Crittografia dischi di Azure per macchine virtuali Linux
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Prendere in considerazione l'uso e il piano di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
Si applica a: ✔️ macchine virtuali di Linux ✔️ set di scalabilità flessibili
Crittografia dischi di Azure consente di proteggere i dati per soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. Usa la funzionalità DM-Crypt di Linux per offrire la crittografia del volume per il disco del sistema operativo e i dischi dati delle macchine virtuali (VM) di Azure ed è integrato con Azure Key Vault per facilitare il controllo e la gestione delle chiavi e dei segreti di crittografia dei dischi.
Crittografia dischi di Azure opera con resilienza della zona, allo stesso modo delle macchine virtuali. Per altri dettagli, vedere servizi Azure che supportano la funzionalità Zone di disponibilità.
Se si usa Microsoft Defender per il cloud, si viene avvisati se sono presenti macchine virtuali non crittografate. Gli avvisi vengono visualizzati con un livello di gravità elevato e la raccomandazione di crittografare tali macchine virtuali.
Avviso
- Se in precedenza è stato usato Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, è necessario continuare a usare questa opzione per crittografare la macchina virtuale. Per altre informazioni, vedere Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).
- Alcune indicazioni possono comportare un maggior utilizzo delle risorse di calcolo, rete o dati con un conseguente aumento dei costi di licenza o sottoscrizione. Per creare le risorse in Azure nella aree geografiche supportate, è necessario avere una sottoscrizione di Azure attiva e valida.
È possibile apprendere in pochi minuti le nozioni di base di Crittografia dischi di Azure per Linux con Avvio rapido: Creare e crittografare una macchina virtuale Linux con l'interfaccia della riga di comando di Azure o Avvio rapido: Creare e crittografare una macchina virtuale Linux con Azure PowerShell.
Macchine virtuali e sistemi operativi supportati
Macchine virtuali supportate
Le macchine virtuali Linux sono disponibili in una gamma di dimensioni. Crittografia dischi di Azure è supportato nelle macchine virtuali di Generazione 1 e 2. Crittografia dischi di Azure è disponibile anche per le macchine virtuali con Archiviazione Premium.
Vedere Dimensioni delle macchine virtuali di Azure senza disco temporaneo locale.
Crittografia dischi di Azure non è disponibile anche in Macchine virtuali di base, serie A o in macchine virtuali che non soddisfano questi requisiti minimi di memoria:
Requisiti di memoria
| Macchina virtuale | Requisito memoria minimo |
|---|---|
| Macchine virtuali Linux quando si crittografano solo i volumi di dati | 2 GB |
| Macchine virtuali Linux durante la crittografia dei volumi di dati e del sistema operativo e in cui l'utilizzo del file system radice (/) è di 4 GB o inferiore | 8 GB |
| Macchine virtuali Linux durante la crittografia dei volumi di dati e del sistema operativo e in cui l'utilizzo del file system radice (/) è maggiore di 4 GB | Utilizzo del file system radice * 2. Ad esempio, un utilizzo di file system radice di 16 GB richiede almeno 32 GB di RAM |
Una volta completato il processo di crittografia del disco del sistema operativo nelle macchine virtuali Linux, la macchina virtuale può essere configurata per l'esecuzione con meno memoria.
Per altre eccezioni, vedere Crittografia dischi di Azure: limitazioni.
Sistemi operativi supportati
Crittografia dischi di Azure è supportato in un sottoinsieme di distribuzioni di Linux approvate in Azure che è a sua volta un sottoinsieme di tutte le distribuzioni di server Linux possibili.
Le distribuzioni di server Linux non approvate da Azure non supportano Crittografia dischi di Azure. Tra quelle approvate, solo le distribuzioni e versioni seguenti supportano Crittografia dischi di Azure:
| Autore | Offerta | SKU | URN | Tipo di volume supportato per la crittografia |
|---|---|---|---|---|
| Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu | 22.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Disco del sistema operativo e dati |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Disco del sistema operativo e dati |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | Disco del sistema operativo e dati |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | Disco del sistema operativo e dati |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 7.4 | 7.4 | OpenLogic:CentOS:7.4:latest | Disco del sistema operativo e dati |
| OpenLogic | CentOS 6.8 | 6.8 | OpenLogic:CentOS:6.8:latest | Solo il disco dati |
| Oracle | Oracle Linux 8.6 | 8.6 | Oracle:Oracle-Linux:ol86-lvm:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| Oracle | Oracle Linux 8.6 Gen 2 | 8.6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| Oracle | Oracle Linux 8.5 | 8.5 | Oracle:Oracle-Linux:ol85-lvm:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| Oracle | Oracle Linux 8.5 Gen 2 | 8.5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 9.2 | 9.2 | RedHat:RHEL:9_2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 9.2 Gen 2 | 9.2 | RedHat:RHEL:92-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 9.0 Gen 2 | 9.0 | RedHat:RHEL:90-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 9-lvm | 9-lvm | RedHat:RHEL:9-lvm:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 9-lvm Gen 2 | 9-lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.9 | 8.9 | RedHat:RHEL:8_9:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.9 Gen 2 | 8.9 | RedHat:RHEL:89-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.8 Gen 2 | 8.8 | RedHat:RHEL:88-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.7 | 8.7 | RedHat:RHEL:8_7:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.7 Gen 2 | 8.7 | RedHat:RHEL:87-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.6 | 8.6 | RedHat:RHEL:8_6:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.6 Gen 2 | 8.6 | RedHat:RHEL:86-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.5 | 8.5 | RedHat:RHEL:8_5:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.5 Gen 2 | 8.5 | RedHat:RHEL:85-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8-LVM Gen 2 | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7.8 | 7.8 | RedHat:RHEL:7.8:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 7.4 | 7.4 | RedHat:RHEL:7.4:latest | Disco del sistema operativo e dati (vedere la nota di seguito) |
| RedHat | RHEL 6.8 | 6.8 | RedHat:RHEL:6.8:latest | Disco dati (vedere la nota di seguito) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Disco dati (vedere la nota di seguito) |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Solo il disco dati |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Solo il disco dati |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Solo il disco dati |
* Per le versioni dell'immagine maggiori o uguali a maggio 2023.
Nota
RHEL:
- La nuova implementazione di Crittografia dischi di Azure è supportata per il disco del sistema operativo RHEL e il disco dati per le immagini RHEL7 con pagamento in base al consumo.
- Crittografia dischi di Azure è supportato anche per le immagini Gold di tipo BYOS (Bring-Your-Own-Subscription) di RHEL, ma solo dopo la registrazione della sottoscrizione. Per altre informazioni, vedere Immagini Gold di tipo BYOS (Bring-Your-Own-Subscription) di Red Hat Enterprise Linux in Azure
Tutte le distribuzioni:
- Il supporto di Active Directory per un determinato tipo di offerta non si estende oltre la data di fine vita fornita dall'editore.
- La soluzione DIE legacy (che usa le credenziali di Microsoft Entra) non è consigliata per le nuove macchine virtuali e non è compatibile con le versioni RHEL successive a RHEL 7.8 o Con Python 3 come impostazione predefinita.
Requisiti aggiuntivi delle macchine virtuali
Crittografia dischi di Azure richiede la presenza nel sistema dei moduli dm-crypt e vfat. La rimozione o la disabilitazione di vfat dall'immagine predefinita impedirà al sistema di leggere la chiave del volume e ottenere quella necessaria per sbloccare i dischi ai successivi riavvii. I passaggi di protezione avanzata del sistema che rimuovono il modulo vfat dal sistema o applicano l'espansione dei punti di montaggio/cartelle del sistema operativo nelle unità dati non sono compatibili con Crittografia dischi di Azure.
Prima di abilitare la crittografia, i dischi dati da crittografare devono essere elencati correttamente in /etc/fstab. Usare l'opzione "nofail" durante la creazione di voci e scegliere un nome di dispositivo a blocchi persistente (come i nomi dei dispositivi nel formato "/dev/sdX" potrebbero non essere associati allo stesso disco tra riavvii, in particolare dopo la crittografia; per altri dettagli su questo comportamento, vedere: Risolvere i problemi delle modifiche al nome del dispositivo della macchina virtuale Linux).
Verificare che le impostazioni /etc/fstab siano configurate correttamente per il montaggio. Per configurare queste impostazioni, eseguire il comando mount -a o riavviare la macchina virtuale e attivare il rimontaggio in questo modo. Al termine, controllare l'output del comando lsblk per verificare che l'unità desiderata sia ancora montata.
- Se il file /etc/fstab non monta l'unità in modo corretto prima di abilitare la crittografia; Crittografia dischi di Azure non sarà in grado di montarla correttamente.
- Il processo di Crittografia dischi di Azure sposterà le informazioni di montaggio da /etc/fstab e le inserirà in un proprio file di configurazione come parte del processo di crittografia. Non allarmarsi per la mancanza della voce da /etc/fstab dopo il completamento della crittografia dell'unità dati.
- Prima di avviare la crittografia, assicurarsi di arrestare tutti i servizi e i processi che potrebbero scrivere nei dischi dati montati e disabilitarli, in modo che non vengano riavviati automaticamente dopo un riavvio. Questi potrebbero infatti tenere aperti i file presenti in queste partizioni impedendo alla procedura di crittografia di rimontarle, determinando così un errore di crittografia.
- Dopo il riavvio, il processo di Crittografia dischi di Azure avrà bisogno di tempo per montare i dischi appena crittografati. Non saranno disponibili immediatamente dopo un riavvio. Il processo richiede tempo per iniziare, sbloccare e quindi montare le unità crittografate prima che siano disponibili per l'accesso da parte di altri processi. Questo processo potrebbe richiedere più di un minuto dopo il riavvio, a seconda delle caratteristiche di sistema.
Di seguito è riportato un esempio dei comandi usati per montare i dischi dati e creare le voci /etc/fstab necessarie:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
Requisiti di rete
Per abilitare la funzionalità Crittografia dischi di Azure, le macchine virtuali Linux devono soddisfare i requisiti di configurazione degli endpoint di rete seguenti:
- Per ottenere un token per connettersi all'insieme di credenziali delle chiavi, la macchina virtuale Linux deve essere in grado di connettersi a un endpoint di Microsoft Entra, [login.microsoftonline.com].
- Per scrivere le chiavi di crittografia nell'insieme di credenziali delle chiavi, è necessario che la macchina virtuale Linux possa connettersi all'endpoint dell'insieme di credenziali delle chiavi.
- La macchina virtuale Linux deve potersi connettere a un endpoint di archiviazione di Azure che ospita il repository delle estensioni di Azure e a un account di archiviazione di Azure che ospita i file del disco rigido virtuale.
- Se i criteri di sicurezza limitano l'accesso delle macchine virtuali di Azure a Internet, è possibile risolvere l'URI precedente e configurare una regola specifica per consentire la connettività in uscita agli IP. Per altre informazioni, vedere Azure Key Vault protetto da firewall.
Requisiti di archiviazione delle chiavi di crittografia
Crittografia dischi di Azure richiede Azure Key Vault per controllare e gestire segreti e chiavi di crittografia dei dischi. L'insieme di credenziali delle chiavi e le macchine virtuali devono trovarsi nella stessa area e sottoscrizione di Azure.
Per altre informazioni, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
Terminologia
La tabella seguente definisce alcuni dei termini comuni usati nella documentazione di Crittografia dischi di Azure:
| Terminologia | Definizione |
|---|---|
| Azure Key Vault | Key Vault è un servizio di crittografia e gestione delle chiavi basato su moduli di sicurezza hardware convalidati dagli standard FIPS (Federal Information Processing Standards). Questi standard consentono di proteggere le chiavi crittografiche e i segreti sensibili. Per altre informazioni, vedere la documentazione di Azure Key Vault e Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. |
| Interfaccia della riga di comando di Azure | L'interfaccia della riga di comando di Azure è ottimizzata per la gestione e l'amministrazione delle risorse di Azure dalla riga di comando. |
| DM-Crypt | DM-Crypt è il sottosistema di crittografia del disco trasparente basato su Linux usato per abilitare la crittografia del disco nelle macchine virtuali Linux. |
| Chiave di crittografia della chiave (KEK) | La chiave asimmetrica (RSA 2048) che è possibile usare per proteggere il segreto o eseguirne il wrapping. È possibile fornire una chiave protetta tramite modulo di protezione hardware o una chiave protetta tramite software. Per altre informazioni, vedere la documentazione di Azure Key Vault e Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. |
| Cmdlet di PowerShell | Per altre informazioni, vedere Cmdlet di Azure PowerShell. |
Passaggi successivi
- Avvio rapido: Creare e crittografare una macchina virtuale Linux con l'interfaccia della riga di comando di Azure
- Avvio rapido: Creare e crittografare una macchina virtuale Linux con Azure PowerShell
- Scenari di Crittografia dischi di Azure nelle macchine virtuali Linux
- Script dell'interfaccia della riga di comando dei prerequisiti di Crittografia dischi di Azure
- Script di PowerShell per i prerequisiti di Crittografia dischi di Azure
- Creazione e configurazione di un insieme di credenziali delle chiavi per la crittografia dischi di Azure