Ez a cikk választ ad a Linux rendszerű virtuális gépekhez készült Azure Disk Encryption szolgáltatással kapcsolatos gyakori kérdésekre (GYIK). A szolgáltatással kapcsolatos további információkért tekintse meg az Azure Disk Encryption áttekintését.
Mi az Az Azure Disk Encryption Linux rendszerű virtuális gépekhez?
A Linux rendszerű virtuális gépekhez készült Azure Disk Encryption a Linux dm-crypt funkciójával biztosítja az operációsrendszer-lemez* és az adatlemezek teljes lemeztitkosítását. Emellett az ideiglenes lemez titkosítását is biztosítja a EncryptionFormatAll funkció használatakor. A tartalom titkosítva folyik a virtuális gépről a Storage háttérrendszerbe. Ezáltal a végpontok közötti titkosítást egy ügyfél által felügyelt kulccsal biztosíthatja.
Hol található az Általános Rendelkezésre állású Azure Disk Encryption (GA)?
A Linux rendszerű virtuális gépekhez készült Azure Disk Encryption általánosan elérhető minden Nyilvános Azure-régióban.
Milyen felhasználói élmények érhetők el az Azure Disk Encryption használatával?
Az Azure Disk Encryption GA támogatja az Azure Resource Manager-sablonokat, az Azure PowerShellt és az Azure CLI-t. A különböző felhasználói élmények rugalmasságot biztosítanak. A virtuális gépek lemeztitkosításának engedélyezéséhez három különböző lehetőség közül választhat. A felhasználói élményről és az Azure Disk Encryptionben elérhető részletes útmutatóról további információt a Linuxhoz készült Azure Disk Encryption-forgatókönyvekben talál.
Mennyibe kerül az Azure Disk Encryption?
A virtuálisgép-lemezek Azure Disk Encryption használatával történő titkosítása díjmentes, de az Azure Key Vault használatával kapcsolatos díjak is vannak. Az Azure Key Vault költségeiről további információt a Key Vault díjszabási oldalán talál.
Hogyan kezdhetem el használni az Azure Disk Encryptiont?
Első lépésként olvassa el az Azure Disk Encryption áttekintését.
Milyen virtuálisgép-méretek és operációs rendszerek támogatják az Azure Disk Encryptiont?
Az Azure Disk Encryption áttekintési cikke felsorolja az Azure Disk Encryptiont támogató virtuálisgép-méreteket és virtuálisgép-operációs rendszereket .
Titkosíthatom mind a rendszerindítási, mind az adatköteteket az Azure Disk Encryption használatával?
Igen, titkosíthatja a rendszerindítási és adatköteteket is, vagy titkosíthatja az adatkötetet anélkül, hogy először az operációsrendszer-kötetet kellene titkosítania.
Miután titkosította az operációsrendszer-kötetet, az operációsrendszer-kötet titkosításának letiltása nem támogatott. A méretezési csoportban lévő Linux rendszerű virtuális gépek esetében csak az adatkötet titkosítható.
Titkosíthatok egy nem csatlakoztatott kötetet az Azure Disk Encryption használatával?
Nem, az Azure Disk Encryption csak a csatlakoztatott köteteket titkosítja.
Mi a Storage kiszolgálóoldali titkosítása?
A tároló kiszolgálóoldali titkosítása titkosítja az Azure-beli felügyelt lemezeket az Azure Storage-ban. A felügyelt lemezek alapértelmezés szerint kiszolgálóoldali titkosítással, platform által felügyelt kulccsal vannak titkosítva (2017. június 10-től). A felügyelt lemezek titkosítását saját kulcsokkal kezelheti egy ügyfél által felügyelt kulcs megadásával. További információ: Azure-beli felügyelt lemezek kiszolgálóoldali titkosítása.
Miben különbözik az Azure Disk Encryption az ügyfél által felügyelt kulccsal rendelkező Storage-kiszolgálóoldali titkosítástól, és mikor érdemes használni az egyes megoldásokat?
Az Azure Disk Encryption az operációsrendszer-lemez, az adatlemezek és az ideiglenes lemez végpontok közötti titkosítását biztosítja egy ügyfél által felügyelt kulccsal.
- Ha a követelmények közé tartozik a fenti és a teljes körű titkosítás titkosítása, használja az Azure Disk Encryptiont.
- Ha a követelmények közé tartozik, hogy csak az inaktív adatokat titkosítsa ügyfél által felügyelt kulccsal, akkor használja a kiszolgálóoldali titkosítást az ügyfél által felügyelt kulcsokkal. Az Azure Disk Encryption és a Storage kiszolgálóoldali titkosítással rendelkező lemezeket nem lehet ügyfél által felügyelt kulcsokkal titkosítani.
- Ha a Linux-disztribúció nem szerepel az Azure Disk Encryption támogatott operációs rendszerei között, vagy a korlátozásokban ismertetett forgatókönyvet használja, fontolja meg a kiszolgálóoldali titkosítást az ügyfél által felügyelt kulcsokkal.
- Ha a szervezet szabályzata lehetővé teszi a inaktív tartalmak Azure által felügyelt kulccsal történő titkosítását, akkor nincs szükség műveletre – a tartalom alapértelmezés szerint titkosítva van. Felügyelt lemezek esetén a tárolóban lévő tartalom alapértelmezés szerint kiszolgálóoldali titkosítással és platform által felügyelt kulccsal van titkosítva. A kulcsot az Azure Storage szolgáltatás kezeli.
Hogyan titkos kulcsok vagy titkosítási kulcsok elforgatása?
A titkos kulcsok elforgatásához egyszerűen hívja meg ugyanazt a parancsot, amelyet eredetileg a lemeztitkosítás engedélyezéséhez használt, és adjon meg egy másik Key Vaultot. A kulcstitkosítási kulcs elforgatásához hívja meg ugyanazt a parancsot, amelyet eredetileg a lemeztitkosítás engedélyezéséhez használt, és adja meg az új kulcstitkosítást.
Figyelmeztetés
- Ha korábban az Azure Disk Encryptiont a Microsoft Entra alkalmazással használta a virtuális gép titkosításához a Microsoft Entra hitelesítő adatainak megadásával, ezt a lehetőséget továbbra is használnia kell a virtuális gép titkosításához. Ezen a titkosított virtuális gépen nem használhatja az Azure Disk Encryptiont, mivel ez nem támogatott forgatókönyv, ami azt jelenti, hogy a Titkosított virtuális gépHez tartozó Microsoft Entra-alkalmazásról való váltás még nem támogatott.
Hogyan hozzáadni vagy eltávolítani egy kulcstitkosítási kulcsot, ha eredetileg nem használtam?
Kulcstitkosítási kulcs hozzáadásához hívja meg újra az engedélyezés parancsot, amely átadja a kulcstitkosítási kulcs paraméterét. Kulcstitkosítási kulcs eltávolításához hívja meg újra az engedélyezés parancsot a kulcstitkosítási kulcs paramétere nélkül.
Az Azure Disk Encryption lehetővé teszi a saját kulcs (BYOK) használatát?
Igen, saját kulcstitkosítási kulcsokat is megadhat. Ezek a kulcsok az Azure Key Vaultban vannak védve, amely az Azure Disk Encryption kulcstárolója. A kulcstitkosítási kulcsok támogatási forgatókönyvével kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Használhatok Azure által létrehozott kulcstitkosítási kulcsot?
Igen, az Azure Key Vault használatával kulcstitkosítási kulcsot hozhat létre az Azure lemeztitkosításhoz. Ezek a kulcsok az Azure Key Vaultban vannak védve, amely az Azure Disk Encryption kulcstárolója. A kulcstitkosítási kulccsal kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Használhatok helyszíni kulcskezelési szolgáltatást vagy HSM-et a titkosítási kulcsok védelméhez?
Nem használhatja a helyszíni kulcskezelő szolgáltatást vagy a HSM-et a titkosítási kulcsok Azure Disk Encryption használatával történő védelméhez. Csak az Azure Key Vault szolgáltatással védheti meg a titkosítási kulcsokat. A kulcstitkosítási kulcsok támogatási forgatókönyvével kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Mik az Azure Disk Encryption konfigurálásához szükséges előfeltételek?
Az Azure Disk Encryption előfeltételei vannak. Tekintse meg az Azure Disk Encryption kulcstartójának létrehozását és konfigurálását ismertető cikket egy új kulcstartó létrehozásához, vagy állítson be egy meglévő kulcstartót a lemeztitkosítási hozzáféréshez a titkosítás engedélyezéséhez, valamint a titkos kulcsok és kulcsok védelméhez. A kulcstitkosítási kulcsok támogatási forgatókönyvével kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Milyen előfeltételek szükségesek az Azure Disk Encryption Microsoft Entra-alkalmazással való konfigurálásához (korábbi kiadás)?
Az Azure Disk Encryption előfeltételei vannak. A Microsoft Entra-alkalmazás létrehozásához, új kulcstartó létrehozásához, vagy egy meglévő kulcstartó beállításához tekintse meg az Azure Disk Encryptiont a Microsoft Entra ID-tartalmú tartalommal, vagy állítson be egy meglévő kulcstartót a lemeztitkosításhoz a titkosítás engedélyezéséhez, valamint a titkos kulcsok és kulcsok védelméhez. A kulcstitkosítási kulcsok támogatási forgatókönyveivel kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez a Microsoft Entra-azonosítóval.
Továbbra is támogatott az Azure Disk Encryption egy Microsoft Entra-alkalmazás (korábbi kiadás) használatával?
Igen. A Microsoft Entra-alkalmazásokkal végzett lemeztitkosítás továbbra is támogatott. Új virtuális gépek titkosításakor azonban javasoljuk, hogy az új módszert használja ahelyett, hogy a Microsoft Entra-alkalmazással titkosítanák.
Migrálhatom a Microsoft Entra-alkalmazással titkosított virtuális gépeket a Microsoft Entra-alkalmazás nélküli titkosításra?
Jelenleg nincs közvetlen migrálási útvonal a Microsoft Entra-alkalmazással titkosított gépekhez a Microsoft Entra-alkalmazás nélküli titkosításhoz. Emellett a Microsoft Entra-alkalmazás nélküli titkosítástól az AD-alkalmazással való titkosításig nincs közvetlen út.
Az Azure PowerShell melyik verzióját támogatja az Azure Disk Encryption?
Az Azure Disk Encryption konfigurálásához használja az Azure PowerShell SDK legújabb verzióját. Töltse le az Azure PowerShell legújabb verzióját. Az Azure Disk Encryptiont az Azure SDK 1.1.0-s verziója nem támogatja.
Feljegyzés
A "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" Linux-lemeztitkosítás előzetes verziója elavult. Ez a bővítmény az Azure Disk Encryption előzetes kiadásához lett közzétéve. A tesztelési vagy éles üzembe helyezés során nem használhatja a bővítmény előzetes verzióját.
Az olyan üzembehelyezési forgatókönyvek esetében, mint az Azure Resource Manager (ARM), ahol a Linux rendszerű virtuális gépekhez azure-lemeztitkosítási bővítményt kell üzembe helyeznie a Linux IaaS virtuális gépen való titkosítás engedélyezéséhez, a "Microsoft.Azure.Security.AzureDiskEncryptionForLinux" azure disk encryption production által támogatott bővítményt kell használnia.
Alkalmazhatok Azure Disk Encryptiont az egyéni Linux-lemezképemre?
Az egyéni Linux-rendszerképen nem alkalmazható az Azure Disk Encryption. Csak a korábban kihívott támogatott disztribúciókhoz tartozó Linux-rendszerképek támogatottak. Az egyéni Linux-rendszerképek jelenleg nem támogatottak.
