Ez a cikk választ ad a Windows rendszerű virtuális gépekHez készült Azure Disk Encryption szolgáltatással kapcsolatos gyakori kérdésekre (GYIK). A szolgáltatással kapcsolatos további információkért tekintse meg az Azure Disk Encryption áttekintését.
Mi az Az Azure Disk Encryption Windows rendszerű virtuális gépekhez?
A Windows rendszerű virtuális gépekhez készült Azure Disk Encryption a Windows BitLocker funkciójával biztosítja az operációsrendszer-lemez és az adatlemezek teljes lemeztitkosítását. Emellett az ideiglenes lemez titkosítását is biztosítja, ha a VolumeType paraméter az Összes. A tartalom titkosítva folyik a virtuális gépről a Storage háttérrendszerbe. Ezáltal a végpontok közötti titkosítást egy ügyfél által felügyelt kulccsal biztosíthatja.
Hol található az Általános Rendelkezésre állású Azure Disk Encryption (GA)?
Az Azure Disk Encryption általánosan elérhető minden nyilvános Azure-régióban.
Milyen felhasználói élmények érhetők el az Azure Disk Encryption használatával?
Az Azure Disk Encryption GA támogatja az Azure Resource Manager-sablonokat, az Azure PowerShellt és az Azure CLI-t. A különböző felhasználói élmények rugalmasságot biztosítanak. A virtuális gépek lemeztitkosításának engedélyezéséhez három különböző lehetőség közül választhat. A felhasználói élményről és az Azure Disk Encryptionben elérhető részletes útmutatóról további információt a Windows Azure Disk Encryption-forgatókönyveiben talál.
Mennyibe kerül az Azure Disk Encryption?
A virtuálisgép-lemezek Azure Disk Encryption használatával történő titkosítása díjmentes, de az Azure Key Vault használatával kapcsolatos díjak is vannak. Az Azure Key Vault költségeiről további információt a Key Vault díjszabási oldalán talál.
Hogyan kezdhetem el használni az Azure Disk Encryptiont?
Első lépésként olvassa el az Azure Disk Encryption áttekintését.
Milyen virtuálisgép-méretek és operációs rendszerek támogatják az Azure Disk Encryptiont?
Az Azure Disk Encryption áttekintési cikke felsorolja az Azure Disk Encryptiont támogató virtuálisgép-méreteket és virtuálisgép-operációs rendszereket .
Titkosíthatom mind a rendszerindítási, mind az adatköteteket az Azure Disk Encryption használatával?
A rendszerindítási és adatköteteket is titkosíthatja, de az operációs rendszer kötetének első titkosítása nélkül nem titkosíthatja az adatokat.
Titkosíthatok egy nem csatlakoztatott kötetet az Azure Disk Encryption használatával?
Nem, az Azure Disk Encryption csak a csatlakoztatott köteteket titkosítja.
Mi a Storage kiszolgálóoldali titkosítása?
A tároló kiszolgálóoldali titkosítása titkosítja az Azure-beli felügyelt lemezeket az Azure Storage-ban. A felügyelt lemezek alapértelmezés szerint kiszolgálóoldali titkosítással, platform által felügyelt kulccsal vannak titkosítva (2017. június 10-től). A felügyelt lemezek titkosítását saját kulcsokkal kezelheti egy ügyfél által felügyelt kulcs megadásával. További információ: Azure-beli felügyelt lemezek kiszolgálóoldali titkosítása.
Miben különbözik az Azure Disk Encryption az ügyfél által felügyelt kulccsal rendelkező Storage-kiszolgálóoldali titkosítástól, és mikor érdemes használni az egyes megoldásokat?
Az Azure Disk Encryption az operációsrendszer-lemez, az adatlemezek és az ideiglenes lemez végpontok közötti titkosítását biztosítja egy ügyfél által felügyelt kulccsal.
- Ha a követelmények közé tartozik a fenti és a teljes körű titkosítás titkosítása, használja az Azure Disk Encryptiont.
- Ha a követelmények közé tartozik, hogy csak az inaktív adatokat titkosítsa ügyfél által felügyelt kulccsal, akkor használja a kiszolgálóoldali titkosítást az ügyfél által felügyelt kulcsokkal. Az Azure Disk Encryption és a Storage kiszolgálóoldali titkosítása nem titkosítható ügyfél által felügyelt kulcsokkal.
- Ha korlátozásokkal kapcsolatos forgatókönyvet használ, fontolja meg a kiszolgálóoldali titkosítást az ügyfél által felügyelt kulcsokkal.
- Ha a szervezet szabályzata lehetővé teszi a inaktív tartalmak Azure által felügyelt kulccsal történő titkosítását, akkor nincs szükség műveletre – a tartalom alapértelmezés szerint titkosítva van. Felügyelt lemezek esetén a tárolóban lévő tartalom alapértelmezés szerint kiszolgálóoldali titkosítással és platform által felügyelt kulccsal van titkosítva. A kulcsot az Azure Storage szolgáltatás kezeli.
Hogyan titkos kulcsok vagy titkosítási kulcsok elforgatása?
A titkos kulcsok elforgatásához egyszerűen hívja meg ugyanazt a parancsot, amelyet eredetileg a lemeztitkosítás engedélyezéséhez használt, és adjon meg egy másik Key Vaultot. A kulcstitkosítási kulcs elforgatásához hívja meg ugyanazt a parancsot, amelyet eredetileg a lemeztitkosítás engedélyezéséhez használt, és adja meg az új kulcstitkosítást.
Figyelmeztetés
- Ha korábban az Azure Disk Encryptiont a Microsoft Entra alkalmazással használta a virtuális gép titkosításához a Microsoft Entra hitelesítő adatainak megadásával, ezt a lehetőséget továbbra is használnia kell. Az Azure Disk Encryption használata Microsoft Entra-azonosító nélkül egy olyan virtuális gépen, amelyet az Azure Disk Encryption és a Microsoft Entra ID használatával titkosítottak, még nem támogatott forgatókönyv.
Hogyan adjon hozzá vagy távolítsa el a kulcstitkosítási kulcsot (KEK), ha eredetileg nem használtam egyet?
Kulcstitkosítási kulcs hozzáadásához hívja meg újra az engedélyezés parancsot, amely átadja a kulcstitkosítási kulcs paraméterét. Kulcstitkosítási kulcs eltávolításához hívja meg újra az engedélyezés parancsot a kulcstitkosítási kulcs paramétere nélkül.
Milyen méretet használjak a kulcstitkosítási kulcsomhoz (KEK)?
A Windows Server 2022 és a Windows 11 a BitLocker újabb verzióját tartalmazza, és jelenleg nem működik az RSA 2048 bites kulcstitkosítási kulcsokkal. A probléma megoldásáig használjon RSA 3072 vagy RSA 4096 bites kulcsokat a támogatott operációs rendszerekben leírtak szerint.
A Windows korábbi verziójához használhatja az RSA 2048 kulcstitkosítási kulcsokat.
Az Azure Disk Encryption lehetővé teszi a saját kulcs (BYOK) használatát?
Igen, saját kulcstitkosítási kulcsokat is megadhat. Ezek a kulcsok az Azure Key Vaultban vannak védve, amely az Azure Disk Encryption kulcstárolója. A kulcstitkosítási kulcsok támogatási forgatókönyvével kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Használhatok Azure által létrehozott kulcstitkosítási kulcsot?
Igen, az Azure Key Vault használatával kulcstitkosítási kulcsot hozhat létre az Azure lemeztitkosításhoz. Ezek a kulcsok az Azure Key Vaultban vannak védve, amely az Azure Disk Encryption kulcstárolója. A kulcstitkosítási kulccsal kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Használhatok helyszíni kulcskezelési szolgáltatást vagy HSM-et a titkosítási kulcsok védelméhez?
Nem használhatja a helyszíni kulcskezelő szolgáltatást vagy a HSM-et a titkosítási kulcsok Azure Disk Encryption használatával történő védelméhez. Csak az Azure Key Vault szolgáltatással védheti meg a titkosítási kulcsokat. A kulcstitkosítási kulcsok támogatási forgatókönyvével kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Mik az Azure Disk Encryption konfigurálásához szükséges előfeltételek?
Az Azure Disk Encryption előfeltételei vannak. Tekintse meg az Azure Disk Encryption kulcstartójának létrehozását és konfigurálását ismertető cikket egy új kulcstartó létrehozásához, vagy állítson be egy meglévő kulcstartót a lemeztitkosítási hozzáféréshez a titkosítás engedélyezéséhez, valamint a titkos kulcsok és kulcsok védelméhez. A kulcstitkosítási kulcsok támogatási forgatókönyvével kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez.
Milyen előfeltételek szükségesek az Azure Disk Encryption Microsoft Entra-alkalmazással való konfigurálásához (korábbi kiadás)?
Az Azure Disk Encryption előfeltételei vannak. A Microsoft Entra-alkalmazás létrehozásához, új kulcstartó létrehozásához, vagy egy meglévő kulcstartó beállításához tekintse meg az Azure Disk Encryptiont a Microsoft Entra ID-tartalmú tartalommal, vagy állítson be egy meglévő kulcstartót a lemeztitkosításhoz a titkosítás engedélyezéséhez, valamint a titkos kulcsok és kulcsok védelméhez. A kulcstitkosítási kulcsok támogatási forgatókönyveivel kapcsolatos további információkért lásd : Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez a Microsoft Entra-azonosítóval.
Továbbra is támogatott az Azure Disk Encryption egy Microsoft Entra-alkalmazás (korábbi kiadás) használatával?
Igen. A Microsoft Entra-alkalmazásokkal végzett lemeztitkosítás továbbra is támogatott. Új virtuális gépek titkosításakor azonban javasoljuk, hogy az új módszert használja ahelyett, hogy a Microsoft Entra-alkalmazással titkosítanák.
Migrálhatom a Microsoft Entra-alkalmazással titkosított virtuális gépeket a Microsoft Entra-alkalmazás nélküli titkosításra?
Jelenleg nincs közvetlen migrálási útvonal a Microsoft Entra-alkalmazással titkosított gépekhez a Microsoft Entra-alkalmazás nélküli titkosításhoz. Emellett a Microsoft Entra-alkalmazás nélküli titkosítástól az AD-alkalmazással való titkosításig nincs közvetlen út.
Az Azure PowerShell melyik verzióját támogatja az Azure Disk Encryption?
Az Azure Disk Encryption konfigurálásához használja az Azure PowerShell SDK legújabb verzióját. Töltse le az Azure PowerShell legújabb verzióját. Az Azure Disk Encryptiont az Azure SDK 1.1.0-s verziója nem támogatja.
Mi a lemez "Bek Volume" vagy "/mnt/azure_bek_disk"?
A "Bek-kötet" egy helyi adatkötet, amely biztonságosan tárolja a titkosított Azure-beli virtuális gépek titkosítási kulcsait.
Megjegyzés:
Ne törölje és ne szerkessze a lemez tartalmát. Ne bontsa le a lemezt, mivel a titkosítási kulcs jelenléte szükséges az IaaS virtuális gépen végzett titkosítási műveletekhez.
Milyen titkosítási módszert használ az Azure Disk Encryption?
Az Azure Disk Encryption a Következő módon választja ki a Titkosítási módszert a BitLockerben a Windows verziója alapján:
| Windows-verziók | Verzió | Titkosítási módszer |
|---|---|---|
| Windows Server 2012, Windows 10 vagy újabb | >=1511 | XTS-AES 256 bites |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES 256 bit * |
| Windows Server 2008R2 | AES 256 bit a Diffúzorral |
* A Diffúzorral rendelkező AES 256 bit nem támogatott a Windows 2012-ben és újabb verzióiban.
A Windows operációs rendszer verziójának meghatározásához futtassa a "winver" eszközt a virtuális gépen.
Biztonsági másolatot készíthetek és visszaállíthatok egy titkosított virtuális gépet?
Az Azure Backup egy mechanizmust biztosít a titkosított virtuális gépek biztonsági mentésére és visszaállítására ugyanabban az előfizetésben és régióban. Útmutatásért lásd : Titkosított virtuális gépek biztonsági mentése és visszaállítása az Azure Backup használatával. Egy titkosított virtuális gép visszaállítása egy másik régióba jelenleg nem támogatott.
Hol tehetek fel kérdéseket, vagy adhatok visszajelzést?
Kérdéseket tehet fel, vagy visszajelzést küldhet az Azure Disk Encryption Microsoft Q&A kérdésoldalán.
További lépések
Ebben a dokumentumban többet is megtudhatott az Azure Disk Encryption szolgáltatással kapcsolatos leggyakoribb kérdésekről. A szolgáltatással kapcsolatos további információkért tekintse meg a következő cikkeket: