Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A felügyelt lemezekhez számos titkosítási típus érhető el, például az Azure Disk Encryption (ADE), a Server-Side Encryption (SSE) és a gazdagépszinten alkalmazott titkosítás.
Az Azure Disk Storage Server-Side titkosítás (más néven inaktív titkosítás vagy Azure Storage-titkosítás) mindig engedélyezve van, és automatikusan titkosítja az Azure által felügyelt lemezeken (operációs rendszereken és adatlemezeken) tárolt adatokat a tárolófürtökön való tároláskor. Lemeztitkosítási csoporttal (DES) konfigurálva az ügyfél által felügyelt kulcsokat is támogatja. Nem titkosítja az ideiglenes lemezeket vagy a lemezgyorsítótárakat. További részletekért lásd az Azure Disk Storage kiszolgálóoldali titkosítását.
A gazdagépen történő titkosítás egy olyan virtuális gép beállítás, amely javítja az Azure lemez tároló Server-Side titkosítását, így biztosítható, hogy az ideiglenes lemezek és a lemezgyorsítótárak nyugalmi állapotban és adatátvitel közben is titkosítva legyenek a tárfürtökre. A teljes részletekért lásd: Gazdagép szinten– Végponttól végpontig tartó titkosítás a virtuálisgép adatokhoz.
A bizalmas lemeztitkosítás a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti, és a védett lemez tartalmát csak a virtuális gép számára teszi elérhetővé. A TPM és a virtuális gép vendégállapota mindig igazolt kódban van titkosítva egy biztonságos protokoll által kiadott kulcsokkal, amelyek áthaladnak a hipervizoron és a gazdagép operációs rendszerén. Jelenleg csak az operációsrendszer-lemezen érhető el; Az ideiglenes lemez támogatása előzetes verzióban érhető el. A hoszt titkosítása a Konfidenciális Lemeztitkosítás mellett bizalmas virtuális gépeken más lemezekhez is használható. További részletekért lásd: DCasv5 és ECasv5 sorozatú bizalmas virtuális gépek.
Az Azure Disk Encryption segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Az ADE titkosítja az Azure-beli virtuális gépek operációs rendszerét és adatlemezeit a virtuális gépeken a Linux DM-Crypt funkciójával vagy a Windows BitLocker funkciójával. Az ADE integrálva van az Azure Key Vaulttal, így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat, és lehetővé teszi a kulcstitkosítási kulccsal (KEK) való titkosítást. További részletekért tekintse meg a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptiont vagy a Windows rendszerű virtuális gépekhez készült Azure Disk Encryptiont.
Fontos
Az Azure Disk Encryption a tervek szerint 2028. szeptember 15-én megszűnik. Addig a napig zavartalanul használhatja az Azure Disk Encryptiont. 2028. szeptember 15-én az ADE-kompatibilis számítási feladatok továbbra is futnak, a titkosított lemezek azonban nem fognak feloldani a virtuális gép újraindítása után, ami szolgáltatáskimaradást eredményez.
Használjon titkosítást a gazdagépen az új virtuális gépekhez. A szolgáltatáskimaradás elkerülése érdekében az összes ADE által támogatott virtuális gépet (beleértve a biztonsági mentéseket is) át kell állítani a gazdagépen végzett titkosításra a nyugdíjazási dátum előtt. Részletekért lásd: Migrálás az Azure Disk Encryptionről a gazda általi titkosításra.
A titkosítás a biztonság rétegzett megközelítésének része, és más javaslatokkal együtt kell használni a virtuális gépek és lemezeik védelmére. További részletekért tekintse meg az Azure-beli virtuális gépekre vonatkozó biztonsági javaslatokat , és korlátozza a felügyelt lemezekhez való importálási/exportálási hozzáférést.
Összehasonlítás
Íme a Disk Storage SSE, az ADE, a gazdagépen történő titkosítás és a bizalmas lemeztitkosítás összehasonlítása.
| Azure Disk Storage Server-Side titkosítás | Titkosítás a gazdagépen | Azure Disk Encryption | Bizalmas lemeztitkosítás (csak operációsrendszer-lemez esetén) | |
|---|---|---|---|---|
| Inaktív titkosítás (operációs rendszer és adatlemezek) | ✅ | ✅ | ✅ | ✅ |
| Ideiglenes lemeztitkosítás | ❌ | ✅ Csak platform által felügyelt kulccsal támogatott | ✅ | ✅ Előzetes verzióban |
| Gyorsítótárak titkosítása | ❌ | ✅ | ✅ | ✅ |
| A Compute és a Storage között titkosított adatfolyamok | ❌ | ✅ | ✅ | ✅ |
| Kulcsok ügyfélvezérlése | ✅ Amikor DES-sel van konfigurálva | ✅ Amikor DES-sel van konfigurálva | ✅ Amikor KEK-kel van konfigurálva | ✅ Amikor DES-sel van konfigurálva |
| HSM-támogatás | Azure Key Vault Premium és felügyelt HSM | Azure Key Vault Premium és felügyelt HSM | Prémium szintű Azure Key Vault | Azure Key Vault Premium és felügyelt HSM |
| Nem használja a virtuális gép processzorát | ✅ | ✅ | ❌ | ❌ |
| Egyéni rendszerképekhez használható | ✅ | ✅ | ❌ Nem működik egyéni Linux-rendszerképekhez | ✅ |
| Továbbfejlesztett kulcsvédelem | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender for Cloud lemez titkosítási állapota* | Egészségtelen | Egészséges | Egészséges | Nem alkalmazható |
Fontos
Bizalmas lemeztitkosítás esetén a Microsoft Defender for Cloud jelenleg nem rendelkezik megfelelő javaslatsal.
* A Microsoft Defender for Cloud a következő lemeztitkosítási javaslatokkal rendelkezik:
- A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen (csak a gazdagépen észleli a titkosítást)
- A virtuális gépeknek a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat kell titkosítaniuk (csak az Azure Disk Encryptiont észleli)
- A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot (az Azure Disk Encryptiont és a EncryptionAtHostot is észleli)
- A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot (az Azure Disk Encryptiont és a EncryptionAtHostot is észleli)
Következő lépések
- Azure Disk Encryption Linux rendszerű virtuális gépekhez
- Azure Disk Encryption Windows rendszerű virtuális gépekhez
- Az Azure Disk Storage kiszolgálóoldali titkosítása
- Titkosítás a gazdagépen
- Migrálás az Azure Disk Encryptionről a kiszolgálóoldali titkosításra
- DCasv5 és ECasv5 sorozatú bizalmas virtuális gépek
- Az Azure biztonsági alapjai – Az Azure-titkosítás áttekintése