Panoramica delle opzioni di crittografia dei dischi gestiti
Sono disponibili diversi tipi di crittografia per i dischi gestiti, tra cui Crittografia dischi di Azure, crittografia lato server e crittografia a livello di host.
La crittografia lato server Archiviazione disco di Azure (detta anche crittografia dei dati inattivi o Archiviazione di Azure) è sempre abilitata e crittografa automaticamente i dati archiviati nei dischi gestiti di Azure (sistema operativo e dischi dati) quando vengono mantenuti nei cluster Archiviazione. Se configurato con un set di crittografia dischi (DES), supporta anche chiavi gestite dal cliente. Non crittografa i dischi temporanei o le cache dei dischi. Per informazioni dettagliate, vedere Crittografia lato server di Azure Disk Archiviazione.
La crittografia nell'host è un'opzione di macchina virtuale che migliora la crittografia lato server Archiviazione disco di Azure per garantire che tutti i dischi temporanei e le cache dei dischi vengano crittografati inattivi e crittografati nei cluster Archiviazione. Per informazioni dettagliate, vedere Crittografia nell'host - Crittografia end-to-end per i dati della macchina virtuale.
Crittografia dischi di Azure consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. AdE crittografa il sistema operativo e i dischi dati delle macchine virtuali di Azure all'interno delle macchine virtuali usando la funzionalità DM-Crypt di Linux o BitLocker di Windows. Azure Key Vault è integrato con Azure Key Vault per consentire di controllare e gestire le chiavi e i segreti di crittografia del disco, con l'opzione per crittografare con una chiave di crittografia della chiave (KEK). Per informazioni dettagliate, vedere Crittografia dischi di Azure per macchine virtuali Linux o Crittografia dischi di Azure per le macchine virtuali Windows.
La crittografia dischi riservati associa le chiavi di crittografia del disco al TPM della macchina virtuale e rende il contenuto del disco protetto accessibile solo alla macchina virtuale. Lo stato del TPM e lo della macchina virtuale guest sono sempre crittografati in codice attestato usando chiavi rilasciate da un protocollo sicuro che ignora l'hypervisor e il sistema operativo host. Attualmente disponibile solo per il disco del sistema operativo. La crittografia nell'host può essere usata per altri dischi in una macchina virtuale riservata oltre a Crittografia dischi riservati. Per informazioni dettagliate, vedere Macchine virtuali riservate serie DCasv5 e ECasv5.
La crittografia fa parte di un approccio alla sicurezza strutturato su più livelli e deve essere usata insieme ad altre raccomandazioni per proteggere le macchine virtuali e i relativi dischi. Per informazioni dettagliate, vedere Raccomandazioni sulla sicurezza per le macchine virtuali in Azure e Limitare l'accesso di importazione/esportazione ai dischi gestiti.
Confronto
Ecco un confronto tra Dischi Archiviazione S edizione Standard, ADE, crittografia nell'host e Crittografia dischi riservati.
| Crittografia lato server Archiviazione dischi di Azure | Crittografia a livello di host | Azure Disk Encryption | Crittografia dischi riservati (solo per il disco del sistema operativo) | |
|---|---|---|---|---|
| Crittografia dei dati inattivi (dischi dati e del sistema operativo) | ✅ | ✅ | ✅ | ✅ |
| Crittografia dei dischi temporanei | ❌ | ✅ Supportato solo con la chiave gestita della piattaforma | ✅ | ❌ |
| Crittografia delle cache | ❌ | ✅ | ✅ | ✅ |
| Flussi di dati crittografati tra risorse di calcolo e archiviazione | ❌ | ✅ | ✅ | ✅ |
| Controllo delle chiavi da parte del cliente | ✅ Se configurato con DES | ✅ Se configurato con DES | ✅ Se configurata con KEK | ✅ Se configurato con DES |
| Supporto HSM | Modulo di protezione hardware gestito e Premium di Azure Key Vault | Modulo di protezione hardware gestito e Premium di Azure Key Vault | Azure Key Vault Premium | Modulo di protezione hardware gestito e Premium di Azure Key Vault |
| Non usa la CPU della macchina virtuale | ✅ | ✅ | ❌ | ❌ |
| Funziona per immagini personalizzate | ✅ | ✅ | ❌ Non funziona per immagini Linux personalizzate | ✅ |
| Protezione avanzata delle chiavi | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender per il cloud stato di crittografia del disco* | Unhealthy | Healthy | Healthy | Non applicabile |
Importante
Per la crittografia dischi riservati, Microsoft Defender per il cloud non dispone attualmente di una raccomandazione applicabile.
* Microsoft Defender per il cloud offre le raccomandazioni seguenti per la crittografia del disco:
- Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione (rileva solo Crittografia dischi di Azure)
- [Anteprima]: le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost (rileva sia Crittografia dischi di Azure che EncryptionAtHost)
- [Anteprima]: Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost (rileva sia Crittografia dischi di Azure che EncryptionAtHost)
Passaggi successivi
- Crittografia dischi di Azure per macchine virtuali Linux
- Crittografia dischi di Azure per macchine virtuali Windows
- Crittografia lato server di archiviazione su disco di Azure
- Crittografia nell'host
- Macchine virtuali riservate serie DCasv5 e ECasv5
- Nozioni fondamentali sulla sicurezza di Azure - Panoramica di Crittografia di Azure