A Azure Disk Storage kiszolgálóoldali titkosítása

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek ✔️ Rugalmas méretezési csoportok ✔️ Egységes méretezési csoportok

A legtöbb Azure felügyelt lemez Azure Storage titkosítással van titkosítva, amely kiszolgálóoldali titkosítást (SSE) használ az adatok védelméhez, és segít a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítésében. Azure Storage titkosítás alapértelmezés szerint automatikusan titkosítja Azure felügyelt lemezeken (operációs rendszeren és adatlemezeken) tárolt adatokat, amikor azokat a felhőben tárolja. A gazdagépen bekapcsolt titkosítással rendelkező lemezek azonban nincsenek az Azure Storage rendszeren keresztül titkosítva. A gazdagépen engedélyezett titkosítással rendelkező lemezek esetében az Ön virtuális gépét üzemeltető szerver biztosítja az adatainak titkosítását, és az így titkosított adatok az Azure Storage-ba kerülnek.

Az Azure felügyelt lemezek adatai 256 bites AES titkosítással vannak titkosítva, ami az egyik legerősebb elérhető blokktitkosítás, és megfelel a FIPS 140-2 szabványnak. Az Azure felügyelt lemezek alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd: Cryptography API: Next Generation

Azure Storage titkosítás nem befolyásolja a felügyelt lemezek teljesítményét, és nincs többletköltség. A Azure Storage titkosítással kapcsolatos további információkért lásd: Azure Storage titkosítás.

Fontos

Az ideiglenes lemezek nem felügyelt lemezek, és az SSE nem titkosítja, kivéve, ha engedélyezi a titkosítást a gazdagépen.

Azure 5-ös vagy újabb verziójú virtuális gépek (például Dsv5 vagy Dsv6) automatikusan titkosítják ideiglenes lemezeiket, és (ha használatban vannak) a rövid élettartamú operációsrendszer-lemezeiket inaktív titkosítással.

Tudnivalók a titkosítási kulcsok kezeléséről

A felügyelt lemez titkosításához platform által felügyelt kulcsokra támaszkodhat, vagy saját kulcsokkal kezelheti a titkosítást. Ha úgy dönt, hogy saját kulcsokkal kezeli a titkosítást, megadhat egy ügyfél által felügyelt kulcsot , amelyet a felügyelt lemezeken lévő összes adat titkosításához és visszafejtéséhez használhat.

A következő szakaszok részletesebben ismertetik a kulcskezelés minden lehetőségét.

Platform által felügyelt kulcsok

A felügyelt lemezek alapértelmezés szerint platform által felügyelt titkosítási kulcsokat használnak. A felügyelt lemezek, pillanatképek, képfájlok és a meglévő felügyelt lemezekre írt adatok mind automatikusan nyugalmi állapotban titkosítva lesznek a platform által felügyelt kulcsokkal. A platform által felügyelt kulcsokat a Microsoft kezeli.

Felhasználó által kezelt kulcsok

A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Ha megad egy ügyfél által kezelt kulcsot, az a kulcs védi és szabályozza a hozzáférést ahhoz a kulcshoz, amely az adatait titkosítja. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés.

Az ügyfél által felügyelt kulcsok tárolásához az alábbi Azure kulcstárolók egyikét kell használnia:

Importálhatja saját RSA-kulcsait a Key Vault-ba, vagy létrehozhat új RSA-kulcsokat az Azure Key Vault-ban. Azure felügyelt lemezek teljes mértékben transzparens módon kezelik a titkosítást és a visszafejtést borítéktitkosítással. Az adatokat egy AES 256-alapú adattitkosítási kulccsal (DEK) titkosítja, amely viszont a kulcsokkal védve van. A Storage szolgáltatás adattitkosítási kulcsokat hoz létre, és RSA-titkosítással titkosítja őket ügyfél által kezelt kulcsokkal. A borítéktitkosítás lehetővé teszi a kulcsok rendszeres elforgatását (módosítását) a megfelelőségi szabályzatoknak megfelelően anélkül, hogy ez hatással lenne a virtuális gépekre. A kulcsok elforgatásakor a Storage szolgáltatás újraburkolja az adattitkosítási kulcsokat az új, ügyfél által felügyelt kulcsverzióval. Maga a mögöttes lemezadatok nem lesznek újra titkosítva. Mind a régi, mind az új kulcsverziónak engedélyezve kell maradnia, amíg az újraburkolás be nem fejeződik.

A felügyelt lemezeknek és a Key Vault vagy felügyelt HSM-nek ugyanabban a Azure régióban kell lennie, de különböző előfizetésekben lehetnek. A Microsoft Entra bérlőben kell lenniük, kivéve, ha a felügyelt lemezeket használ bérlők közötti ügyfél által felügyelt kulcsokkal.

Kulcsok teljes vezérlése

Felügyelt lemezeihez való hozzáférést kell adnia a Key Vaultban vagy a felügyelt HSM-ben, hogy kulcsait használhassa a DEK titkosításához és visszafejtéséhez. Ez lehetővé teszi az adatok és kulcsok teljes vezérlését. A kulcsokat bármikor letilthatja, vagy visszavonhatja a felügyelt lemezekhez való hozzáférést. A titkosítási kulcsok használatát Azure Key Vault monitorozással is naplózhatja, hogy csak felügyelt lemezek vagy más megbízható Azure szolgáltatások férhessenek hozzá a kulcsokhoz.

Fontos

Ha egy kulcs le van tiltva, törölve vagy lejárt, az operációs rendszert vagy az adatlemezeket használó virtuális gépek automatikusan leállnak. Az automatikus leállítás után a virtuális gépek csak akkor indulnak el, ha a kulcs újra engedélyezve van, vagy új kulcsot rendel hozzá.

A lemez I/O-ját (olvasási vagy írási műveleteket) általában egy órával a kulcs letiltása, törlése vagy lejárta után kezdi el működésképtelenné tenni.

Az alábbi ábra bemutatja, hogy a felügyelt lemezek hogyan használják a Microsoft Entra ID-t és az Azure Key Vault-ot arra, hogy az ügyfél által felügyelt kulccsal kéréseket tegyenek.

Felügyelt lemez és ügyfél által felügyelt kulcsok munkafolyamatának ábrája. A rendszergazda létrehoz egy Azure Key Vault, majd létrehoz egy lemeztitkosítási csoportot, és beállítja a lemeztitkosítási csoportot. A készlet egy virtuális géphez van társítva, amely lehetővé teszi, hogy a lemez Microsoft Entra ID használja a hitelesítéshez.

Az alábbi lista részletesebben ismerteti a diagramot:

  1. A Azure Key Vault rendszergazda kulcstartó-erőforrásokat hoz létre.
  2. A Key Vault rendszergazdája vagy importálja az RSA-kulcsokat a Key Vaultba, vagy új RSA-kulcsokat hoz létre a Key Vaultban.
  3. Ez a rendszergazda létrehozza a Lemeztitkosítási csoport erőforrás egy példányát, amelyben meg kell adnia egy Azure Key Vault azonosítót és egy kulcs URL-címét. A lemeztitkosítási csoport egy új erőforrás, amely leegyszerűsíti a felügyelt lemezek kulcskezelését.
  4. Lemeztitkosítási készlet létrehozásakor egy rendszer által hozzárendelt felügyelt identitás jön létre a Microsoft Entra ID-ben, és a lemeztitkosítási készlethez van társítva.
  5. A Azure kulcstartó rendszergazdája ezután engedélyt ad a felügyelt identitásnak a kulcstartóban végzett műveletek végrehajtására.
  6. A virtuálisgép-felhasználók úgy hoznak létre lemezeket, hogy társítják őket a lemeztitkosítási csoporttal. A virtuális gép felhasználója a kiszolgálóoldali titkosítást a meglévő erőforrások ügyfél által felügyelt kulcsaival is engedélyezheti, ha a lemeztitkosítási csoporthoz társítja őket.
  7. Az Azure Key Vault-hoz a kezelt lemezek a felügyelt identitást használják a kérések küldéséhez.
  8. Adatok olvasásához vagy írásához a felügyelt lemezek kéréseket küldenek az Azure Key Vault felé az adattitkosítási kulcs titkosításához (becsomagolásához) és visszafejtéséhez (kicsomagolásához) az adatok titkosításának és dekódolásának végrehajtása érdekében.

Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonásához lásd: Azure Key Vault PowerShell és Azure Key Vault CLI. A hozzáférés visszavonása hatékonyan blokkolja a tárfiókban lévő összes adathoz való hozzáférést, mivel a titkosítási kulcs Azure Storage nem érhető el.

