Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger

Für Ihre verwalteten Datenträger stehen verschiedene Arten von Verschlüsselung zur Verfügung, z. B. Azure Disk Encryption (ADE), serverseitige Verschlüsselung (Server-Side Encryption, SSE) und Verschlüsselung auf dem Host.

  • Serverseitige Verschlüsselung von Azure Disk Storage (auch als Verschlüsselung ruhender Daten oder Azure Storage-Verschlüsselung bezeichnet) ist immer aktiviert und verschlüsselt automatisch die auf verwalteten Azure-Datenträgern (Betriebssystem- und reguläre Datenträger) gespeicherten Daten, wenn sie auf den Speicherclustern gespeichert werden. Wenn sie mit einem Datenträgerverschlüsselungssatz (DISK Encryption Set, DES) konfiguriert ist, unterstützt sie auch kundenseitig verwaltete Schlüssel. Temporäre Datenträger oder Datenträgercaches werden nicht verschlüsselt. Ausführliche Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage.

  • Verschlüsselung auf dem Host ist eine Option für VMs, die serverseitige Azure Disk Storage-Verschlüsselung verbessert, um sicherzustellen, dass alle temporären Datenträger und Datenträgercaches im Ruhezustand verschlüsselt sind und an die Speichercluster flussverschlüsselt werden. Weitere Informationen finden Sie unter Verschlüsselung auf dem Host: End-to-End-Verschlüsselung für Ihre VM-Daten.

  • Azure Disk Encryption unterstützt Sie beim Schutz Ihrer Daten gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation. ADE verschlüsselt das Betriebssystem und die Datenträger von virtuellen Azure-Computern (VMs) innerhalb Ihrer VMs mithilfe der DM-Crypt-Funktion von Linux oder der BitLocker-Funktion von Windows. ADE ist in Azure Key Vault integriert, damit Sie die Datenträgerverschlüsselungsschlüssel und -geheimnisse steuern und verwalten können, ggf. mit einem Schlüssel für die Schlüsselverschlüsselung (Key Encryption Key, KEK). Ausführliche Informationen finden Sie unter Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für virtuelle Windows-Computer.

  • Die vertrauliche Festplattenverschlüsselung bindet Festplattenverschlüsselungsschlüssel an das TPM der virtuellen Maschine und macht den geschützten Festplatteninhalt nur für die VM zugänglich. Der TPM- und VM-Gaststatus wird immer in attestiertem Code verschlüsselt, wobei Schlüssel verwendet werden, die von einem sicheren Protokoll freigegeben werden, das den Hypervisor und das Hostbetriebssystem umgeht. Derzeit nur für den Betriebssystemdatenträger verfügbar. Die Verschlüsselung auf dem Host kann zusätzlich zur Confidential Disk Encryption für andere Festplatten auf einer Confidential VM verwendet werden. Ausführliche Informationen finden Sie unter Vertrauliche VMs der DCasv5- und ECasv5-Serie.

Die Verschlüsselung ist Teil eines mehrstufigen Sicherheitsansatzes und sollte zusammen mit anderen Empfehlungen verwendet werden, um virtuelle Computer und deren Datenträger zu schützen. Ausführliche Informationen finden Sie in den Sicherheitsempfehlungen für virtuelle Computer in Azure und im Artikel zum Einschränken des Import-/Exportzugriffs auf verwaltete Datenträger.

Vergleich

Hier ist ein Vergleich von Disk Storage-SSE, ADE, Verschlüsselung auf dem Host und vertraulicher Festplattenverschlüsselung.

  Serverseitige Azure Disk Storage-Verschlüsselung Verschlüsselung auf dem Host Azure-Datenträgerverschlüsselung Verschlüsselung vertraulicher Datenträger (nur für den Betriebssystemdatenträger)
Verschlüsselung ruhender Daten (Betriebssystemdatenträger und Datenträger mit Daten)
Verschlüsselung temporärer Datenträger ✅ Datenträger mit plattformseitig verwalteten Schlüsseln
Verschlüsselung von Caches
Verschlüsselte Datenflüsse zwischen Computeressource und Speicher
Kundenseitige Kontrolle von Schlüsseln ✅ Bei der Konfiguration mit DES ✅ Bei der Konfiguration mit DES ✅ Bei der Konfiguration mit einem KEK ✅ Bei der Konfiguration mit DES
HSM-Unterstützung Azure Key Vault Premium und verwaltetes HSM Azure Key Vault Premium und verwaltetes HSM Azure Key Vault Premium Azure Key Vault Premium und verwaltetes HSM
Verwendet nicht die CPU Ihres virtuellen Computers
Unterstützung benutzerdefinierter Images ❌ Funktioniert nicht für benutzerdefinierte Linux-Images
Verbesserter Schlüsselschutz
Datenträgerverschlüsselungsstatus von Microsoft Defender for Cloud* Fehlerhaft Healthy Healthy Nicht verfügbar

Wichtig

Für die Verschlüsselung vertraulicher Datenträger enthält Microsoft Defender for Cloud derzeit keine entsprechende Empfehlung.

* Microsoft Defender for Cloud enthält die folgenden Empfehlungen für Datenträgerverschlüsselung:

Nächste Schritte