Questo articolo offre risposte alle domande frequenti su Crittografia dischi di Azure per macchine virtuali Windows. Per altre informazioni su questo servizio, vedere la panoramica di Crittografia dischi di Azure.
Che cos'è Crittografia dischi di Azure per macchine virtuali Windows?
Crittografia dischi di Azure per macchine virtuali Windows usa la funzionalità BitLocker di Windows per offrire la crittografia completa del disco del sistema operativo e dei dischi dati. Offre inoltre la crittografia del disco temporaneo quando il parametro VolumeType è All. Il contenuto passa crittografato dalla macchina virtuale al back-end di archiviazione, offrendo quindi la crittografia end-to-end con una chiave gestita dal cliente.
Dove è presente Crittografia dischi di Azure con disponibilità generale (GA)?
Crittografia dischi di Azure è in disponibilità generale in tutte le aree pubbliche di Azure.
Quali esperienze utente sono disponibili con Crittografia dischi di Azure?
La versione GA di Crittografia dischi di Azure supporta i modelli di Azure Resource Manager, Azure PowerShell e l'interfaccia della riga di comando di Azure. La presenza di diverse esperienze utente consente una maggiore flessibilità. Per abilitare la crittografia dei dischi delle macchine virtuali sono disponibili tre diverse opzioni. Per altre informazioni sull'esperienza utente e sulle indicazioni dettagliate disponibili in Crittografia dischi di Azure, vedere Scenari di Crittografia dischi di Azure per Windows.
Quanto costa Crittografia dischi di Azure?
Non è previsto alcun addebito per la crittografia dei dischi delle macchine virtuali con Crittografia dischi di Azure, ma sono previsti addebiti associati all'uso di Azure Key Vault. Per altre informazioni sui costi associati ad Azure Key Vault, vedere la pagina Prezzi di Key Vault.
Come si può iniziare a usare Crittografia dischi di Azure?
Per iniziare, leggere l'articolo Azure Disk Encryption overview (Panoramica di Crittografia dischi di Azure).
Quali sono le dimensioni e i sistemi operativi delle macchine virtuali che supportano Crittografia dischi di Azure?
L'articolo di panoramica di Crittografia dischi di Azure elenca le dimensioni e i sistemi operativi delle macchine virtuali che supportano Crittografia dischi di Azure.
È possibile crittografare sia i volumi di avvio che i volumi di dati con Crittografia dischi di Azure?
È possibile crittografare i volumi di avvio e di dati, ma non è possibile crittografare i dati senza aver prima crittografato il volume del sistema operativo.
È possibile crittografare un volume smontato con Crittografia dischi di Azure?
No, Crittografia dischi di Azure crittografa solo i volumi montati.
Che cos'è la crittografia di archiviazione lato server?
La crittografia di archiviazione lato server crittografa i dischi gestiti di Azure in Archiviazione di Azure. I dischi gestiti vengono crittografati per impostazione predefinita con la crittografia lato server con una chiave gestita dalla piattaforma (dal 10 giugno 2017). È possibile gestire la crittografia dei dischi gestiti con le proprie chiavi specificando una chiave gestita dal cliente. Per altre informazioni, vedere Crittografia lato server dei dischi gestiti di Azure.
In che modo Crittografia dischi di Azure si differenzia dalla crittografia lato server di archiviazione con una chiave gestita dal cliente e quando è consigliabile usare una soluzione o l'altra?
Crittografia dischi di Azure offre crittografia end-to-end per il disco del sistema operativo, i dischi dati e il disco temporaneo con una chiave gestita dal cliente.
- Se i requisiti includono la crittografia di tutti gli elementi sopra citati e la crittografia end-to-end, usare Crittografia dischi di Azure.
- Se i requisiti includono la crittografia dei soli dati inattivi con una chiave gestita dal cliente, usare la crittografia lato server con chiavi gestite dal cliente. Non è possibile crittografare un disco con crittografia lato server Crittografia dischi di Azure e Archiviazione con chiavi gestite dal cliente.
- Se si usa uno scenario indicato in Restrizioni, prendere in considerazione la crittografia lato server con chiavi gestite dal cliente.
- Se i criteri dell'organizzazione consentono di crittografare il contenuto inattivo con una chiave gestita da Azure, non è necessaria alcuna azione: il contenuto viene crittografato per impostazione predefinita. Per i dischi gestiti, il contenuto all'interno dell'archiviazione viene crittografato per impostazione predefinita con la crittografia lato server con chiave gestita dalla piattaforma. La chiave è gestita dal servizio Archiviazione di Azure.
Come ruotare segreti o chiavi di crittografia?
Per ruotare i segreti, chiamare semplicemente lo stesso comando usato in origine per abilitare la crittografia del disco, specificando un insieme di credenziali delle chiavi diverso. Per ruotare la chiave di crittografia della chiave, chiamare lo stesso comando usato in origine per abilitare la crittografia del disco, specificando la crittografia della nuova chiave.
Avviso
- Se in precedenza è stato usato Crittografia dischi di Azure con l'app Microsoft Entra specificando le credenziali di Microsoft Entra per crittografare questa macchina virtuale, è necessario continuare a usare questa opzione. L'uso di Crittografia dischi di Azure senza MICROSOFT Entra ID in una macchina virtuale crittografata con Crittografia dischi di Azure con Microsoft Entra ID non è ancora uno scenario supportato.
Ricerca per categorie aggiungere o rimuovere una chiave di crittografia della chiave (KEK) se non è stata usata in origine?
Per aggiungere una chiave di crittografia della chiave, chiamare di nuovo il comando di abilitazione passando il parametro della chiave di crittografia della chiave. Per rimuovere una chiave di crittografia della chiave, chiamare di nuovo il comando di abilitazione senza il parametro della chiave di crittografia della chiave.
Quali dimensioni è necessario usare per la chiave di crittografia della chiave (KEK)?
Windows Server 2022 e Windows 11 includono una versione più recente di BitLocker e attualmente non funziona con chiavi di crittografia della chiave RSA 2048 bit. Fino a quando non viene risolto, usare chiavi RSA 3072 o RSA a 4096 bit, come descritto in Sistemi operativi supportati.
Per la versione precedente di Windows, è invece possibile usare chiavi di crittografia della chiave RSA 2048.
Con Crittografia dischi di Azure sono disponibili BYOK (Bring Your Own Key)?
Sì, è possibile fornire le proprie chiavi di crittografia della chiave. Queste chiavi sono protette in Azure Key Vault, l'archivio delle chiavi per Crittografia dischi di Azure. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
È possibile usare una chiave di crittografia della chiave creata in Azure?
Sì, è possibile usare Azure Key Vault per generare una chiave di crittografia della chiave per l'uso con Crittografia dischi di Azure. Queste chiavi sono protette in Azure Key Vault, l'archivio delle chiavi per Crittografia dischi di Azure. Per altre informazioni sulla chiave di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
È possibile usare un servizio di gestione delle chiavi/modulo di protezione hardware locale per proteggere le chiavi di crittografia?
Non è possibile usare il servizio di gestione delle chiavi/modulo di protezione hardware locale per proteggere le chiavi di crittografia con Crittografia dischi di Azure. Per proteggere le chiavi di crittografia, è possibile usare solo il servizio Azure Key Vault. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
Quali sono i prerequisiti per la configurazione di Crittografia dischi di Azure?
Per usare Crittografia dischi di Azure, è necessario rispettare alcuni prerequisiti. Per creare un nuovo insieme di credenziali delle chiavi o configurarne uno esistente per l'accesso alla crittografia dei dischi al fine di abilitare la crittografia e per proteggere segreti e chiavi, vedere l'articolo Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
Quali sono i prerequisiti per configurare Crittografia dischi di Azure con un'app Microsoft Entra (versione precedente)?
Per usare Crittografia dischi di Azure, è necessario rispettare alcuni prerequisiti. Vedere il Crittografia dischi di Azure con il contenuto di Microsoft Entra ID per creare un'applicazione Microsoft Entra, creare un nuovo insieme di credenziali delle chiavi o configurare un insieme di credenziali delle chiavi esistente per l'accesso alla crittografia dei dischi per abilitare la crittografia e proteggere segreti e chiavi. Per altre informazioni sugli scenari di supporto della chiave di crittografia della chiave, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure con Microsoft Entra ID.
Crittografia dischi di Azure è ancora supportata l'uso di un'app Microsoft Entra (versione precedente)
Sì. La crittografia del disco con un'app Microsoft Entra è ancora supportata. Tuttavia, quando si crittografa nuove macchine virtuali, è consigliabile usare il nuovo metodo anziché crittografare con un'app Microsoft Entra.
È possibile eseguire la migrazione di macchine virtuali crittografate con un'app Microsoft Entra alla crittografia senza un'app Microsoft Entra?
Attualmente, non esiste un percorso di migrazione diretto per i computer crittografati con un'app Microsoft Entra per la crittografia senza un'app Microsoft Entra. Inoltre, non esiste un percorso diretto dalla crittografia senza un'app Microsoft Entra alla crittografia con un'app AD.
Quale versione di Azure PowerShell è supportata da Crittografia dischi di Azure?
Usare la versione più recente di Azure PowerShell SDK per configurare Crittografia dischi di Azure. Scaricare la versione più recente di Azure PowerShell. Crittografia dischi di Azure non è supportato da Azure SDK versione 1.1.0.
Che cos'è il disco "volume BEK" o "/mnt/azure_bek_disk"?
Il "volume BEK" è un volume di dati locali in cui vengono archiviate in modo sicuro le chiavi di crittografia per le macchine virtuali di Azure crittografate.
Nota
Non eliminare o modificare contenuti in questo disco. Non smontare il disco perché la presenza della chiave di crittografia è necessaria per qualsiasi operazione di crittografia nella macchina virtuale IaaS.
Qual è il metodo di crittografia usato da Crittografia dischi di Azure?
Crittografia dischi di Azure seleziona il metodo di crittografia in BitLocker in base alla versione di Windows, come indicato di seguito:
| Versioni di Windows | Versione | Metodo di crittografia |
|---|---|---|
| Windows Server 2012, Windows 10 o versione successiva | >=1511 | XTS-AES a 256 bit |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES a 256 bit * |
| Windows Server 2008 R2 | AES a 256 bit con diffusione |
* AES a 256 bit con diffusore non è supportato in Windows 2012 e versioni successive.
Per determinare la versione del sistema operativo Windows, eseguire lo strumento "winver" nella macchina virtuale.
È possibile eseguire il backup e il ripristino di una macchina virtuale crittografata?
Backup di Azure fornisce un meccanismo per eseguire il backup e il ripristino di macchine virtuali crittografate all'interno della stessa sottoscrizione e area. Per istruzioni, vedere Eseguire il backup e il ripristino di macchine virtuali crittografate con Backup di Azure. Il ripristino di una macchina virtuale crittografata in un'area diversa non è attualmente supportato.
Quali risorse sono disponibili per porre domande o inviare commenti?
È possibile porre domande o inviare feedback usando la pagina Domande e risposte Microsoft relativa a Crittografia dischi di Azure.
Passaggi successivi
In questo documento sono state fornite le risposte alle domande più frequenti relative a Crittografia dischi di Azure. Per altre informazioni sul servizio, vedere gli articoli seguenti: