Azure Disk Encryption für Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Übersicht

Azure Disk Encryption nutzt das Subsystem dm-crypt in Linux zur Gewährleistung einer vollständigen Datenträgerverschlüsselung bei der Auswahl von Azure Linux-Verteilungen. Diese Lösung ist in Azure Key Vault integriert, um die Verwaltung der Datenträger-Verschlüsselungsschlüssel zu erleichtern.

Voraussetzungen

Eine vollständige Liste mit den Voraussetzungen finden Sie unter Azure Disk Encryption für Linux-VMs. Achten Sie besonders auf die folgenden Abschnitte:

• Unterstützte VMs und Betriebssysteme
• Weitere VM-Anforderungen
• Netzwerkanforderungen
• Speicheranforderungen für Verschlüsselungsschlüssel

Erweiterungsschema

Es gibt zwei Versionen des Erweiterungsschemas für Azure Disk Encryption (ADE):

• v1.1: ein neueres empfohlenes Schema, das keine Microsoft Entra-Eigenschaften verwendet
• v0.1: ein älteres Schema, für das Microsoft Entra-Eigenschaften erforderlich sind

Zum Auswählen eines Zielschemas muss die Eigenschaft typeHandlerVersion auf die gewünschte Schemaversion festgelegt werden.

Schema v1.1: ohne Microsoft Entra ID (empfohlen)

Das v1.1-Schema wird empfohlen und erfordert keine Microsoft Entra-Eigenschaften.

Hinweis

Der DiskFormatQuery-Parameter ist veraltet. Seine Funktionalität wurde stattdessen durch die Option EncryptFormatAll ersetzt, die die empfohlene Methode zum Formatieren von Datenträgern zum Zeitpunkt der Verschlüsselung darstellt.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v0.1: mit Microsoft Entra ID

Das 0.1-Schema erfordert AADClientID und entweder AADClientSecret oder AADClientCertificate.

Verwenden von AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Verwenden von AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Eigenschaftswerte

Hinweis: Für alle Eigenschaftswerte wird zwischen Groß-/Kleinschreibung unterschieden.

Name	Wert/Beispiel	Datentyp
apiVersion	01.07.2019	date
publisher	Microsoft.Azure.Security	Zeichenfolge
type	AzureDiskEncryptionForLinux	Zeichenfolge
typeHandlerVersion	1.1, 0.1	INT
(0.1-Schema) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(0.1-Schema) AADClientSecret	password	Zeichenfolge
(0.1-Schema) AADClientCertificate	thumbprint	Zeichenfolge
(optional) (0.1-Schema) Passphrase	password	Zeichenfolge
DiskFormatQuery	{"dev_path":"","name":"","file_system":""}	JSON-Wörterbuch
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	Zeichenfolge
(optional – Standard-RSA-OAEP) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	Zeichenfolge
KeyVaultURL	url	Zeichenfolge
KeyVaultResourceId	url	Zeichenfolge
(optional) KeyEncryptionKeyURL	url	Zeichenfolge
(optional) KekVaultResourceId	url	Zeichenfolge
(optional) SequenceVersion	UNIQUEIDENTIFIER	Zeichenfolge
VolumeType	Betriebssystem, Daten, alle	Zeichenfolge

Bereitstellung von Vorlagen

Ein Beispiel für eine Vorlagenbereitstellung, die auf Schema v1.1 basiert, finden Sie in der Azure-Schnellstartvorlage encrypt-running-linux-vm-without-aad.

Ein Beispiel für eine Vorlagenbereitstellung, die auf Schema v0.1 basiert, finden Sie in der Azure-Schnellstartvorlage encrypt-running-linux-vm.

Warnung

• Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra ID zum Verschlüsseln einer VM verwendet haben, müssen Sie diese Option auch weiterhin zum Verschlüsseln Ihrer VM verwenden.
• Beim Verschlüsseln von Linux-Betriebssystemvolumes sollte die VM als nicht verfügbar angesehen werden. Es wird dringend empfohlen, SSH-Anmeldungen zu vermeiden, während die Verschlüsselung ausgeführt wird, damit es nicht aufgrund von Problemen zur Blockierung geöffneter Dateien kommt, auf die während des Verschlüsselungsvorgangs zugegriffen werden muss. Verwenden Sie zum Überprüfen des Fortschritts das PowerShell-Cmdlet Get-AzVMDiskEncryptionStatus oder den CLI-Befehl vm encryption show. Es ist zu erwarten, dass dieser Prozess bei einem Betriebssystemvolume mit 30 GB einige Stunden in Anspruch nimmt, zuzüglich der Zeit für die Verschlüsselung von Datenvolumes. Die Verschlüsselungszeit für Datenvolumes ist proportional zur Größe und Menge der Datenvolumes; die Option encrypt format all arbeitet schneller als die Verschlüsselung an Ort und Stelle, führt aber zum Verlust aller Daten auf den Datenträgern.
• Das Deaktivieren der Verschlüsselung auf virtuellen Linux-Computern wird nur für Datenvolumes unterstützt. Dies wird nicht auf Daten- oder Betriebssystemvolumes unterstützt, wenn das Betriebssystemvolume verschlüsselt wurde.

Hinweis

Wenn der VolumeType-Parameter auf „All“ festgelegt ist, werden Datenträger nur dann verschlüsselt, wenn sie ordnungsgemäß eingebunden sind.

Problembehandlung und Support

Problembehandlung

Informationen zur Problembehandlung finden Sie unter Leitfaden zur Azure Disk Encryption-Problembehandlung.

Support

Sollten Sie beim Lesen dieses Artikels feststellen, dass Sie weitere Hilfe benötigen, können Sie sich über das MSDN Azure-Forum oder über das Stack Overflow-Forum mit Azure-Experten in Verbindung setzen.

Alternativ dazu haben Sie die Möglichkeit, einen Azure-Supportfall zu erstellen. Navigieren Sie zum Azure-Support, und wählen Sie „Support erhalten“ aus. Informationen zur Nutzung von Azure-Support finden Sie unter Microsoft Azure-Support-FAQ.

Nächste Schritte

• Weitere Informationen zu VM-Erweiterungen finden Sie unter Erweiterungen und Features für virtuelle Computer für Linux.
• Weitere Informationen zu Azure Disk Encryption für Linux finden Sie unter Virtuelle Linux-Computer.