Dieser Artikel bietet Antworten auf häufig gestellte Fragen (FAQ) zu Azure Disk Encryption für virtuelle Linux-Computer (VMs). Weitere Informationen zu diesem Dienst finden Sie unter Azure Disk Encryption-Übersicht.
Was ist Azure Disk Encryption für virtuelle Linux-Computer?
Azure Disk Encryption für virtuelle Linux-Computer (VMs) bietet mithilfe des DM-Crypt-Features von Linux eine vollständige Datenträgerverschlüsselung des Betriebssystemdatenträgers* und der Datenträger für Daten. Darüber hinaus wird bei Verwendung des EncryptFormatAll-Features Verschlüsselung des temporären Datenträgers bereitstellt. Der Inhalt wird mit einem kundenseitig verwalteten Schlüssel verschlüsselt von der VM zum Speicher-Back-End übertragen.
Wo ist Azure Disk Encryption allgemein verfügbar?
Azure Disk Encryption für virtuelle Linux-Computer ist allgemein in allen öffentlichen Regionen von Azure verfügbar.
Welche Benutzeroberflächen sind für Azure Disk Encryption verfügbar?
Azure Disk Encryption mit allgemeiner Verfügbarkeit unterstützt Azure Resource Manager-Vorlagen, Azure PowerShell und die Azure CLI. Dank der unterschiedlichen Benutzeroberflächen können Sie flexibel vorgehen. Ihnen stehen drei Optionen zum Aktivieren der Datenträgerverschlüsselung für Ihre virtuellen Computer zur Verfügung. Weitere Informationen zum Benutzererlebnis und eine Schritt-für-Schritt-Anleitung in Azure Disk Encryption finden Sie unter Azure Disk Encryption – Bereitstellungsszenarien und -umgebungen für Linux.
Was kostet Azure Disk Encryption?
Es fallen keine Gebühren für die Verschlüsselung von VM-Datenträgern mit Azure Disk Encryption an, es werden jedoch Gebühren für die Verwendung von Azure Key Vault berechnet. Weitere Informationen zu den Azure Key Vault-Kosten finden Sie auf der Seite Key Vault – Preise.
Wie sehen die ersten Schritte mit Azure Disk Encryption aus?
Informationen zu den ersten Schritten finden Sie unter Azure Disk Encryption Overview (Azure Disk Encryption – Übersicht).
Welche VM-Größen und Betriebssysteme unterstützen Azure Disk Encryption?
Im Artikel Azure Disk Encryption – Voraussetzungen werden die VM-Größen und VM-Betriebssysteme aufgelistet, die Azure Disk Encryption unterstützen.
Kann ich sowohl Start- als auch Datenvolumes mit Azure Disk Encryption verschlüsseln?
Ja, Sie können sowohl Start- als auch Datenvolumes verschlüsseln; oder, Sie können das Datenvolume verschlüsseln, ohne vorher das Betriebssystemvolume verschlüsseln zu müssen.
Nach der Verschlüsselung des Betriebssystemvolumes wird die Deaktivierung des Betriebssystemvolumes nicht mehr unterstützt. Bei virtuellen Linux-Computern in einer Skalierungsgruppe kann nur das Datenvolume verschlüsselt werden.
Kann ich ein nicht bereitgestelltes Volume mit Azure Disk Encryption verschlüsseln?
Nein, Azure Disk Encryption verschlüsselt nur bereitgestellte Volumes.
Was ist serverseitige Speicherverschlüsselung?
Bei der serverseitigen Speicherverschlüsselung werden verwaltete Azure-Datenträger in Azure Storage verschlüsselt. Verwaltete Datenträger werden standardmäßig mit serverseitiger Verschlüsselung mit einem von der Plattform verwalteten Schlüssel verschlüsselt (Stand: 10. Juni 2017). Sie können die Verschlüsselung verwalteter Datenträger mit Ihren eigenen Schlüsseln verwalten, indem Sie einen kundenseitig verwalteten Schlüssel angeben. Weitere Informationen finden Sie unter: Serverseitige Verschlüsselung von verwalteten Azure-Datenträgern.
Wie unterscheidet sich Azure Disk Encryption von anderen Datenträgerverschlüsselungslösungen, und wann sollte ich die beiden Lösungen jeweils verwenden?
Wie rotiere ich geheime oder Verschlüsselungsschlüssel?
Zum Rotieren geheimer Schlüssel rufen Sie einfach den gleichen Befehl auf, den Sie ursprünglich zur Aktivierung der Datenträgerverschlüsselung verwendet haben, und geben Sie einen anderen Key Vault an. Zum Rotieren des Schlüssels für die Verschlüsselung anderer Schlüssel (Key Encryption Key, KEK) rufen Sie den gleichen Befehl auf, den Sie ursprünglich zum Aktivieren der Datenträgerverschlüsselung verwendet haben, und geben die neue Schlüsselverschlüsselung an.
Warnung
- Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra-App durch Angabe von Microsoft Entra-Anmeldeinformationen zum Verschlüsseln dieser VM genutzt haben, müssen Sie diese Option weiterhin zum Verschlüsseln Ihrer VM verwenden. Sie können Azure Disk Encryption auf dieser verschlüsselten VM nicht verwenden, da dies kein unterstütztes Szenario ist und das Verlassen der Microsoft Entra-Anwendung für diese verschlüsselte VM somit noch nicht unterstützt wird.
Wie füge ich einen Schlüssels für die Verschlüsselung anderer Schlüssel (Key Encryption Key, KEK) hinzu oder entferne ihn, wenn ich ursprünglich keinen verwendet habe?
Um einen KEK hinzuzufügen, rufen Sie den Aktivierungsbefehl erneut auf, und übergeben den KEK-Parameter. Um einen KEK zu entfernen, rufen Sie den Aktivierungsbefehl erneut ohne den KEK-Parameter auf.
Ermöglicht Azure Disk Encryption die Verwendung von BYOK (Bring Your Own Key)?
Ja. Sie können Ihre eigenen Schlüssel für die Verschlüsselung anderer Schlüssel (Key Encryption Keys, KEKs) angeben. Diese Schlüssel werden in Azure Key Vault, dem Schlüsselspeicher für Azure Disk Encryption, aufbewahrt. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.
Kann ich einen von Azure erstellten KEK verwenden?
Ja. Sie können Azure Key Vault verwenden, um einen KEK für Azure Disk Encryption zu erstellen. Diese Schlüssel werden in Azure Key Vault, dem Schlüsselspeicher für Azure Disk Encryption, aufbewahrt. Weitere Informationen über den Verschlüsselungsschlüssel finden Sie unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.
Kann ich den lokalen Schlüsselverwaltungsdienst oder HSM verwenden, um die Verschlüsselungsschlüssel zu schützen?
Sie können den lokalen Schlüsselverwaltungsdienst oder HSM nicht verwenden, um die Verschlüsselungsschlüssel mit Azure Disk Encryption zu schützen. Sie können hierzu nur den Azure Key Vault-Dienst verwenden. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.
Was sind die Voraussetzungen für die Konfiguration von Azure Disk Encryption?
Für Azure Disk Encryption müssen einige Voraussetzungen erfüllt werden. Lesen Sie den Artikel Azure Disk Encryption – Voraussetzungen, um einen neuen Schlüsseltresor zu erstellen oder einen vorhandenen Schlüsseltresor für den verschlüsselten Datenträgerzugriff einzurichten, um die Verschlüsselung zu aktivieren und Geheimnisse und Schlüssel zu schützen. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.
Welche Voraussetzungen müssen für die Konfiguration von Azure Disk Encryption mit einer Microsoft Entra-App (früheres Release) erfüllt sein?
Für Azure Disk Encryption müssen einige Voraussetzungen erfüllt werden. Lesen Sie den Artikel Azure Disk Encryption mit Microsoft Entra ID, um eine Microsoft Entra-Anwendung zu erstellen, einen neuen Schlüsseltresor zu erstellen oder einen vorhandenen Schlüsseltresor für den verschlüsselten Datenträgerzugriff einzurichten. So können Sie die Verschlüsselung aktivieren sowie Geheimnisse und Schlüssel schützen. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption mit Microsoft Entra ID.
Wird Azure Disk Encryption mit einer Microsoft Entra-App (früheres Release) weiterhin unterstützt?
Ja. Die Datenträgerverschlüsselung mithilfe einer Microsoft Entra-App wird weiterhin unterstützt. Für die Verschlüsselung neuer virtueller Computer empfiehlt sich jedoch die Verwendung der neuen Methode anstatt des Verschlüsselns mit einer Microsoft Entra-App.
Kann ich virtuelle Computer, die mit einer Microsoft Entra-App verschlüsselt wurden, zur Verschlüsselung ohne eine Microsoft Entra-App migrieren?
Derzeit gibt es für Computer, die mit einer Microsoft Entra-App verschlüsselt wurden, keinen direkten Migrationspfad zur Verschlüsselung ohne Microsoft Entra-App. Es gibt außerdem keinen direkten Pfad von der Verschlüsselung ohne Microsoft Entra-App zur Verschlüsselung mit einer AD-App.
Welche Version von Azure PowerShell wird von Azure Disk Encryption unterstützt?
Verwenden Sie die neueste Version des Azure PowerShell SDK, um Azure Disk Encryption zu konfigurieren. Laden Sie die neueste Version von Azure PowerShell herunter. Azure Disk Encryption wird nicht vom Azure SDK Version 1.1.0 unterstützt.
Hinweis
Die Erweiterung der Vorschauversion für Azure Disk Encryption unter Linux (Microsoft.OSTCExtension.AzureDiskEncryptionForLinux) ist veraltet. Diese Erweiterung wurde für das Release der Vorschauversion von Azure Disk Encryption veröffentlicht. Sie sollten die Erweiterung der Vorschauversion nicht für die Test- oder Produktionsbereitstellung verwenden.
Für Bereitstellungsszenarios wie Azure Resource Manager (ARM), in denen Sie die Azure Disk Encryption-Erweiterung für virtuelle Linux-Computer zum Aktivieren der Verschlüsselung auf Ihrem virtuellen Linux-IaaS-Computer bereitstellen müssen, müssen Sie die von Azure Disk Encryption unterstützte Erweiterung „Microsoft.Azure.Security.AzureDiskEncryptionForLinux“ verwenden.
Kann ich Azure Disk Encryption auf mein benutzerdefiniertes Linux-Image anwenden?
Sie können Azure Disk Encryption nicht auf Ihr benutzerdefiniertes Linux-Image anwenden. Nur die Linux-Images im Katalog für die zuvor genannten unterstützten Distributionen werden unterstützt. Benutzerdefinierte Linux-Images werden derzeit nicht unterstützt.
Kann ich eine Linux Red Hat-VM mit dem „yum“-Update aktualisieren?
Ja. Sie können auf eine Linux Red Hat-VM ein „yum“-Update anwenden. Weitere Informationen finden Sie unter Azure Disk Encryption in einem isolierten Netzwerk.
Welcher Azure Disk Encryption-Workflow wird für Linux empfohlen?
Der folgende Workflow wird empfohlen, um unter Linux die besten Ergebnisse zu erzielen:
- Beginnen Sie mit dem unveränderten Katalogimage für die gewünschte Distribution und Version des Betriebssystems.
- Sichern Sie alle eingebundenen Laufwerke, die verschlüsselt werden sollen. Diese Sicherung ermöglicht die Wiederherstellung bei einem Ausfall – etwa, wenn der virtuelle Computer vor Abschluss der Verschlüsselung neu gestartet wird.
- Führen Sie die Verschlüsselung durch (dies kann je nach VM-Merkmalen und der Größe etwaiger angefügten Datenträger mehrere Stunden oder sogar Tage dauern).
- Passen Sie das Image an, und fügen Sie bei Bedarf Software hinzu.
Ist dieser Workflow nicht möglich, stellt die Storage Service Encryption (SSE, Speicherdienstverschlüsselung) auf der Ebene des Plattformspeicherkontos möglicherweise eine Alternative zur vollständigen Datenträgerverschlüsselung mit „dm-crypt“ dar.
Um was handelt es sich beim Datenträger „Bek Volume“ bzw. „/mnt/azure_bek_disk“?
„Bek volume“ ist ein lokales Datenvolume, auf dem die Verschlüsselungsschlüssel für verschlüsselte Microsoft Azure Virtual Machines sicher gespeichert werden.
Hinweis
Löschen oder bearbeiten Sie keine Inhalte auf diesem Datenträger. Die Bereitstellung des Datenträgers kann nicht aufgehoben werden, da für Verschlüsselungsvorgänge auf der IaaS-VM der Verschlüsselungsschlüssel vorhanden sein muss.
Welche Verschlüsselungsmethode verwendet Azure Disk Encryption?
Azure Disk Encryption nutzt die standardmäßige Entschlüsselung aes-xts-plain64 mit einem 256-Bit-Volumehauptschlüssel.
Werden die Daten auf den bereits verschlüsselten Datenlaufwerken gelöscht, wenn ich EncryptFormatAll verwende und alle Volumetypen angebe?
Nein, Daten werden nicht von Datenträgern für Daten gelöscht, die bereits mit Azure Disk Encryption verschlüsselt wurden. Ebenso wie EncryptFormatAll das Betriebssystemlaufwerk nicht erneut verschlüsselte, werden auch bereits verschlüsselte Laufwerke für Daten nicht erneut verschlüsselt. Weitere Informationen finden Sie unter den Kriterien für EncryptFormatAll.
Wird das XFS-Dateisystem unterstützt?
Die Verschlüsselung von XFS-Betriebssystemdatenträgern wird unterstützt.
Die Verschlüsselung von XFS-Datenträgern für Daten wird nur bei Verwendung des Parameters EncryptFormatAll unterstützt. Diese Option formatiert das Volume neu, und alle zuvor vorhandenen Daten werden gelöscht. Weitere Informationen finden Sie unter den Kriterien für EncryptFormatAll.
Wird die Größenänderung der Betriebssystempartition unterstützt?
Das Ändern der Größe eines mit Azure Disk Encryption verschlüsselten Betriebssystemdatenträgers wird nicht unterstützt.
Kann ich einen verschlüsselten virtuellen Computer sichern und wiederherstellen?
Azure Backup bietet einen Mechanismus zum Sichern und Wiederherstellen verschlüsselter virtueller Computer innerhalb desselben Abonnements und derselben Region. Anleitungen finden Sie unter Sichern und Wiederherstellen verschlüsselter virtueller Computer mit Azure Backup. Das Wiederherstellen eines verschlüsselten virtuellen Computers in einer anderen Region wird derzeit nicht unterstützt.
Wo kann ich Fragen stellen oder Feedback geben?
Sie können auf der Frageseite von Microsoft Q&A (Fragen und Antworten) für Azure Disk Encryption Fragen stellen und Feedback geben.
Nächste Schritte
In diesem Artikel haben Sie Antworten auf die am häufigsten gestellten Fragen im Zusammenhang mit Azure Disk Encryption erhalten. Weitere Informationen zu diesem Dienst finden Sie in den folgenden Artikeln: