Azure Disk Encryption pro virtuální počítače s Windows
Platí pro: ✔️ Flexibilní škálovací sady virtuálních ✔️ počítačů s Windows
Azure Disk Encryption přispívá k zabezpečení a ochraně vašich dat, aby byly splněny závazky organizace související se zabezpečením a dodržováním předpisů. Používá funkci BitLockeru systému Windows k poskytování šifrování svazků pro virtuální počítače Azure a datové disky virtuálních počítačů Azure a je integrovaná se službou Azure Key Vault , která vám pomůže řídit a spravovat šifrovací klíče a tajné klíče disku.
Služba Azure Disk Encryption je odolná proti zóně stejným způsobem jako u virtuálních počítačů. Podrobnosti najdete v tématu Služby Azure, které podporují Zóny dostupnosti.
Pokud používáte Microsoft Defender for Cloud, zobrazí se upozornění, pokud máte virtuální počítače, které nejsou šifrované. Výstrahy se zobrazují jako vysoká závažnost a doporučení je zašifrovat tyto virtuální počítače.
Upozorňující
- Pokud jste k šifrování virtuálního počítače použili službu Azure Disk Encryption s ID Microsoft Entra, musíte pokračovat v šifrování virtuálního počítače pomocí této možnosti. Podrobnosti najdete v tématu Azure Disk Encryption s ID Microsoft Entra (předchozí verze).
- Některá doporučení můžou zvýšit využití dat, sítě nebo výpočetních prostředků, což vede k dalším nákladům na licence nebo předplatné. Abyste mohli vytvářet prostředky v Azure v podporovaných oblastech, musíte mít platné aktivní předplatné Azure.
- Nástroj BitLocker nepoužívejte k ručnímu dešifrování virtuálního počítače nebo disku šifrovaného pomocí služby Azure Disk Encryption.
Základy služby Azure Disk Encryption pro Windows najdete během několika minut pomocí rychlého startu Vytvoření a šifrování virtuálního počítače s Windows pomocí Azure CLI nebo vytvoření a šifrování virtuálního počítače s Windows pomocí rychlého startu Azure PowerShellu.
Podporované virtuální počítače a operační systémy
Podporované virtuální počítače
Virtuální počítače s Windows jsou dostupné v různých velikostech. Azure Disk Encryption se podporuje na virtuálních počítačích generace 1 a 2. generace. Azure Disk Encryption je také k dispozici pro virtuální počítače se službou Premium Storage.
Azure Disk Encryption není k dispozici na virtuálních počítačích úrovně Basic, A-series ani na virtuálních počítačích s méně než 2 GB paměti. Další výjimky najdete v tématu Azure Disk Encryption: Omezení.
Podporované operační systémy
- Klient Windows: Windows 8 a novější.
- Windows Server: Windows Server 2008 R2 a novější.
- Windows 10 Enterprise s více relacemi a novějšími verzemi
Poznámka:
Windows Server 2022 a Windows 11 nepodporují 2048bitový klíč RSA. Další informace najdete v tématu Nejčastější dotazy: Jakou velikost mám použít pro šifrovací klíč klíče?
Windows Server 2008 R2 vyžaduje instalaci rozhraní .NET Framework 4.5 pro šifrování; nainstalujte ji z služba Windows Update s volitelnou aktualizací rozhraní Microsoft .NET Framework 4.5.2 pro systémy x64 systému Windows Server 2008 R2 x64 (KB2901983).
Windows Server 2012 R2 Core a Windows Server 2016 Core vyžadují instalaci komponenty bdehdcfg na virtuální počítač kvůli šifrování.
Požadavky na síť
Pokud chcete povolit Službu Azure Disk Encryption, musí virtuální počítače splňovat následující požadavky na konfiguraci koncového bodu sítě:
- Pokud chcete získat token pro připojení k trezoru klíčů, musí se virtuální počítač s Windows připojit ke koncovému bodu Microsoft Entra [login.microsoftonline.com].
- Pokud chcete do trezoru klíčů zapisovat šifrovací klíče, musí se virtuální počítač s Windows připojit ke koncovému bodu trezoru klíčů.
- Virtuální počítač s Windows se musí připojit ke koncovému bodu úložiště Azure, který je hostitelem úložiště rozšíření Azure, a účtu úložiště Azure, který je hostitelem souborů VHD.
- Pokud vaše zásady zabezpečení omezují přístup z virtuálních počítačů Azure na internet, můžete přeložit předchozí identifikátor URI a nakonfigurovat konkrétní pravidlo, které povolí odchozí připojení k IP adresám. Další informace najdete v tématu Azure Key Vault za bránou firewall.
Požadavky na zásady skupiny
Azure Disk Encryption používá ochranu externího klíče Nástroje BitLocker pro virtuální počítače s Windows. U virtuálních počítačů připojených k doméně nenasdílejte žádné zásady skupiny, které vynucují ochranu ČIPEM TPM. Informace o zásadách skupiny pro povolení BitLockeru bez kompatibilního čipu TPM najdete v tématu Referenční informace o zásadách skupiny nástroje BitLocker.
Zásady BitLockeru na virtuálních počítačích připojených k doméně s vlastními zásadami skupiny musí obsahovat následující nastavení: Nakonfigurujte uživatelské úložiště informací o obnovení BitLockeru –> Povolit 256bitový obnovovací klíč. Azure Disk Encryption selže, když jsou vlastní nastavení zásad skupiny pro BitLocker nekompatibilní. Na počítačích, které nemají správné nastavení zásad, použijte novou zásadu a vynuťte, aby se nová zásada aktualizovala (gpupdate.exe /force). Může se vyžadovat restartování.
Funkce zásad skupiny nástroje Microsoft BitLocker Správa istrace a monitorování (MBAM) nejsou kompatibilní se službou Azure Disk Encryption.
Upozorňující
Azure Disk Encryption neukládá obnovovací klíče. Pokud je povolené nastavení zabezpečení pro uzamčení účtu počítače, je možné počítače obnovit pouze poskytnutím obnovovacího klíče prostřednictvím sériové konzoly. Pokyny k zajištění povolení příslušných zásad obnovení najdete v plánu průvodce obnovením bitlockeru.
Azure Disk Encryption selže, pokud zásady skupiny na úrovni domény zablokují algoritmus AES-CBC, který používá BitLocker.
Požadavky na úložiště šifrovacích klíčů
Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš trezor klíčů a virtuální počítače se musí nacházet ve stejné oblasti a předplatném Azure.
Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů pro Službu Azure Disk Encryption.
Terminologie
Následující tabulka definuje některé běžné termíny používané v dokumentaci ke službě Azure Disk Encryption:
| Terminologie | Definice |
|---|---|
| Azure Key Vault | Key Vault je kryptografická služba pro správu klíčů, která je založená na modulech zabezpečení hardwaru ověřených standardem FIPS (Federal Information Processing Standards). Tyto standardy pomáhají chránit kryptografické klíče a citlivé tajné kódy. Další informace najdete v dokumentaci ke službě Azure Key Vault a vytvoření a konfiguraci trezoru klíčů pro Službu Azure Disk Encryption. |
| Azure CLI | Azure CLI je optimalizované pro správu a správu prostředků Azure z příkazového řádku. |
| BitLocker | BitLocker je oborově rozpoznaná technologie šifrování svazků s Windows, která se používá k povolení šifrování disků na virtuálních počítačích s Windows. |
| Šifrovací klíč klíče (KEK) | Asymetrický klíč (RSA 2048), který můžete použít k ochraně nebo zabalení tajného kódu. Můžete zadat klíč chráněný modulem hardwarového zabezpečení (HSM) nebo klíč chráněný softwarem. Další informace najdete v dokumentaci ke službě Azure Key Vault a vytvoření a konfiguraci trezoru klíčů pro Službu Azure Disk Encryption. |
| Rutiny PowerShell | Další informace najdete v rutinách Azure PowerShellu. |
Další kroky
- Rychlý start – Vytvoření a šifrování virtuálního počítače s Windows pomocí Azure CLI
- Rychlý start – Vytvoření a šifrování virtuálního počítače s Windows pomocí Azure PowerShellu
- Scénáře služby Azure Disk Encryption na virtuálních počítačích s Windows
- Skript rozhraní příkazového řádku požadavků služby Azure Disk Encryption
- Předpoklady pro powershellový skript služby Azure Disk Encryption
- Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption