimalizované pro správu a správu prostředků Azure z příkazového řádku. |
| DM-Crypt | DM-Crypt je subsystém transparentního šifrování disku založený na Linuxu, který se používá k povolení šifrování disků na virtuálních počítačích s Linuxem. |
| Šifrovací klíč klíče (KEK) | Asymetrický klíč (RSA 2048), který můžete použít k ochraně nebo zabalení tajného kódu. Můžete zadat klíč chráněný modulem hardwarového zabezpečení (HSM) nebo klíč chráněný softwarem. Další informace najdete v dokumentaci ke službě Azure Key Vault a vytvoření a konfiguraci trezoru klíčů pro Službu Azure Disk Encryption. |
| Rutiny PowerShell | Další informace najdete v rutinách Azure PowerShellu. |
Další kroky
- Rychlý start – Vytvoření a šifrování virtuálního počítače s Linuxem pomocí Azure CLI
- Rychlý start – Vytvoření a šifrování virtuálního počítače s Linuxem pomocí Azure PowerShellu
- Scénáře použití služby Azure Disk Encryption na virtuálních počítačích se systémem Linux
- Skript rozhraní příkazového řádku požadavků služby Azure Disk Encryption
- Předpoklady pro powershellový skript služby Azure Disk Encryption
- Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption