Overzicht van versleutelingsopties voor beheerde schijven

Er zijn verschillende typen versleuteling beschikbaar voor uw beheerde schijven, waaronder Azure Disk Encryption (ADE), Server-Side Encryption (SSE) en versleuteling op de host.

  • Met Azure Disk Encryption kunt u uw gegevens beveiligen en beschermen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. ADE versleutelt het besturingssysteem en de gegevensschijven van virtuele Azure-machines (VM's) binnen uw VM's met behulp van de DM-Crypt-functie van Linux of de BitLocker-functie van Windows. ADE is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen te beheren. Zie Azure Disk Encryption voor Linux-VM's of Azure Disk Encryption voor Windows-VM's voor meer informatie.

  • Azure Disk Storage Server-Side Encryption (ook wel versleuteling at rest of Azure Storage-versleuteling genoemd) versleutelt automatisch gegevens die zijn opgeslagen op door Azure beheerde schijven (besturingssysteem- en gegevensschijven) wanneer ze op de opslagclusters worden bewaard. Wanneer deze is geconfigureerd met een Schijfversleutelingsset (DES), worden ook door de klant beheerde sleutels ondersteund. Zie Versleuteling aan de serverzijde van Azure Disk Storage voor meer informatie.

  • Versleuteling op host zorgt ervoor dat gegevens die zijn opgeslagen op de VM-host die als host fungeert voor uw VIRTUELE machine in rust worden versleuteld en stromen die zijn versleuteld naar de opslagclusters. Zie Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens voor meer informatie.

  • Vertrouwelijke schijfversleuteling verbindt schijfversleutelingssleutels met de TPM van de virtuele machine en maakt de beveiligde schijfinhoud alleen toegankelijk voor de virtuele machine. De TPM- en VM-gaststatus wordt altijd versleuteld in geteste code met behulp van sleutels die zijn vrijgegeven door een beveiligd protocol waarmee het hypervisor- en hostbesturingssysteem wordt omzeild. Momenteel alleen beschikbaar voor de besturingssysteemschijf. Versleuteling op de host kan worden gebruikt voor andere schijven op een vertrouwelijke VM, naast Confidential Disk Encryption. Zie vertrouwelijke VM's uit de DCasv5- en ECasv5-serie voor meer informatie.

Versleuteling maakt deel uit van een gelaagde benadering van beveiliging en moet worden gebruikt met andere aanbevelingen om Virtual Machines en hun schijven te beveiligen. Zie beveiligingsaanaanvelingen voor virtuele machines in Azure en toegang tot beheerde schijven beperken voor import/export voor meer informatie.

Vergelijking

Hier volgt een vergelijking van Disk Storage SSE, ADE, versleuteling op host en Vertrouwelijke schijfversleuteling.

Versleuteling at rest (besturingssysteem en gegevensschijven) Tijdelijke schijfversleuteling Versleuteling van caches Gegevensstromen die zijn versleuteld tussen Compute en Storage Klantbeheer van sleutels Maakt geen gebruik van de CPU van uw VM Werkt voor aangepaste installatiekopieën Verbeterde sleutelbeveiliging Versleutelingsstatus van Microsoft Defender voor Cloud-schijf
Azure Disk Storage Server-Side-at-rest versleuteling ✅ Wanneer deze is geconfigureerd met DES Niet in orde, niet van toepassing indien vrijgesteld
Azure Disk Encryption ❌ Werkt niet voor aangepaste Linux-installatiekopieën In orde
Versleuteling bij Host Niet in orde, niet van toepassing indien vrijgesteld
Vertrouwelijke schijfversleuteling ✅ Alleen voor de besturingssysteemschijf ✅ Alleen voor de besturingssysteemschijf ✅ Alleen voor de besturingssysteemschijf ✅ Alleen voor de besturingssysteemschijf Niet in orde, niet van toepassing indien vrijgesteld

Belangrijk

Voor versleuteling op host en vertrouwelijke schijfversleuteling detecteert Microsoft Defender voor Cloud de versleutelingsstatus niet. We zijn bezig met het bijwerken van Microsoft Defender

Volgende stappen