A felügyelt lemeztitkosítási lehetőségek áttekintése
A felügyelt lemezekhez számos titkosítási típus érhető el, például az Azure Disk Encryption (ADE), a kiszolgálóoldali titkosítás (SSE) és a gazdagép titkosítása.
Az Azure Disk Storage kiszolgálóoldali titkosítása (más néven inaktív titkosítás vagy Azure Storage-titkosítás) mindig engedélyezve van, és automatikusan titkosítja az Azure-beli felügyelt lemezeken (operációs rendszereken és adatlemezeken) tárolt adatokat a tárolófürtökön való tároláskor. Lemeztitkosítási csoporttal (DES) konfigurálva az ügyfél által felügyelt kulcsokat is támogatja. Nem titkosítja az ideiglenes lemezeket vagy a lemezgyorsítótárakat. További részletekért lásd az Azure Disk Storage kiszolgálóoldali titkosítását.
A gazdagépen a titkosítás egy olyan virtuálisgép-beállítás, amely javítja az Azure Disk Storage kiszolgálóoldali titkosítását annak érdekében, hogy az ideiglenes lemezek és a lemezgyorsítótárak inaktív állapotban legyenek titkosítva, és titkosítva legyenek a Storage-fürtökre. További részletekért lásd : Titkosítás a gazdagépen – A virtuálisgép-adatok végpontok közötti titkosítása.
Az Azure Disk Encryption segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Az ADE titkosítja az Azure-beli virtuális gépek operációs rendszerét és adatlemezeit a virtuális gépeken a Linux DM-Crypt funkciójával vagy a Windows BitLocker funkciójával. Az ADE integrálva van az Azure Key Vaulttal, így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat, és lehetővé teszi a kulcstitkosítási kulccsal (KEK) való titkosítást. További részletekért tekintse meg a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptiont vagy a Windows rendszerű virtuális gépekhez készült Azure Disk Encryptiont.
A bizalmas lemeztitkosítás a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti, és a védett lemez tartalmát csak a virtuális gép számára teszi elérhetővé. A TPM és a virtuális gép vendégállapota mindig igazolt kódban van titkosítva egy biztonságos protokoll által kiadott kulcsokkal, amelyek áthaladnak a hipervizoron és a gazdagép operációs rendszerén. Jelenleg csak az operációsrendszer-lemezen érhető el; Az ideiglenes lemez támogatása előzetes verzióban érhető el. A gazdagép titkosítása a Bizalmas lemeztitkosítás mellett a bizalmas virtuális gépek más lemezeihez is használható. További részletekért lásd: DCasv5 és ECasv5 sorozatú bizalmas virtuális gépek.
A titkosítás a biztonság rétegzett megközelítésének része, és más javaslatokkal együtt kell használni a virtuális gépek és lemezeik védelmére. További részletekért tekintse meg az Azure-beli virtuális gépekre vonatkozó biztonsági javaslatokat, és korlátozza a felügyelt lemezekhez való importálási/exportálási hozzáférést.
Összehasonlítás
Íme a Disk Storage SSE, az ADE, a gazdagépen történő titkosítás és a bizalmas lemeztitkosítás összehasonlítása.
| Azure Disk Storage kiszolgálóoldali titkosítás | Titkosítás a gazdagépen | Azure Disk Encryption | Bizalmas lemeztitkosítás (csak operációsrendszer-lemez esetén) | |
|---|---|---|---|---|
| Inaktív titkosítás (operációs rendszer és adatlemezek) | ✅ | ✅ | ✅ | ✅ |
| Ideiglenes lemeztitkosítás | ❌ | ✅ Csak platform által felügyelt kulccsal támogatott | ✅ | ✅Előzetes verzióban |
| Gyorsítótárak titkosítása | ❌ | ✅ | ✅ | ✅ |
| A Compute és a Storage között titkosított adatfolyamok | ❌ | ✅ | ✅ | ✅ |
| Kulcsok ügyfélvezérlése | ✅ Ha a DES-sel van konfigurálva | ✅ Ha a DES-sel van konfigurálva | ✅ Ha a KEK-vel van konfigurálva | ✅ Ha a DES-sel van konfigurálva |
| HSM-támogatás | Azure Key Vault Premium és felügyelt HSM | Azure Key Vault Premium és felügyelt HSM | Prémium szintű Azure Key Vault | Azure Key Vault Premium és felügyelt HSM |
| Nem használja a virtuális gép processzorát | ✅ | ✅ | ❌ | ❌ |
| Egyéni rendszerképekhez használható | ✅ | ✅ | ❌ Nem működik egyéni Linux-rendszerképekhez | ✅ |
| Továbbfejlesztett kulcsvédelem | ❌ | ❌ | ❌ | ✅ |
| Felhőhöz készült Microsoft Defender lemeztitkosítás állapota* | Nem kifogástalan | Kifogástalan | Kifogástalan | Nem alkalmazható |
Fontos
Bizalmas lemeztitkosítás esetén a Felhőhöz készült Microsoft Defender jelenleg nem rendelkezik alkalmazható javaslatsal.
* Felhőhöz készült Microsoft Defender a következő lemeztitkosítási javaslatokkal rendelkezik:
- A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen (csak a gazdagépen észleli a titkosítást)
- A virtuális gépeknek a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat kell titkosítaniuk (csak az Azure Disk Encryptiont észleli)
- A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot (az Azure Disk Encryptiont és a EncryptionAtHostot is észleli)
- A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot (az Azure Disk Encryptiont és a EncryptionAtHostot is észleli)
Következő lépések
- Azure Disk Encryption Linux rendszerű virtuális gépekhez
- Azure Disk Encryption Windows rendszerű virtuális gépekhez
- Az Azure Disk Storage kiszolgálóoldali titkosítása
- Titkosítás a gazdagépen
- DCasv5 és ECasv5 sorozatú bizalmas virtuális gépek
- Az Azure biztonsági alapjai – Az Azure-titkosítás áttekintése