Versleuteling aan de serverzijde van Azure Disk Storage

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform schaalsets ✔️

De meeste beheerde Azure-schijven worden versleuteld met Azure Storage-versleuteling, die gebruikmaakt van versleuteling aan de serverzijde om uw gegevens te beveiligen en u te helpen voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Met Azure Storage-versleuteling worden uw gegevens die zijn opgeslagen op Azure Managed Disks (os- en gegevensschijven) standaard versleuteld wanneer deze in de cloud worden bewaard. Schijven met versleuteling op de host zijn echter niet versleuteld via Azure Storage. Voor schijven met versleuteling op de host ingeschakeld, biedt de server die als host fungeert voor uw VM de versleuteling voor uw gegevens en die versleutelde gegevens stromen naar Azure Storage.

Gegevens in beheerde Azure-schijven worden transparant versleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste beschikbare blokcoderingen en is FIPS 140-2 compatibel. Zie Cryptografie-API: Volgende generatie voor meer informatie over de cryptografische modules die onderliggende Azure Managed Disks bevatten.

Azure Storage-versleuteling heeft geen invloed op de prestaties van beheerde schijven en er zijn geen extra kosten. Zie Azure Storage-versleuteling voor meer informatie over Azure Storage-versleuteling.

Notitie

Tijdelijke schijven zijn geen beheerde schijven en worden niet versleuteld door SSE, tenzij u versleuteling op host inschakelt.

Over versleutelingssleutelbeheer

U kunt vertrouwen op door het platform beheerde sleutels voor de versleuteling van uw beheerde schijf of u kunt versleuteling beheren met behulp van uw eigen sleutels. Als u ervoor kiest om versleuteling te beheren met uw eigen sleutels, kunt u een door de klant beheerde sleutel opgeven die moet worden gebruikt voor het versleutelen en ontsleutelen van alle gegevens in beheerde schijven.

De volgende secties beschrijven elk van de opties voor sleutelbeheer in meer detail.

Door platform beheerde sleutels

Beheerde schijven maken standaard gebruik van door het platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, installatiekopieën en gegevens die naar bestaande beheerde schijven worden geschreven, worden automatisch versleuteld met door platform beheerde sleutels.

Door klant beheerde sleutels

U kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Door de klant beheerde sleutels bieden meer flexibiliteit om toegangsbeheer te beheren.

U moet een van de volgende Azure-sleutelarchieven gebruiken om uw door de klant beheerde sleutels op te slaan:

U kunt uw RSA-sleutels importeren in uw Key Vault of nieuwe RSA-sleutels genereren in Azure Key Vault. Beheerde Azure-schijven verwerken de versleuteling en ontsleuteling op een volledig transparante manier met behulp van envelopversleuteling. Het versleutelt gegevens met behulp van een AES 256-gebaseerde gegevensversleutelingssleutel (DEK), die op zijn beurt wordt beveiligd met behulp van uw sleutels. De Storage-service genereert gegevensversleutelingssleutels en versleutelt deze met door de klant beheerde sleutels met behulp van RSA-versleuteling. Met de envelopversleuteling kunt u uw sleutels periodiek draaien (wijzigen) volgens uw nalevingsbeleid zonder dat dit van invloed is op uw VM's. Wanneer u uw sleutels roteert, versleutelt de Storage-service de gegevensversleutelingssleutels opnieuw met de nieuwe door de klant beheerde sleutels.

Managed Disks en de Key Vault of beheerde HSM zich in dezelfde Azure-regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Ze moeten zich ook in dezelfde Azure Active Directory-tenant (Azure AD) bevinden, tenzij u beheerde schijven versleutelt met door tenants beheerde sleutels (preview).

Volledig beheer van uw sleutels

U moet toegang verlenen tot beheerde schijven in uw Key Vault of beheerde HSM om uw sleutels te gebruiken voor het versleutelen en ontsleutelen van de DEK. Hierdoor hebt u volledige controle over uw gegevens en sleutels. U kunt uw sleutels uitschakelen of de toegang tot beheerde schijven op elk gewenst moment intrekken. U kunt ook het gebruik van de versleutelingssleutel controleren met Azure Key Vault bewaking om ervoor te zorgen dat alleen beheerde schijven of andere vertrouwde Azure-services toegang hebben tot uw sleutels.

Wanneer een sleutel is uitgeschakeld, verwijderd of verlopen, worden VM's met schijven die deze sleutel gebruiken, automatisch afgesloten. Daarna zijn de VM's niet bruikbaar, tenzij de sleutel opnieuw is ingeschakeld of u een nieuwe sleutel toewijst.

Notitie

Over het algemeen wordt verwacht dat schijf-I/O (lees- of schrijfbewerkingen) 1 uur mislukken nadat een sleutel is uitgeschakeld, verwijderd of verlopen.

In het volgende diagram ziet u hoe beheerde schijven Azure Active Directory en Azure Key Vault gebruiken om aanvragen te doen met behulp van de door de klant beheerde sleutel:

Werkstroom beheerde schijven en door de klant beheerde sleutels. Een beheerder maakt een Azure-Key Vault, maakt vervolgens een schijfversleutelingsset en stelt de schijfversleutelingsset in. De set is gekoppeld aan een virtuele machine, waarmee de schijf gebruik kan maken van Azure AD om te verifiëren

In de volgende lijst wordt het diagram uitgebreider uitgelegd:

  1. Een Azure Key Vault-beheerder maakt sleutelkluisbronnen.
  2. De key vault-beheerder importeert de RSA-sleutels in Key Vault of genereert nieuwe RSA-sleutels in Key Vault.
  3. Die beheerder maakt een exemplaar van de schijfversleutelingssetresource, waarbij een Azure Key Vault-id en een sleutel-URL worden opgegeven. Schijfversleutelingsset is een nieuwe resource die is geïntroduceerd voor het vereenvoudigen van het sleutelbeheer voor beheerde schijven.
  4. Wanneer een schijfversleutelingsset wordt gemaakt, wordt er een door het systeem toegewezen beheerde identiteit gemaakt in Azure Active Directory (AD) en gekoppeld aan de schijfversleutelingsset.
  5. De Azure Key Vault-beheerder verleent vervolgens de beheerde identiteit toestemming om bewerkingen uit te voeren in de sleutelkluis.
  6. Een VM-gebruiker maakt schijven door deze te koppelen aan de schijfversleutelingsset. De VM-gebruiker kan ook versleuteling aan de serverzijde inschakelen met door de klant beheerde sleutels voor bestaande resources door deze te koppelen aan de schijfversleutelingsset.
  7. Beheerde schijven gebruiken de beheerde identiteit om aanvragen te verzenden naar de Azure-Key Vault.
  8. Voor het lezen of schrijven van gegevens verzendt beheerde schijven aanvragen naar Azure Key Vault voor het versleutelen (verpakken) en ontsleutelen (uitpakken) van de gegevensversleutelingssleutel om versleuteling en ontsleuteling van de gegevens uit te voeren.

Zie Azure Key Vault PowerShell en Azure Key Vault CLI om de toegang tot door de klant beheerde sleutels in te trekken. Het intrekken van toegang blokkeert de toegang tot alle gegevens in het opslagaccount, omdat de versleutelingssleutel niet toegankelijk is door Azure Storage.

Automatische sleutelrotatie van door de klant beheerde sleutels

U kunt ervoor kiezen om automatische sleutelrotatie in te schakelen naar de nieuwste sleutelversie. Een schijf verwijst naar een sleutel via de schijfversleutelingsset. Wanneer u automatische rotatie inschakelt voor een schijfversleutelingsset, worden alle beheerde schijven, momentopnamen en installatiekopieën die verwijzen naar de schijfversleutelingsset, automatisch bijgewerkt om de nieuwe versie van de sleutel binnen een uur te gebruiken. Zie Een Azure-Key Vault en DiskEncryptionSet instellen met automatische sleutelrotatie voor meer informatie over het inschakelen van door de klant beheerde sleutels met automatische sleutelrotatie.

