Megosztás a következőn keresztül:


A felügyelt lemeztitkosítási lehetőségek áttekintése

A felügyelt lemezekhez számos titkosítási típus érhető el, például az Azure Disk Encryption (ADE), a kiszolgálóoldali titkosítás (SSE) és a gazdagép titkosítása.

  • Az Azure Disk Storage kiszolgálóoldali titkosítása (más néven inaktív titkosítás vagy Azure Storage-titkosítás) mindig engedélyezve van, és automatikusan titkosítja az Azure-beli felügyelt lemezeken (operációs rendszereken és adatlemezeken) tárolt adatokat a tárolófürtökön való tároláskor. Lemeztitkosítási csoporttal (DES) konfigurálva az ügyfél által felügyelt kulcsokat is támogatja. Nem titkosítja az ideiglenes lemezeket vagy a lemezgyorsítótárakat. További részletekért lásd az Azure Disk Storage kiszolgálóoldali titkosítását.

  • A gazdagépen a titkosítás egy olyan virtuálisgép-beállítás, amely javítja az Azure Disk Storage kiszolgálóoldali titkosítását annak érdekében, hogy az ideiglenes lemezek és a lemezgyorsítótárak inaktív állapotban legyenek titkosítva, és titkosítva legyenek a Storage-fürtökre. További részletekért lásd : Titkosítás a gazdagépen – A virtuálisgép-adatok végpontok közötti titkosítása.

  • Az Azure Disk Encryption segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Az ADE titkosítja az Azure-beli virtuális gépek operációs rendszerét és adatlemezeit a virtuális gépeken a Linux DM-Crypt funkciójával vagy a Windows BitLocker funkciójával. Az ADE integrálva van az Azure Key Vaulttal, így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat, és lehetővé teszi a kulcstitkosítási kulccsal (KEK) való titkosítást. További részletekért tekintse meg a Linux rendszerű virtuális gépekhez készült Azure Disk Encryptiont vagy a Windows rendszerű virtuális gépekhez készült Azure Disk Encryptiont.

  • A bizalmas lemeztitkosítás a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti, és a védett lemez tartalmát csak a virtuális gép számára teszi elérhetővé. A TPM és a virtuális gép vendégállapota mindig igazolt kódban van titkosítva egy biztonságos protokoll által kiadott kulcsokkal, amelyek áthaladnak a hipervizoron és a gazdagép operációs rendszerén. Jelenleg csak az operációsrendszer-lemezen érhető el; Az ideiglenes lemez támogatása előzetes verzióban érhető el. A gazdagép titkosítása a Bizalmas lemeztitkosítás mellett a bizalmas virtuális gépek más lemezeihez is használható. További részletekért lásd: DCasv5 és ECasv5 sorozatú bizalmas virtuális gépek.

A titkosítás a biztonság rétegzett megközelítésének része, és más javaslatokkal együtt kell használni a virtuális gépek és lemezeik védelmére. További részletekért tekintse meg az Azure-beli virtuális gépekre vonatkozó biztonsági javaslatokat, és korlátozza a felügyelt lemezekhez való importálási/exportálási hozzáférést.

Összehasonlítás

Íme a Disk Storage SSE, az ADE, a gazdagépen történő titkosítás és a bizalmas lemeztitkosítás összehasonlítása.

  Azure Disk Storage kiszolgálóoldali titkosítás Titkosítás a gazdagépen Azure Disk Encryption Bizalmas lemeztitkosítás (csak operációsrendszer-lemez esetén)
Inaktív titkosítás (operációs rendszer és adatlemezek)
Ideiglenes lemeztitkosítás ✅ Csak platform által felügyelt kulccsal támogatott Előzetes verzióban
Gyorsítótárak titkosítása
A Compute és a Storage között titkosított adatfolyamok
Kulcsok ügyfélvezérlése ✅ Ha a DES-sel van konfigurálva ✅ Ha a DES-sel van konfigurálva ✅ Ha a KEK-vel van konfigurálva ✅ Ha a DES-sel van konfigurálva
HSM-támogatás Azure Key Vault Premium és felügyelt HSM Azure Key Vault Premium és felügyelt HSM Prémium szintű Azure Key Vault Azure Key Vault Premium és felügyelt HSM
Nem használja a virtuális gép processzorát
Egyéni rendszerképekhez használható ❌ Nem működik egyéni Linux-rendszerképekhez
Továbbfejlesztett kulcsvédelem
Felhőhöz készült Microsoft Defender lemeztitkosítás állapota* Nem kifogástalan Kifogástalan Kifogástalan Nem alkalmazható

Fontos

Bizalmas lemeztitkosítás esetén a Felhőhöz készült Microsoft Defender jelenleg nem rendelkezik alkalmazható javaslatsal.

* Felhőhöz készült Microsoft Defender a következő lemeztitkosítási javaslatokkal rendelkezik:

Következő lépések