Alkalmazhatok frissítéseket a yum-frissítést használó Linux Red Hat virtuális gépekre?
Igen, yum frissítést is végrehajthat Red Hat Linux rendszerű virtuális gépen. További információ: Azure Disk Encryption egy elkülönített hálózaton.
Mi a Linuxhoz ajánlott Azure-lemeztitkosítási munkafolyamat?
A következő munkafolyamat ajánlott a legjobb eredményt elérni Linuxon:
- Az operációs rendszer szükséges disztribúciójának és verziójának megfelelő módosítatlan készletgyűjtemény-képből induljon ki
- Biztonsági másolatot készít minden titkosított csatlakoztatott meghajtóról. Ez a biztonsági mentés lehetővé teszi a helyreállítást, ha hiba történik, például ha a virtuális gép újraindul a titkosítás befejezése előtt.
- Titkosítás (a virtuális gép jellemzőitől és a csatlakoztatott adatlemezek méretétől függően több órát vagy akár napot is igénybe vehet)
- Szükség szerint testre szabhatja és hozzáadhat szoftvereket a lemezképhez.
Ha ez a munkafolyamat nem lehetséges, a platform tárfiókjának rétegében a Storage Service Encryption (SSE) használata alternatívája lehet a teljes lemeztitkosításnak a dm-crypt használatával.
Mi a lemez "Bek Volume" vagy "/mnt/azure_bek_disk"?
A "Bek-kötet" egy helyi adatkötet, amely biztonságosan tárolja a titkosított Azure-beli virtuális gépek titkosítási kulcsait.
Feljegyzés
Ne törölje és ne szerkessze a lemez tartalmát. Ne bontsa le a lemezt, mivel a titkosítási kulcs jelenléte szükséges az IaaS virtuális gépen végzett titkosítási műveletekhez.
Milyen titkosítási módszert használ az Azure Disk Encryption?
Az Azure Disk Encryption az aes-xts-plain64 visszafejtési alapértelmezett értékét használja egy 256 bites főkulccsal.
Ha a EncryptFormatAll parancsot használom, és megadom az összes kötettípust, törli az adatokat a már titkosított adatmeghajtókon?
Nem, az adatok nem törlődnek az Azure Disk Encryption használatával már titkosított adatmeghajtókról. Hasonlóan ahhoz, ahogyan az EncryptFormatAll nem titkosította újra az operációsrendszer-meghajtót, nem fogja újra titkosítani a már titkosított adatmeghajtót. További információ: EncryptFormatAll feltétel.
Támogatott az XFS fájlrendszer?
Az XFS operációsrendszer-lemezek titkosítása támogatott.
Az XFS-adatlemezek titkosítása csak az EncryptFormatAll paraméter használatakor támogatott. Ez újraformálja a kötetet, és törli az ott korábban tárolt adatokat. További információ: EncryptFormatAll feltétel.
Támogatott az operációsrendszer-partíció átméretezése?
Az ADE titkosított operációsrendszer-lemezek átméretezése jelenleg nem támogatott.
Biztonsági másolatot készíthetek és visszaállíthatok egy titkosított virtuális gépet?
Az Azure Backup egy mechanizmust biztosít a titkosított virtuális gépek ugyanazon előfizetésen és régión belüli biztonsági mentésére és visszaállítására. Útmutatásért tekintse meg a titkosított virtuális gépek biztonsági mentését és visszaállítását az Azure Backup használatával. A titkosított virtuális gépek másik régióba való visszaállítása jelenleg nem támogatott.
Hol tehetek fel kérdéseket, vagy adhatok visszajelzést?
Kérdéseket tehet fel, vagy visszajelzést küldhet az Azure Disk Encryption Microsoft Q&A kérdésoldalán.
Következő lépések
Ebben a dokumentumban többet is megtudhatott az Azure Disk Encryption szolgáltatással kapcsolatos leggyakoribb kérdésekről. A szolgáltatással kapcsolatos további információkért tekintse meg a következő cikkeket: