Az Azure Disk Storage kiszolgálóoldali titkosítása

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai Egységes méretezési csoportok ✔️

Az Azure-beli felügyelt lemezek többsége Azure Storage-titkosítással van titkosítva, amely kiszolgálóoldali titkosítást (SSE) használ az adatok védelmére és a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítéséhez. Az Azure Storage-titkosítás alapértelmezés szerint automatikusan titkosítja az inaktív Azure-beli felügyelt lemezeken (operációs rendszereken és adatlemezeken) tárolt adatokat, amikor azokat a felhőben tárolja. A gazdagépen engedélyezett titkosítással rendelkező lemezek azonban nem az Azure Storage-on keresztül vannak titkosítva. A gazdagépen engedélyezett titkosítással rendelkező lemezek esetében a virtuális gépet üzemeltető kiszolgáló biztosítja az adatok titkosítását, és a titkosított adatok az Azure Storage-ba kerülnek.

Az Azure-beli felügyelt lemezeken lévő adatok transzparens módon, 256 bites AES-titkosítással titkosítva lesznek, amely az egyik legerősebb elérhető blokktitkosítás, és a FIPS 140-2 szabványnak is megfelel. Az Azure által felügyelt lemezek alapjául szolgáló kriptográfiai modulokkal kapcsolatos további információkért lásd : Cryptography API: Next Generation

Az Azure Storage titkosítása nem befolyásolja a felügyelt lemezek teljesítményét, és nincs további költség. További információ az Azure Storage-titkosításról: Azure Storage-titkosítás.

Megjegyzés

Az ideiglenes lemezek nem felügyelt lemezek, és az SSE nem titkosítja, hacsak nem engedélyezi a titkosítást a gazdagépen.

Tudnivalók a titkosítási kulcsok kezeléséről

A felügyelt lemez titkosításához platform által felügyelt kulcsokra támaszkodhat, vagy saját kulcsokkal kezelheti a titkosítást. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, megadhat egy ügyfél által kezelt kulcsot , amelyet a felügyelt lemezeken lévő összes adat titkosításához és visszafejtéséhez használhat.

A következő szakaszok részletesebben ismertetik a kulcskezelés egyes lehetőségeit.

Platform által felügyelt kulcsok

A felügyelt lemezek alapértelmezés szerint platform által felügyelt titkosítási kulcsokat használnak. A meglévő felügyelt lemezekre írt felügyelt lemezek, pillanatképek, képek és adatok automatikusan titkosítva vannak inaktív állapotban platform által felügyelt kulcsokkal.

Felhasználó által kezelt kulcsok

A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés.

Az ügyfél által felügyelt kulcsok tárolásához az alábbi Azure-kulcstárolók egyikét kell használnia:

Az RSA-kulcsokat importálhatja a Key Vault, vagy új RSA-kulcsokat hozhat létre az Azure Key Vault. Az Azure-beli felügyelt lemezek teljes mértékben transzparens módon kezelik a titkosítást és a visszafejtést borítéktitkosítással. Az adatokat AES 256-alapú adattitkosítási kulcs (DEK) használatával titkosítja, amely viszont a kulcsokkal van védve. A Storage szolgáltatás adattitkosítási kulcsokat hoz létre, és azokat ügyfél által felügyelt kulcsokkal titkosítja RSA-titkosítással. A borítéktitkosítás lehetővé teszi a kulcsok rendszeres elforgatását (módosítását) a megfelelőségi szabályzatoknak megfelelően anélkül, hogy ez hatással lenne a virtuális gépekre. A kulcsok elforgatásakor a Storage szolgáltatás újra titkosítja az adattitkosítási kulcsokat az új, ügyfél által felügyelt kulcsokkal.

Managed Disks és a Key Vault vagy felügyelt HSM-nek ugyanabban az Azure-régióban kell lennie, de különböző előfizetésekben lehetnek. Emellett ugyanabban az Azure Active Directory-bérlőben (Azure AD) kell lenniük, kivéve, ha a felügyelt lemezeket bérlők közötti ügyfél által felügyelt kulcsokkal (előzetes verzió) titkosítja.

Kulcsok teljes vezérlése

A dekk titkosításához és visszafejtéséhez hozzáférést kell biztosítania a Key Vault vagy felügyelt HSM felügyelt lemezeihez. Ez lehetővé teszi az adatok és kulcsok teljes körű vezérlését. A kulcsokat bármikor letilthatja, vagy visszavonhatja a felügyelt lemezekhez való hozzáférést. Az Azure Key Vault monitorozásával is naplózhatja a titkosítási kulcs használatát, hogy csak a felügyelt lemezek vagy más megbízható Azure-szolgáltatások férhessenek hozzá a kulcsokhoz.

Ha egy kulcs le van tiltva, törölve vagy lejárt, a kulcsot használó lemezzel rendelkező virtuális gépek automatikusan leállnak. Ezt követően a virtuális gépek csak akkor lesznek használhatóak, ha a kulcs újra engedélyezve van, vagy új kulcsot rendel hozzá.

Megjegyzés

Általában azt várjuk, hogy a lemez I/O-műveletei (olvasási vagy írási műveletek) 1 órával a kulcs letiltása, törlése vagy lejárta után meghiúsulnak.

Az alábbi ábra azt mutatja be, hogy a felügyelt lemezek hogyan használják az Azure Active Directoryt és az Azure Key Vault a kérések ügyfél által felügyelt kulccsal történő végrehajtására:

Felügyelt lemez és ügyfél által felügyelt kulcsok munkafolyamata. A rendszergazdák létrehoznak egy Azure-Key Vault, majd létrehoznak egy lemeztitkosítási csoportot, és beállítják a lemeztitkosítási csoportot. A készlet egy virtuális géphez van társítva, amely lehetővé teszi, hogy a lemez Azure AD használja a hitelesítéshez

Az alábbi lista részletesebben ismerteti a diagramot:

  1. Az Azure Key Vault rendszergazdája kulcstartó-erőforrásokat hoz létre.
  2. A key vault rendszergazdája vagy importálja az RSA-kulcsokat Key Vault, vagy új RSA-kulcsokat hoz létre Key Vault.
  3. Ez a rendszergazda létrehozza a Lemeztitkosítási készlet erőforrás egy példányát, amely megadja az Azure Key Vault azonosítóját és egy kulcs URL-címét. A lemeztitkosítási készlet egy új erőforrás, amely a felügyelt lemezek kulcskezelésének egyszerűsítésére használható.
  4. Lemeztitkosítási csoport létrehozásakor egy rendszer által hozzárendelt felügyelt identitás jön létre az Azure Active Directoryban (AD) és társítva a lemeztitkosítási készlettel.
  5. Az Azure Key Vault rendszergazdája ezután engedélyt ad a felügyelt identitásnak a key vaultban végzett műveletek végrehajtására.
  6. A virtuálisgép-felhasználók úgy hoznak létre lemezeket, hogy társítják őket a lemeztitkosítási csoporttal. A virtuális gép felhasználója a kiszolgálóoldali titkosítást ügyfél által felügyelt kulcsokkal is engedélyezheti a meglévő erőforrásokhoz, ha társítja őket a lemeztitkosítási készlethez.
  7. A felügyelt lemezek a felügyelt identitással küldenek kéréseket az Azure Key Vault.
  8. Adatok olvasásához vagy írásához a felügyelt lemezek kéréseket küldenek az Azure Key Vault az adattitkosítási kulcs titkosítása (burkolása) és visszafejtése (feloldása) céljából az adatok titkosításának és visszafejtésének végrehajtásához.

Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonásához tekintse meg az Azure Key Vault PowerShellt és az Azure Key Vault CLI-t. A hozzáférés visszavonása hatékonyan letiltja a tárfiókban lévő összes adathoz való hozzáférést, mivel az Azure Storage nem fér hozzá a titkosítási kulcshoz.

Az ügyfél által felügyelt kulcsok automatikus kulcsváltása

Engedélyezheti az automatikus kulcsrotálást a legújabb kulcsverzióra. A lemezek a lemeztitkosítási készleten keresztül hivatkoznak egy kulcsra. Amikor engedélyezi a lemeztitkosítási csoport automatikus rotálását, a rendszer automatikusan frissíti az összes felügyelt lemezt, pillanatképet és lemezképet, amely a lemeztitkosítási készletre hivatkozik, hogy a kulcs új verzióját használja egy órán belül. Az ügyfél által felügyelt kulcsok automatikus kulcsrotálással való engedélyezéséről további információt az Azure Key Vault és a DiskEncryptionSet automatikus kulcsrotálással történő beállításával kapcsolatban talál.

Megjegyzés

Virtual Machines nem indul újra az automatikus kulcsváltás során.

Korlátozások

Egyelőre az ügyfél által felügyelt kulcsokra a következő korlátozások vonatkoznak:

  • Ha ez a funkció engedélyezve van a lemezen, nem tilthatja le. Ha ezen kell dolgoznia, az összes adatot át kell másolnia a Azure PowerShell modul vagy az Azure CLI használatával egy teljesen más felügyelt lemezre, amely nem használ ügyfél által felügyelt kulcsokat.
  • Csak a 2048 bites, 3072 bites és 4096 bites szoftveres és HSM RSA-kulcsok támogatottak, más kulcsok és méretek nélkül.
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított egyéni rendszerképekből létrehozott lemezeket ugyanazokkal az ügyfél által felügyelt kulcsokkal kell titkosítani, és ugyanabban az előfizetésben kell lenniük.
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított lemezekről létrehozott pillanatképeket ugyanazokkal az ügyfél által felügyelt kulcsokkal kell titkosítani.
  • Az ügyfél által felügyelt kulcsokhoz (lemeztitkosítási készletekhez, virtuális gépekhez, lemezekhez és pillanatképekhez) kapcsolódó legtöbb erőforrásnak ugyanabban az előfizetésben és régióban kell lennie.
    • Az Azure Key Vaultok egy másik előfizetésből is használhatók, de ugyanabban a régióban kell lenniük, mint a lemeztitkosítási csoportnak. Előzetes verzióként különböző Azure Active Directory-bérlők Azure Key Vaultjait használhatja.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek csak akkor helyezhetők át egy másik erőforráscsoportba, ha a hozzájuk csatolt virtuális gép felszabadítva van.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek, pillanatképek és képek nem helyezhetők át az előfizetések között.
  • Az Azure Disk Encryption használatával jelenleg vagy korábban titkosított felügyelt lemezek nem titkosíthatók ügyfél által felügyelt kulcsokkal.
  • Előfizetésenként régiónként legfeljebb 5000 lemeztitkosítási készlet hozható létre.
  • Az ügyfél által felügyelt kulcsok megosztott rendszerkép-katalógusokkal való használatáról az előzetes verzióban talál további információt: Ügyfél által felügyelt kulcsok használata a képek titkosításához.

Támogatott régiók

Az ügyfél által felügyelt kulcsok minden olyan régióban elérhetők, ahol a felügyelt lemezek elérhetők.

Fontos

Az ügyfél által felügyelt kulcsok az Azure Active Directory (Azure AD) egyik funkciója, az Azure-erőforrások felügyelt identitásaira támaszkodnak. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a háttérben. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Azure AD könyvtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átvitele Azure AD címtárak között.

Ha engedélyezni szeretné az ügyfél által felügyelt kulcsokat a felügyelt lemezekhez, tekintse meg a Azure PowerShell modullal, az Azure CLI-vel vagy a Azure Portal való engedélyezésével kapcsolatos cikkeinket.

Titkosítás a gazdagépen – Végpontok közötti titkosítás a virtuális gép adataihoz

Ha engedélyezi a titkosítást a gazdagépen, a titkosítás a virtuális gép gazdagépén kezdődik, azon az Azure-kiszolgálón, amelyhez a virtuális gép hozzá van rendelve. Az ideiglenes lemez és az operációs rendszer/adatlemez gyorsítótárának adatait a rendszer az adott virtuálisgép-gazdagépen tárolja. Miután engedélyezte a titkosítást a gazdagépen, az összes adat titkosítva lesz inaktív állapotban, és titkosítva lesznek a Storage szolgáltatásba, ahol azok megmaradnak. A gazdagép titkosítása lényegében végpontok között titkosítja az adatokat. A gazdagép titkosítása nem használja a virtuális gép processzorát, és nem befolyásolja a virtuális gép teljesítményét.

Az ideiglenes lemezek és a rövid élettartamú operációsrendszer-lemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, amikor engedélyezi a végpontok közötti titkosítást. Az operációs rendszer és az adatlemez gyorsítótárai a kiválasztott lemeztitkosítási típustól függően az inaktív állapotban ügyfél által felügyelt vagy platform által felügyelt kulcsokkal vannak titkosítva. Ha például egy lemez ügyfél által felügyelt kulccsal van titkosítva, akkor a lemez gyorsítótára ügyfél által felügyelt kulcsokkal van titkosítva, és ha a lemezt platform által felügyelt kulcsokkal titkosítja, akkor a lemez gyorsítótára platform által felügyelt kulcsokkal lesz titkosítva.

Korlátozások

  • Nem támogatja az ultralemezeket és a prémium SSD v2 felügyelt lemezeket.
  • Nem engedélyezhető, ha az Azure Disk Encryption (bitlocker/DM-Crypt használatával történő vendég-virtuálisgép-titkosítás) engedélyezve van a virtuális gépeken/virtuálisgép-méretezési csoportokban.
  • Az Azure Disk Encryption nem engedélyezhető olyan lemezeken, amelyeken engedélyezve van a titkosítás a gazdagépen.
  • A titkosítás a meglévő virtuálisgép-méretezési csoportokon engedélyezhető. A titkosítás engedélyezése után létrehozott új virtuális gépek azonban automatikusan titkosítva lesznek.
  • A meglévő virtuális gépeket fel kell szabadítani és újra kell helyezni a titkosításhoz.
  • Támogatja a rövid élettartamú operációsrendszer-lemezeket, de csak platform által felügyelt kulcsokkal.

Támogatott virtuálisgép-méretek

A támogatott virtuálisgép-méretek teljes listája programozott módon lekérehető. Ha meg szeretné tudni, hogyan szerezheti be őket programozott módon, tekintse meg a Azure PowerShell modul vagy az Azure CLI-cikkek támogatott virtuálisgép-méretekre vonatkozó szakaszát.

A végpontok közötti titkosítás gazdagépen történő titkosítással történő engedélyezéséről a Azure PowerShell modullal, az Azure CLI-vel vagy a Azure Portal szóló cikkeinkben olvashat.

Kettős titkosítás inaktív állapotban

A magas biztonságra érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, megvalósítással vagy kulccsal kapcsolatos kockázat miatt, mostantól további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. Ez az új réteg alkalmazható a megőrzött operációs rendszerekre és adatlemezekre, pillanatképekre és képekre, amelyek mindegyike inaktív állapotban, dupla titkosítással lesz titkosítva.

Támogatott régiók

A dupla titkosítás minden olyan régióban elérhető, ahol a felügyelt lemezek elérhetők.

Ha engedélyezni szeretné az inaktív dupla titkosítást a felügyelt lemezeken, tekintse meg a Azure PowerShell modullal, az Azure CLI-vel vagy a Azure Portal való engedélyezésével kapcsolatos cikkeinket.

Kiszolgálóoldali titkosítás és Azure-lemeztitkosítás

Az Azure Disk Encryption a Linux DM-Crypt funkcióját vagy a Windows BitLocker funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. A kiszolgálóoldali titkosítás az ügyfél által felügyelt kulcsokkal javítja az ADE-t, mivel lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatásban lévő adatok titkosításával.

Fontos

Az ügyfél által felügyelt kulcsok az Azure Active Directory (Azure AD) egyik funkciója, az Azure-erőforrások felügyelt identitásaira támaszkodnak. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a háttérben. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Azure AD könyvtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem lesz átadva az új bérlőnek, így az ügyfél által felügyelt kulcsok nem fognak működni. További információ: Előfizetés átvitele Azure AD címtárak között.

Következő lépések