Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger

Für Ihre verwalteten Datenträger stehen verschiedene Arten von Verschlüsselung zur Verfügung, z. B. Azure Disk Encryption (ADE), serverseitige Verschlüsselung (Server-Side Encryption, SSE) und Verschlüsselung auf dem Host.

• Serverseitige Verschlüsselung von Azure Disk Storage (auch als Verschlüsselung ruhender Daten oder Azure Storage-Verschlüsselung bezeichnet) ist immer aktiviert und verschlüsselt automatisch die auf verwalteten Azure-Datenträgern (Betriebssystem- und reguläre Datenträger) gespeicherten Daten, wenn sie auf den Speicherclustern gespeichert werden. Wenn sie mit einem Datenträgerverschlüsselungssatz (DISK Encryption Set, DES) konfiguriert ist, unterstützt sie auch kundenseitig verwaltete Schlüssel. Temporäre Datenträger oder Datenträgercaches werden nicht verschlüsselt. Ausführliche Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage.

• Verschlüsselung auf dem Host ist eine Option für VMs, die serverseitige Azure Disk Storage-Verschlüsselung verbessert, um sicherzustellen, dass alle temporären Datenträger und Datenträgercaches im Ruhezustand verschlüsselt sind und an die Speichercluster flussverschlüsselt werden. Weitere Informationen finden Sie unter Verschlüsselung auf dem Host: End-to-End-Verschlüsselung für Ihre VM-Daten.

• Azure Disk Encryption unterstützt Sie beim Schutz Ihrer Daten gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation. ADE verschlüsselt das Betriebssystem und die Datenträger von virtuellen Azure-Computern (VMs) innerhalb Ihrer VMs mithilfe der DM-Crypt-Funktion von Linux oder der BitLocker-Funktion von Windows. ADE ist in Azure Key Vault integriert, damit Sie die Datenträgerverschlüsselungsschlüssel und -geheimnisse steuern und verwalten können, ggf. mit einem Schlüssel für die Schlüsselverschlüsselung (Key Encryption Key, KEK). Ausführliche Informationen finden Sie unter Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für virtuelle Windows-Computer.

• Die vertrauliche Festplattenverschlüsselung bindet Festplattenverschlüsselungsschlüssel an das TPM der virtuellen Maschine und macht den geschützten Festplatteninhalt nur für die VM zugänglich. Der TPM- und VM-Gaststatus wird immer in attestiertem Code verschlüsselt, wobei Schlüssel verwendet werden, die von einem sicheren Protokoll freigegeben werden, das den Hypervisor und das Hostbetriebssystem umgeht. Derzeit nur für den Betriebssystemdatenträger verfügbar; Unterstützung für temporäre Datenträger befindet sich in der Vorschau. Die Verschlüsselung auf dem Host kann zusätzlich zur Confidential Disk Encryption für andere Festplatten auf einer Confidential VM verwendet werden. Ausführliche Informationen finden Sie unter Vertrauliche VMs der DCasv5- und ECasv5-Serie.

Die Verschlüsselung ist Teil eines mehrstufigen Sicherheitsansatzes und sollte zusammen mit anderen Empfehlungen verwendet werden, um virtuelle Computer und deren Datenträger zu schützen. Ausführliche Informationen finden Sie in den Sicherheitsempfehlungen für virtuelle Computer in Azure und im Artikel zum Einschränken des Import-/Exportzugriffs auf verwaltete Datenträger.

Vergleich

Hier ist ein Vergleich von Disk Storage-SSE, ADE, Verschlüsselung auf dem Host und vertraulicher Festplattenverschlüsselung.

	Serverseitige Azure Disk Storage-Verschlüsselung	Verschlüsselung auf dem Host	Azure-Datenträgerverschlüsselung	Verschlüsselung vertraulicher Datenträger (nur für den Betriebssystemdatenträger)
Verschlüsselung ruhender Daten (Betriebssystemdatenträger und Datenträger mit Daten)	✅	✅	✅	✅
Verschlüsselung temporärer Datenträger	❌	✅ Datenträger mit plattformseitig verwalteten Schlüsseln	✅	✅In der Vorschauversion
Verschlüsselung von Caches	❌	✅	✅	✅
Verschlüsselte Datenflüsse zwischen Computeressource und Speicher	❌	✅	✅	✅
Kundenseitige Kontrolle von Schlüsseln	✅ Bei der Konfiguration mit DES	✅ Bei der Konfiguration mit DES	✅ Bei der Konfiguration mit einem KEK	✅ Bei der Konfiguration mit DES
HSM-Unterstützung	Azure Key Vault Premium und verwaltetes HSM	Azure Key Vault Premium und verwaltetes HSM	Azure Key Vault Premium	Azure Key Vault Premium und verwaltetes HSM
Verwendet nicht die CPU Ihres virtuellen Computers	✅	✅	❌	❌
Unterstützung benutzerdefinierter Images	✅	✅	❌ Funktioniert nicht für benutzerdefinierte Linux-Images	✅
Verbesserter Schlüsselschutz	❌	❌	❌	✅
Datenträgerverschlüsselungsstatus von Microsoft Defender for Cloud*	Fehlerhaft	Healthy	Healthy	Nicht verfügbar

Wichtig

Für die Verschlüsselung vertraulicher Datenträger enthält Microsoft Defender for Cloud derzeit keine entsprechende Empfehlung.

* Microsoft Defender for Cloud enthält die folgenden Empfehlungen für Datenträgerverschlüsselung:

• Für VMs und VM Scale Sets sollte die Verschlüsselung auf dem Host aktiviert sein (erkennt nur die Verschlüsselung auf dem Host)
• VMs sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln (erkennt nur Azure Disk Encryption)
• Windows-VMs sollten Azure Disk Encryption oder EncryptionAtHost aktivieren (erkennt sowohl Azure Disk Encryption als auch EncryptionAtHost)
• Linux-VMs sollten Azure Disk Encryption oder EncryptionAtHost aktivieren (erkennt sowohl Azure Disk Encryption als auch EncryptionAtHost)

Nächste Schritte

• Azure Disk Encryption für Linux-VMs
• Azure Disk Encryption für Windows-VMs
• Serverseitige Verschlüsselung von Azure Disk Storage
• Verschlüsselung auf dem Host
• Vertrauliche VMs der Serien DCasv5 und ECasv5
• Übersicht über die Azure-Verschlüsselung