Notitie

Virtual Machines wordt niet opnieuw opgestart tijdens automatische sleutelrotatie.

Beperkingen

Voorlopig hebben door de klant beheerde sleutels de volgende beperkingen:

  • Als deze functie is ingeschakeld voor uw schijf, kunt u deze niet uitschakelen. Als u dit moet omzeilen, moet u alle gegevens kopiëren met behulp van de Azure PowerShell-module of de Azure CLI, naar een volledig andere beheerde schijf die geen door de klant beheerde sleutels gebruikt.
  • Alleen software- en HSM RSA-sleutels van grootten 2.048-bits, 3072-bits en 4.096-bits worden ondersteund, geen andere sleutels of grootten.
  • Schijven die zijn gemaakt op basis van aangepaste installatiekopieën die zijn versleuteld met versleuteling aan de serverzijde en door de klant beheerde sleutels, moeten worden versleuteld met dezelfde door de klant beheerde sleutels en moeten zich in hetzelfde abonnement bevinden.
  • Momentopnamen die zijn gemaakt op basis van schijven die zijn versleuteld met versleuteling aan de serverzijde en door de klant beheerde sleutels moeten worden versleuteld met dezelfde door de klant beheerde sleutels.
  • De meeste resources met betrekking tot uw door de klant beheerde sleutels (schijfversleutelingssets, VM's, schijven en momentopnamen) moeten zich in hetzelfde abonnement en dezelfde regio bevinden.
    • Azure Key Vaults kan worden gebruikt vanuit een ander abonnement, maar moet zich in dezelfde regio en tenant bevinden als uw schijfversleutelingsset.
  • Schijven, momentopnamen en installatiekopieën die zijn versleuteld met door de klant beheerde sleutels, kunnen niet worden verplaatst naar een andere resourcegroep en een ander abonnement.
  • Beheerde schijven die momenteel of eerder zijn versleuteld met Behulp van Azure Disk Encryption, kunnen niet worden versleuteld met door de klant beheerde sleutels.
  • Kan maximaal 1000 schijfversleutelingssets per regio per abonnement maken.
  • Zie Preview voor informatie over het gebruik van door de klant beheerde sleutels met galerieën met gedeelde installatiekopieën : Door de klant beheerde sleutels gebruiken voor het versleutelen van afbeeldingen.

Ondersteunde regio’s

Door de klant beheerde sleutels zijn beschikbaar in alle regio's waarop beheerde schijven beschikbaar zijn.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Azure Active Directory (Azure AD). Wanneer u door de klant beheerde sleutels configureert, wordt er automatisch een beheerde identiteit toegewezen aan uw resources onder de dekking. Als u het abonnement, de resourcegroep of de beheerde schijf vervolgens verplaatst van de ene Azure AD map naar een andere, wordt de beheerde identiteit die is gekoppeld aan beheerde schijven niet overgebracht naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Azure AD directory's voor meer informatie.

Als u door de klant beheerde sleutels voor beheerde schijven wilt inschakelen, raadpleegt u onze artikelen over het inschakelen ervan met de Azure PowerShell-module, de Azure CLI of de Azure Portal.

Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens

Wanneer u versleuteling inschakelt op de host, wordt die versleuteling gestart op de VM-host zelf, de Azure-server waaraan uw VM is toegewezen. De gegevens voor uw tijdelijke schijf en de cache van de besturingssysteem-/gegevensschijf worden opgeslagen op die VM-host. Nadat u versleuteling op de host hebt ingeschakeld, worden al deze gegevens in rust versleuteld en stromen versleuteld naar de Storage-service, waar deze wordt bewaard. Versleuteling op de host versleutelt uw gegevens van end-to-end. Versleuteling op de host maakt geen gebruik van de CPU van uw VM en heeft geen invloed op de prestaties van uw VM.

Tijdelijke schijven en tijdelijke besturingssysteemschijven worden in rust versleuteld met door het platform beheerde sleutels wanneer u end-to-end-versleuteling inschakelt. De caches van het besturingssysteem en de gegevensschijf worden in rust versleuteld met door de klant beheerde of platformbeheerde sleutels, afhankelijk van het geselecteerde schijfversleutelingstype. Als een schijf bijvoorbeeld is versleuteld met door de klant beheerde sleutels, wordt de cache voor de schijf versleuteld met door de klant beheerde sleutels en als een schijf is versleuteld met door het platform beheerde sleutels, wordt de cache voor de schijf versleuteld met door het platform beheerde sleutels.

Beperkingen

  • Biedt geen ondersteuning voor ultraschijven.
  • Kan niet worden ingeschakeld als Azure Disk Encryption (gast-VM-versleuteling met bitlocker/DM-Crypt) is ingeschakeld op uw VM's/virtuele-machineschaalsets.
  • Azure Disk Encryption kan niet worden ingeschakeld op schijven waarvoor versleuteling op de host is ingeschakeld.
  • De versleuteling kan worden ingeschakeld op bestaande virtuele-machineschaalsets. Alleen nieuwe VM's die zijn gemaakt nadat de versleuteling is ingeschakeld, worden echter automatisch versleuteld.
  • De toewijzing van bestaande VM's moet ongedaan worden gemaakt en opnieuw worden toegewezen om te worden versleuteld.
  • Ondersteunt tijdelijke besturingssysteemschijven, maar alleen met door platform beheerde sleutels.

Ondersteunde VM-grootten

De volledige lijst met ondersteunde VM-grootten kan programmatisch worden opgehaald. Als u wilt weten hoe u deze programmatisch ophaalt, raadpleegt u de sectie ondersteunde VM-grootten van de Azure PowerShell-module of Azure CLI-artikelen.

Als u end-to-end-versleuteling wilt inschakelen met behulp van versleuteling op de host, raadpleegt u onze artikelen over het inschakelen van de module Azure PowerShell, de Azure CLI of de Azure Portal.

Dubbele versleuteling at rest

Zeer beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen nu kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. Deze nieuwe laag kan worden toegepast op persistente besturingssysteem- en gegevensschijven, momentopnamen en installatiekopieën, die allemaal in rust worden versleuteld met dubbele versleuteling.

Ondersteunde regio’s

Dubbele versleuteling is beschikbaar in alle regio's waarop beheerde schijven beschikbaar zijn.

Als u dubbele versleuteling-at-rest wilt inschakelen voor beheerde schijven, raadpleegt u onze artikelen over het inschakelen van de module Azure PowerShell, de Azure CLI of de Azure Portal.

Versleuteling aan de serverzijde versus Azure-schijfversleuteling

Azure Disk Encryption maakt gebruik van de DM-Crypt-functie van Linux of de BitLocker-functie van Windows om beheerde schijven te versleutelen met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert ADE doordat u alle typen en installatiekopieën van het besturingssysteem voor uw VM's kunt gebruiken door gegevens in de Storage-service te versleutelen.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Azure Active Directory (Azure AD). Wanneer u door de klant beheerde sleutels configureert, wordt er automatisch een beheerde identiteit toegewezen aan uw resources onder de dekking. Als u het abonnement, de resourcegroep of de beheerde schijf vervolgens verplaatst van de ene Azure AD map naar een andere, wordt de beheerde identiteit die is gekoppeld aan beheerde schijven niet overgebracht naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Azure AD directory's voor meer informatie.

Volgende stappen