Az ügyfél által felügyelt kulcsok automatikus kulcsváltása

Ha ügyfél által felügyelt kulcsokat használ, általában engedélyeznie kell az automatikus kulcsváltást a legújabb kulcsverzióra. Az automatikus kulcsváltás segít a kulcsok biztonságának biztosításában. A lemez a lemeztitkosítási készletén keresztül hivatkozik egy kulcsra. Ha engedélyezi a lemeztitkosítási csoport automatikus elforgatását, a rendszer automatikusan frissíti az összes felügyelt lemezt, pillanatképet és lemezképet, amely a lemeztitkosítási készletre hivatkozik, hogy egy órán belül használja a kulcs új verzióját. Az ügyfél által felügyelt kulcsok automatikus kulcsforgatással való engedélyezéséről a A Azure Key Vault és a DiskEncryptionSet automatikus kulcsforgatással történő beállításáról olvashat.

Feljegyzés

Virtual Machines automatikus kulcsváltáskor nem indul újra.

Ha nem tudja engedélyezni az automatikus kulcsváltást, más módszerekkel figyelmeztetheti Önt a kulcsok lejárata előtt. Így a lejárat előtt mindenképpen elforgathatja a kulcsokat, és megtarthatja az üzletmenet folytonosságát. Egy Azure Policy vagy Azure Event Grid használatával értesítést küldhet, ha egy kulcs hamarosan lejár.

Korlátozások

Az ügyfél által felügyelt kulcsok jelenleg a következő korlátozásokkal rendelkeznek:

  • Ha ez a funkció növekményes pillanatképeket tartalmazó lemezek esetében engedélyezve van, akkor nem tiltható le a lemezen vagy a pillanatképeken. Ennek megkerüléséhez másolja az összes adatot egy teljesen más felügyelt lemezre, amely nem ügyfél által felügyelt kulcsokat használ. Ezt megteheti a Azure CLI vagy a Azure PowerShell modullal.
  • A lemeznek és az összes társított növekményes pillanatképnek ugyanazzal a lemeztitkosítási készlettel kell rendelkeznie.
  • Csak a 2048 bites, 3072 bites és 4096 bites szoftver- és HSM RSA-kulcsok támogatottak, más kulcsok és méretek nélkül.
    • HSM kulcsokhoz az Azure Key Vault premium szintje szükséges.
  • Csak ultralemezekhez és prémium SSD v2-lemezekhez:
    • (Előzetes verzió) A felhasználó által hozzárendelt felügyelt identitások ultralemezekhez és prémium SSD v2-lemezekhez érhetők el, amelyek ügyfél által felügyelt kulcsokkal vannak titkosítva.
  • Az ügyfél által felügyelt kulcsokhoz (lemeztitkosítási csoportokhoz, virtuális gépekhez, lemezekhez és pillanatképekhez) kapcsolódó legtöbb erőforrásnak ugyanabban az előfizetésben és régióban kell lennie.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek csak akkor léphetnek át egy másik erőforráscsoportba, ha a hozzájuk csatolt virtuális gép felszabadítva van.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek, pillanatképek és képek nem helyezhetők át az előfizetések között.
  • A felügyelt lemezek, amelyeket jelenleg vagy korábban az Azure Disk Encryption használatával titkosítottak, nem titkosíthatók ügyfél által felügyelt kulcsokkal.
  • Előfizetésenként régiónként legfeljebb 5000 lemeztitkosítási csoport hozható létre.
  • Az ügyfél által felügyelt kulcsok megosztott képtárakkal való használatával kapcsolatos információkért lásd : Előzetes verzió: Ügyfél által felügyelt kulcsok használata a képek titkosításához.

Támogatott régiók

Az ügyfél által felügyelt kulcsok minden olyan régióban elérhetők, ahol a felügyelt lemezek elérhetők.

Fontos

Az ügyfél által felügyelt kulcsok Azure erőforrások felügyelt identitásaira támaszkodnak, amely a Microsoft Entra ID egyik funkciója. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a fedelek alatt. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Microsoft Entra könyvtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés áthelyezése Microsoft Entra könyvtárak között.

A felügyelt lemezek ügyfél által felügyelt kulcsainak engedélyezéséről a Azure PowerShell modul, a Azure CLI vagy a Azure portál segítségével történő engedélyezéséről szóló cikkeinkben olvashat.

Lásd a Pillanatképből felügyelt lemez létrehozása CLI-vel kódmintát.

Titkosítás gazdagép szintjén – A virtuális gép adatai végponttól végpontig titkosítva

Amikor engedélyezi a titkosítást a gazdagépen, a titkosítás közvetlenül a virtuálisgép-gazdagépen kezdődik, azon az Azure kiszolgálón, amelyhez a virtuális gép van hozzárendelve. Az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak adatai az adott virtuálisgép-gazdagépen vannak tárolva. Miután engedélyezte a gazdagép titkosítását, ezek az adatok nyugalmi állapotban vannak titkosítva, és titkosítva kerülnek a Storage szolgáltatásba, ahol megmaradnak. A helybeni titkosítás lényegében védi az adatokat végpontok között. A host titkosítása nem használja a virtuális gép processzorát, és nem befolyásolja a virtuális gép teljesítményét.

Az ideiglenes lemezek és a rövid élettartamú operációsrendszer-lemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, amikor engedélyezi a végpontok közötti titkosítást. Az operációs rendszer és az adatlemez-gyorsítótárak inaktív állapotban vannak titkosítva az ügyfél által felügyelt vagy platform által felügyelt kulcsokkal, a kiválasztott lemeztitkosítási típustól függően. Ha például egy lemez ügyfél által felügyelt kulcsokkal van titkosítva, akkor a lemez gyorsítótára ügyfél által felügyelt kulcsokkal van titkosítva, és ha a lemez platform által felügyelt kulcsokkal van titkosítva, akkor a lemez gyorsítótára platform által felügyelt kulcsokkal lesz titkosítva.

Korlátozások

  • Nem engedélyezhető olyan virtuális gépeken vagy virtuálisgép-méretezési csoportokon, amelyeken jelenleg vagy valaha engedélyezve volt az Azure Disk Encryption.
  • Azure Disk Encryption nem engedélyezhető olyan lemezeken, amelyeken a gazdagép általi titkosítás engedélyezve van.
  • A titkosítás a meglévő virtuális gép méretezési készleteken engedélyezhető. A titkosítás engedélyezése után létrehozott új virtuális gépek azonban automatikusan titkosítva lesznek.
  • A meglévő virtuális gépeket dealokálni és újraallokálni kell a titkosításhoz.

A következő korlátozások csak az Ultra Disksre és a Premium SSD v2-re vonatkoznak:

  • Az 512e szektorméretet használó lemezeket 2023.05.13. után kell létrehozni.

Támogatott virtuálisgép-méretek

A támogatott virtuálisgép-méretek teljes listája programozott módon lekérehető. Ha szeretné megtudni, hogyan kérhetők le programozott módon, tekintse meg a Azure PowerShell modul vagy Azure CLI cikkek támogatott virtuálisgép-méreteket ismertető szakaszát.

A végponttól-végpontig tartó titkosítás gazdagépi titkosítással való engedélyezéséről cikkeinkben olvashat, ahol bemutatjuk, hogyan teheti meg a Azure PowerShell modullal, a Azure CLI-vel vagy az Azure portálon.

Kettős titkosítás inaktív állapotban

A magas biztonságra érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmusokkal, megvalósítással vagy kulcsokkal kapcsolatos kockázat miatt, mostantól választhatják a titkosítás további rétegét egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. Ez az új réteg alkalmazható a tárolt operációs rendszerekre és adatlemezekre, pillanatképekre és képekre, amelyek mindegyike inaktív állapotban, dupla titkosítással lesz titkosítva.

Korlátozások

Az inaktív dupla titkosítás jelenleg nem támogatott ultralemezekkel vagy Prémium SSD v2-lemezekkel.

Ha engedélyezni szeretné a kettős titkosítást inaktív állapotban a felügyelt lemezek esetében, olvassa el a felügyelt lemezeknél a kettős titkosítás engedélyezése inaktív állapotban című témakört.

Titkosítás a gazdagépen és az Azure lemeztitkosítása közötti különbségek

Azure Disk Encryption a Linux DM-Crypt funkcióját vagy a BitLocker Windows funkciót használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal való titkosításához a vendég virtuális gépen. A kiszolgálóoldali titkosítás a gazdagép titkosításával együtt javítja az ADE-t. A gazdagép titkosításával az ideiglenes lemez és az operációsrendszer-/adatlemez-gyorsítótárak adatai az adott virtuálisgép-gazdagépen lesznek tárolva. Miután engedélyezte a gazdagép titkosítását, ezek az adatok nyugalmi állapotban vannak titkosítva, és titkosítva kerülnek a Storage szolgáltatásba, ahol megmaradnak. A helybeni titkosítás lényegében védi az adatokat végpontok között. A host titkosítása nem használja a virtuális gép processzorát, és nem befolyásolja a virtuális gép teljesítményét.

Fontos

Az ügyfél által felügyelt kulcsok Azure erőforrások felügyelt identitásaira támaszkodnak, amely a Microsoft Entra ID egyik funkciója. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a fedelek alatt. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Microsoft Entra könyvtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés áthelyezése Microsoft Entra könyvtárak között.

Következő lépések

  • Last updated on