В этой статье приведены ответы на часто задаваемые вопросы о шифровании дисков Azure для виртуальных машин под управлением Windows. Дополнительные сведения об этой службе см. в статье Общие сведения о шифровании дисков Azure.
Что такое шифрование дисков Azure для виртуальных машин Windows?
Шифрование дисков Azure для виртуальных машин Windows использует компонент BitLocker в Windows, чтобы обеспечить полное шифрование для дисков операционной системы и дисков данных. Кроме того, если параметр VolumeType (Тип тома) имеет значение All (Все), временные диски также шифруются. Содержимое передается в зашифрованном виде из виртуальной машины в серверную часть хранилища. Таким образом, обеспечивается сквозное шифрование с ключом, управляемым клиентом.
Дополнительные сведения см. в разделе Поддерживаемые виртуальные машины и операционные системы.
В каких регионах предоставляется общедоступная версия шифрования дисков Azure?
Шифрование дисков Azure предоставляется в режиме общей доступности во всех общедоступных регионах Azure.
Какие возможности предоставляет шифрование дисков Azure?
Шифрование дисков Azure (общедоступная версия) поддерживает шаблоны Azure Resource Manager, Azure PowerShell и Azure CLI. Благодаря таким различным возможностям обеспечивается гибкость. Шифрование дисков на виртуальных машинах можно включить тремя разными способами. Дополнительные сведения о возможностях для пользователей и пошаговые инструкции по работе с шифрованием дисков Azure см. в статье Сценарии шифрования дисков Azure для Windows.
Какова стоимость шифрования дисков Azure?
Плата за шифрование дисков виртуальной машины с помощью шифрования дисков Azure не взимается, но оплачивается использование Azure Key Vault. Дополнительные сведения о ценах на Azure Key Vault см. на этой странице.
Как приступить к работе с шифрованием дисков Azure?
Чтобы приступить к работе, ознакомьтесь с обзором шифрования дисков Azure.
В каких операционных системах и для каких размеров виртуальных машин поддерживается шифрование дисков Azure?
В статье Общие сведения о шифровании дисков Azure перечислены все размеры виртуальных машин и операционные системы виртуальных машин, которые поддерживают шифрование дисков Azure.
Можно ли с помощью шифрования дисков Azure зашифровать загрузочные тома и тома данных?
Вы можете зашифровать загрузочные тома и тома данных, но для шифрования данных необходимо сначала зашифровать том операционной системы.
Можно ли с помощью шифрования дисков Azure зашифровать отключенный том?
Нет, шифрование дисков Azure шифрует только подключенные тома.
Что такое шифрование на стороне сервера хранилища?
Шифрование на стороне сервера шифрует управляемые диски Azure в службе хранилища Azure. Управляемые диски по умолчанию шифруются службой шифрования на стороне сервера с ключом, управляемым платформой (с 10 июня 2017 г.). Вы можете применить для управления шифрованием управляемых дисков собственные ключи, настроив использование ключа, управляемого клиентом. Дополнительные сведения см. в статье Шифрование управляемых дисков Azure на стороне сервера.
Чем шифрование дисков Azure отличается от шифрования на стороне сервера хранилища с ключом, управляемым клиентом, и в каких условиях лучше применять эти варианты?
Шифрование дисков Azure обеспечивает сквозное шифрование диска операционной системы, дисков данных и временного диска с ключом, управляемым клиентом.
- Если в ваши требования входит шифрование всех указанных выше элементов и применение сквозного шифрования, используйте шифрование дисков Azure.
- Если вам достаточно шифровать с помощью управляемого клиентом ключа только неактивные данные, выбирайте шифрование на стороне сервера с ключами, управляемыми клиентом. Вы не можете зашифровать диск с помощью Шифрование дисков Azure и шифрования на стороне сервера хранилища с помощью ключей, управляемых клиентом.
- Если вы используете сценарий, который вызывается в ограничениях, рассмотрите возможность шифрования на стороне сервера с помощью ключей, управляемых клиентом.
- Если политика вашей организации позволяет шифровать хранимое содержимое с помощью ключа, управляемого Azure, то никаких действий выполнять не нужно, так как содержимое уже шифруется по умолчанию. На управляемых дисках содержимое внутри хранилища по умолчанию шифруется с применением шифрования на стороне сервера и ключом, управляемым платформой. Этот ключ управляется службой хранилища Azure.
Как сменить секреты или ключи шифрования?
Для смены секретов просто вызовите ту же команду, которую вы выполнили для включения шифрования диска, указав другой Key Vault. Для смены ключа шифрования ключей вызовите ту же команду, которую вы выполнили для включения шифрования диска, указав новый тип шифрования ключей.
Предупреждение
- Если вы ранее использовали Шифрование дисков Azure с приложением Microsoft Entra, указав учетные данные Microsoft Entra для шифрования этой виртуальной машины, необходимо продолжить использовать этот параметр. Использование Шифрование дисков Azure без идентификатора Microsoft Entra на виртуальной машине, зашифрованной с помощью Шифрование дисков Azure с идентификатором Microsoft Entra, пока не поддерживается.
Как мне добавить или удалить ключ шифрования ключа (KEK), если я раньше его не использовал?
Чтобы добавить ключ шифрования ключа, повторно вызовите команду включения, передав в параметре нужный ключ шифрования ключа. Чтобы удалить ключ шифрования ключа, повторно вызовите команду включения без параметра ключа шифрования ключа.
Какой размер следует использовать для ключа шифрования ключа (KEK)?
Windows Server 2022 и Windows 11 включают более новую версию BitLocker и в настоящее время не работает с ключами шифрования ключей RSA 2048. До разрешения используйте ключи RSA 3072 или RSA 4096, как описано в поддерживаемых операционных системах.
Для более ранней версии Windows можно использовать ключи шифрования RSA 2048.
Дает ли служба шифрования дисков Azure возможность создания собственных ключей (BYOK)?
Да, вы можете предоставить собственные ключи шифрования ключей. Эти ключи хранятся в Azure Key Vault, что представляет собой хранилище ключей для шифрования дисков Azure. Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Можно ли использовать ключ шифрования ключей, созданный в Azure?
Да, можно использовать Azure Key Vault, чтобы создать ключ шифрования ключей для использования шифрования дисков Azure. Эти ключи хранятся в Azure Key Vault, что представляет собой хранилище ключей для шифрования дисков Azure. Дополнительные сведения о ключе шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Можно ли использовать локальную службу управления ключами или HSM для защиты ключей шифрования?
Использовать локальную службу управления ключами или HSM для защиты ключей шифрования с шифрованием дисков Azure нельзя. Для защиты ключей шифрования можно использовать только Azure Key Vault. Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Каковы предварительные требования для настройки шифрования дисков Azure?
Для использования шифрования дисков Azure существуют предварительные требования. Чтобы создать хранилище ключей или настроить имеющееся для доступа к шифрованию диска с целью включения шифрования и обеспечения защиты секретов и ключей, перейдите к статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure". Дополнительные сведения о сценариях поддержки ключа шифрования ключей см. в статье Создание и настройка хранилища ключей для службы "Шифрование дисков Azure".
Какие необходимые условия для настройки Шифрование дисков Azure с помощью приложения Microsoft Entra (предыдущего выпуска)?
Для использования шифрования дисков Azure существуют предварительные требования. Ознакомьтесь с Шифрование дисков Azure с содержимым идентификатора Microsoft Entra, чтобы создать приложение Microsoft Entra, создать новое хранилище ключей или настроить существующее хранилище ключей для доступа к шифрованию дисков, чтобы включить шифрование, а также защитить секреты и ключи. Дополнительные сведения о сценариях поддержки ключей шифрования ключей см. в статье "Создание и настройка хранилища ключей для Шифрование дисков Azure с идентификатором Microsoft Entra".
Поддерживается ли Шифрование дисков Azure использование приложения Microsoft Entra (предыдущего выпуска) ?
Да. Шифрование дисков с помощью приложения Microsoft Entra по-прежнему поддерживается. Однако при шифровании новых виртуальных машин рекомендуется использовать новый метод, а не шифрование с помощью приложения Microsoft Entra.
Можно ли перенести виртуальные машины, зашифрованные с помощью приложения Microsoft Entra, в шифрование без приложения Microsoft Entra?
В настоящее время нет прямого пути миграции для компьютеров, которые были зашифрованы с помощью приложения Microsoft Entra для шифрования без приложения Microsoft Entra. Кроме того, нет прямого пути к шифрованию без приложения Microsoft Entra для шифрования с помощью приложения AD.
Какую версию Azure PowerShell поддерживает шифрование дисков Azure?
Для настройки шифрования дисков Azure используйте последнюю версию пакета SDK для Azure PowerShell. Скачайте последнюю версию Azure PowerShell. Шифрование дисков Azure не поддерживается в пакете SDK для Azure версии 1.1.0.
Что такое том BEK или /mnt/azure_bek_disk?
Том Bek представляет собой локальный том данных, который надежно хранит ключи шифрования для зашифрованных виртуальных машин Azure.
Примечание.
Не удаляйте и не редактируйте содержимое на этом диске. Не отключайте диск, так как наличие ключа шифрования необходимо для любых операций шифрования на виртуальной машине IaaS.
Какой метод шифрования используется в шифровании дисков Azure?
Шифрование дисков Azure выбирает метод шифрования в BitLocker в зависимости от версии Windows, как описано ниже.
| Версии Windows | Версия | Метод шифрования |
|---|---|---|
| Windows Server 2012, Windows 10 или более поздней версии | >=1511 | XTS-AES, 256 бит |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES, 256 бит* |
| Windows Server 2008 R2 | AES, 256 бит с диффузором |
* 256-битное шифрование AES с диффузором не поддерживается в Windows 2012 и более поздних версиях.
Чтобы определить версию ОС Windows, выполните на виртуальной машине команду winver.
Могу ли я выполнять резервное копирование и восстановление для зашифрованной виртуальной машины?
Azure Backup предоставляет механизм резервного копирования и восстановления зашифрованных виртуальных машин в одной подписке и регионе. Инструкции см. в статье "Резервное копирование и восстановление зашифрованных виртуальных машин с помощью Azure Backup". Восстановление зашифрованной виртуальной машины в другом регионе в настоящее время не поддерживается.
Где можно задать вопрос или оставить отзыв?
Вы можете задать вопрос или оставить отзыв на странице вопросов и ответов на сайте Майкрософт, посвященной шифрованию дисков Azure.
Следующие шаги
Из этого документа вы получили ответы на самые распространенные вопросы, связанные с шифрованием дисков Azure. Дополнительные сведения об этой службе см. в следующих статьях: