Versleuteling aan de serverzijde van Azure Disk Storage

Applies to: ✔️ Linux VMs ✔️ Windows VMs ✔️ Flexibele schaalsets ✔️ Uniforme schaalsets

De meeste Azure beheerde schijven worden versleuteld met Azure Storage versleuteling, die gebruikmaakt van versleuteling aan de serverzijde (SSE) om uw gegevens te beveiligen en u te helpen voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Azure Storage-versleuteling versleutelt standaard automatisch uw gegevens die zijn opgeslagen op Azure beheerde schijven (OS- en gegevensschijven) wanneer deze in rusttoestand in de cloud worden opgeslagen. Schijven met versleuteling op host ingeschakeld, worden echter niet versleuteld via Azure Storage. Voor schijven met versleuteling op de host ingeschakeld, biedt de server die als host fungeert voor uw VM de versleuteling voor uw gegevens en die versleutelde gegevens stromen naar Azure Storage.

Gegevens in Azure beheerde schijven worden transparant versleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en compatibel is met FIPS 140-2. Zie Cryptography API: Next Generation voor meer informatie over de cryptografische modules die de onderliggende beheerde schijven van Azure vormen.

Azure Storage versleuteling geen invloed heeft op de prestaties van beheerde schijven en er zijn geen extra kosten. Zie Azure Storage-versleuteling voor meer informatie over Azure Storage-versleuteling.

Belangrijk

Tijdelijke schijven zijn geen beheerde schijven en worden niet versleuteld door SSE, tenzij u versleuteling op de host inschakelt.

Azure VM's die versie 5 en hoger zijn (zoals Dsv5 of Dsv6), versleutelen automatisch hun tijdelijke schijven en (als ze in gebruik zijn) hun tijdelijke besturingssysteemschijven met gegevensversleuteling in rust.

Over versleutelingssleutelbeheer

U kunt gebruikmaken van door het platform beheerde sleutels voor de versleuteling van uw beheerde schijf of u kunt versleuteling beheren met behulp van uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, kunt u een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van alle gegevens in beheerde schijven.

De volgende secties beschrijven elk van de opties voor sleutelbeheer in meer detail.

Door platform beheerde sleutels

Beheerde schijven maken standaard gebruik van door het platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, installatiekopieën en gegevens die naar bestaande beheerde schijven worden geschreven, worden automatisch versleuteld met door platform beheerde sleutels. Door platform beheerde sleutels worden beheerd door Microsoft.

Door klant beheerde sleutels

U kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Door de klant beheerde sleutels bieden meer flexibiliteit om toegangsbeheer te beheren.

U moet een van de volgende Azure sleutelarchieven gebruiken om uw door de klant beheerde sleutels op te slaan:

• Azure Key Vault (Premium-laag aanbevolen voor sleutelbeveiliging met HSM-ondersteuning)
• Azure Key Vault Managed Hardware Security Module (HSM)

U kunt uw RSA-sleutels importeren in uw Azure Key Vault of nieuwe RSA-sleutels genereren in Azure Key Vault. Azure beheerde schijven de versleuteling en ontsleuteling op een volledig transparante manier verwerken met behulp van envelopversleuteling. Het versleutelt gegevens met behulp van een op AES 256 gebaseerde gegevensversleutelingssleutel (DEK), die op zijn beurt wordt beveiligd met behulp van uw sleutels. De Storage-service genereert gegevensversleutelingssleutels en versleutelt deze met door de klant beheerde sleutels met behulp van RSA-versleuteling. Met de envelopversleuteling kunt u uw sleutels periodiek draaien (wijzigen) volgens uw nalevingsbeleid zonder dat dit van invloed is op uw VM's. Wanneer u uw sleutels roteert, worden de gegevensversleutelingssleutels opnieuw verpakt met de nieuwe door de klant beheerde sleutelversie. De onderliggende schijfgegevens zelf worden niet opnieuw versleuteld. Zowel oude als nieuwe sleutelversies moeten ingeschakeld blijven totdat het opnieuw verpakken is voltooid.

Beheerde schijven en de Key Vault of beheerde HSM moeten zich in dezelfde Azure regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Ze moeten zich ook in dezelfde Microsoft Entra-tenant bevinden, tenzij u beheerste schijven versleutelt met door de klant beheerde sleutels die tenants overschrijden.

Volledige controle over uw sleutels

U moet toegang verlenen tot beheerde schijven in uw Key Vault of beheerde HSM om uw sleutels te gebruiken voor het versleutelen en ontsleutelen van de DEK. Hierdoor hebt u volledige controle over uw gegevens en sleutels. U kunt uw sleutels uitschakelen of de toegang tot beheerde schijven op elk gewenst moment intrekken. U kunt ook het gebruik van de versleutelingssleutel controleren met Azure Key Vault bewaking om ervoor te zorgen dat alleen beheerde schijven of andere vertrouwde Azure-services toegang hebben tot uw sleutels.

Belangrijk

Wanneer een sleutel is uitgeschakeld, verwijderd of verlopen, worden vm's met een besturingssysteem of gegevensschijven die deze sleutel gebruiken, automatisch afgesloten. Na het automatisch afsluiten worden VM's pas opnieuw opgestart als de sleutel opnieuw is ingeschakeld of u wijst een nieuwe sleutel toe.

Over het algemeen mislukken schijf-I/O (lees- of schrijfbewerkingen) één uur nadat een sleutel is uitgeschakeld, verwijderd of verlopen.

In het volgende diagram ziet u hoe beheerde schijven gebruikmaken van Microsoft Entra ID en Azure Key Vault om aanvragen te doen met behulp van de door de klant beheerde sleutel:

In de volgende lijst wordt het diagram uitgebreider uitgelegd:

1. Een Azure Key Vault-beheerder maakt Key Vault-resources.
2. De key vault-beheerder importeert de RSA-sleutels in Key Vault of genereert nieuwe RSA-sleutels in Key Vault.
3. Deze beheerder maakt een exemplaar van de resource Schijfversleutelingsset, waarbij een Azure Key Vault-id en een sleutel-URL worden opgegeven. Schijfversleutelingsset is een nieuwe resource die is geïntroduceerd om het sleutelbeheer voor beheerde schijven te vereenvoudigen.
4. Wanneer een schijfversleutelingsset wordt gemaakt, wordt er een door het systeem toegewezen beheerde identiteit gemaakt in Microsoft Entra ID en gekoppeld aan de schijfversleutelingsset.
5. De beheerder van de Azure sleutelkluis verleent vervolgens de beheerde identiteit toestemming om bewerkingen uit te voeren in de sleutelkluis.
6. Een VM-gebruiker maakt schijven door deze te koppelen aan de schijfversleutelingsset. De VM-gebruiker kan ook versleuteling aan de serverzijde inschakelen met door de klant beheerde sleutels voor bestaande resources door deze te koppelen aan de schijfversleutelingsset.
7. Beheerde schijven gebruiken de beheerde identiteit om aanvragen naar de Azure Key Vault te verzenden.
8. Voor het lezen of schrijven van gegevens verzendt beheerde schijven aanvragen naar Azure Key Vault om de gegevensversleutelingssleutel te versleutelen (verpakken) en ontsleutelen (uitpakken) om versleuteling en ontsleuteling van de gegevens uit te voeren.

Zie Azure Key Vault PowerShell en Azure Key Vault CLI om de toegang tot door de klant beheerde sleutels in te trekken. Het intrekken van toegang blokkeert de toegang tot alle gegevens in het opslagaccount, omdat de versleutelingssleutel niet toegankelijk is door Azure Storage.

Automatische sleutelrotatie van door de klant beheerde sleutels

Als u door de klant beheerde sleutels gebruikt, moet u in het algemeen automatische sleutelrotatie inschakelen naar de nieuwste sleutelversie. Met automatische sleutelrotatie kunt u ervoor zorgen dat uw sleutels veilig zijn. Een schijf verwijst naar een sleutel via de schijfversleutelingsset. Wanneer u automatische rotatie inschakelt voor een schijfversleutelingsset, worden alle beheerde schijven, momentopnamen en installatiekopieën die verwijzen naar de schijfversleutelingsset automatisch bijgewerkt om binnen één uur de nieuwe versie van de sleutel te gebruiken. Zie Set een Azure Key Vault en DiskEncryptionSet instellen met automatische sleutelrotatie voor meer informatie over het inschakelen van door de klant beheerde sleutels met automatische sleutelrotatie.

Notitie

Virtuele Machines worden niet opnieuw opgestart tijdens automatische sleutelrotatie.

Als u automatische sleutelrotatie niet kunt inschakelen, kunt u andere methoden gebruiken om u te waarschuwen voordat sleutels verlopen. Op deze manier kunt u ervoor zorgen dat u uw sleutels roteert voordat ze verlopen en de bedrijfscontinuïteit behoudt. U kunt een Azure Policy of Azure Event Grid gebruiken om een melding te verzenden wanneer een sleutel binnenkort verloopt.

Beperkingen

Op dit moment hebben door de klant beheerde sleutels de volgende beperkingen:

• Als deze functie is ingeschakeld voor een schijf met incrementele momentopnamen, kan deze niet worden uitgeschakeld op die schijf of de bijbehorende momentopnamen. U kunt dit omzeilen door alle gegevens te kopiëren naar een volledig andere beheerde schijf die geen door de klant beheerde sleutels gebruikt. U kunt dit doen met de Azure CLI of de module Azure PowerShell.
• Een schijf en alle bijbehorende incrementele momentopnamen moeten dezelfde schijfversleutelingsset hebben.
• Alleen software- en HSM RSA-sleutels van grootten 2048-bits, 3072-bits en 4.096-bits worden ondersteund, geen andere sleutels of grootten.
  • voor HSM-sleutels is de premiumlaag van Azure Sleutelkluizen vereist.
• Alleen voor Ultra Disks en Premium SSD v2-schijven:
  • (Preview) Door de gebruiker toegewezen beheerde identiteiten zijn beschikbaar voor Ultra Disks- en Premium SSD v2-schijven die zijn versleuteld met door de klant beheerde sleutels.
• De meeste resources met betrekking tot uw door de klant beheerde sleutels (schijfversleutelingssets, VM's, schijven en momentopnamen) moeten zich in hetzelfde abonnement en dezelfde regio bevinden.
  • Azure Key Vaults kunnen worden gebruikt vanuit een ander abonnement, maar moeten zich in dezelfde regio bevinden als uw schijfversleutelingsset. Azure Key Vaults in verschillende Microsoft Entra tenants worden ondersteund voor beheerde schijven. Zie Beheerde schijven versleutelen met door de klant beheerde sleutels voor meerdere tenants voor meer informatie.
• Schijven die zijn versleuteld met door de klant beheerde sleutels, kunnen alleen worden verplaatst naar een andere resourcegroep als de virtuele machine waaraan ze gekoppeld zijn, gedealloceerd is.
• Schijven, momentopnamen en afbeeldingen die zijn versleuteld met klant-beheerde sleutels, kunnen niet worden verplaatst tussen abonnementen.
• Beheerde schijven die momenteel of eerder zijn versleuteld met Azure Disk Encryption kunnen niet worden versleuteld met door de klant beheerde sleutels.
• Kan maximaal 5000 schijfversleutelingssets per regio per abonnement maken.
• Voor informatie over het gebruik van door de klant beheerde sleutels met gedeelde afbeeldingsgalerijen, zie Preview: door de klant beheerde sleutels gebruiken voor het versleutelen van afbeeldingen.

Ondersteunde regio’s

Door de klant beheerde sleutels zijn beschikbaar in alle regio's waar beheerde schijven beschikbaar zijn.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure resources, een functie van Microsoft Entra ID. Wanneer u klantbeheerde sleutels configureert, wordt er automatisch een beheerde identiteit toegewezen aan uw resources achter de schermen. Als u vervolgens het abonnement, de resourcegroep of de beheerde schijf van de ene Microsoft Entra map naar een andere verplaatst, wordt de beheerde identiteit die is gekoppeld aan beheerde schijven niet overgebracht naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Transferring van een abonnement tussen Microsoft Entra mappen voor meer informatie.

Zie onze artikelen over het inschakelen van door de klant beheerde sleutels voor beheerde schijven met de Azure PowerShell module, de Azure CLI of de Azure portal.

Zie Een beheerde schijf maken op basis van een momentopname met CLI voor een codevoorbeeld.

Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens

Wanneer u versleuteling inschakelt op de host, wordt die versleuteling gestart op de VM-host zelf, de Azure-server waaraan uw VIRTUELE machine is toegewezen. De gegevens voor de tijdelijke schijf en de cache van de besturingssysteem/gegevensschijf worden opgeslagen op die VM-host. Nadat versleuteling op de host is ingeschakeld, worden al deze gegevens versleuteld opgeslagen en versleuteld overgedragen naar de Storage-service, waar ze worden bewaard. Versleuteling op host versleutelt in wezen uw gegevens van end-to-end. Versleuteling op de host maakt geen gebruik van de CPU van uw VIRTUELE machine en heeft geen invloed op de prestaties van uw VM.

Tijdelijke schijven en tijdelijke besturingssysteemschijven worden in rust versleuteld met door het platform beheerde sleutels wanneer u end-to-end-versleuteling inschakelt. De caches van het besturingssysteem en de gegevensschijf worden in rust versleuteld met door de klant beheerde of platformbeheerde sleutels, afhankelijk van het geselecteerde schijfversleutelingstype. Als een schijf bijvoorbeeld is versleuteld met door de klant beheerde sleutels, wordt de cache voor de schijf versleuteld met door de klant beheerde sleutels en als een schijf is versleuteld met door het platform beheerde sleutels, wordt de cache voor de schijf versleuteld met door platform beheerde sleutels.

Beperkingen

• Kan niet worden ingeschakeld op virtuele machines (VM's) of virtuele-machineschaalsets die momenteel of ooit Azure Disk Encryption hebben gehad.
• Azure Disk Encryption kan niet worden ingeschakeld op schijven waarvoor versleuteling is ingeschakeld op de host.
• De versleuteling kan worden ingeschakeld voor bestaande virtuele machineschaalsets. Alleen nieuwe VIRTUELE machines die zijn gemaakt nadat de versleuteling is ingeschakeld, worden echter automatisch versleuteld.
• Bestaande virtuele machines moeten gedealloceerd en opnieuw toegewezen worden om te kunnen worden versleuteld.

De volgende beperkingen gelden alleen voor Ultra Disks en Premium SSD v2:

• Schijven met een sectorgrootte van 512e moeten na 13-5-2023 zijn gemaakt.
  • Als uw schijf vóór deze datum is gemaakt, maakt u een momentopname van de schijf en maakt u een nieuwe schijf met behulp van de momentopname.

Ondersteunde VM-grootten

De volledige lijst met ondersteunde VM-grootten kan programmatisch worden opgehaald. Raadpleeg de sectie over het vinden van ondersteunde VM-groottes in de Azure PowerShell module of Azure CLI artikelen voor meer informatie over het programmatisch ophalen.

Als u end-to-end-versleuteling wilt inschakelen met behulp van versleuteling op host, raadpleegt u onze artikelen over het inschakelen van de Azure PowerShell module, de Azure CLI of de Azure portal.

Dubbele versleuteling van opgeslagen gegevens

Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat is verbonden aan een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen nu kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. Deze nieuwe laag kan worden toegepast op persistente besturingssysteem- en gegevensschijven, momentopnamen en installatiekopieën, die allemaal in rust worden versleuteld met dubbele versleuteling.

Beperkingen

Dubbele versleuteling in rust wordt op dit moment niet ondersteund bij Ultra Disks of Premium SSD v2-schijven.

Als u dubbele versleuteling-at-rest wilt inschakelen voor beheerde schijven, raadpleegt u Dubbele versleuteling in rust inschakelen voor beheerde schijven.

Versleuteling op host versus Azure schijfversleuteling

Azure Disk Encryption maakt gebruik van de functie DM-Crypt van Linux of de functie BitLocker van Windows om beheerde schijven te versleutelen met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met versleuteling op de host biedt verbeteringen ten opzichte van ADE. Met versleuteling op host worden gegevens voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches opgeslagen op die VM-host. Nadat versleuteling op de host is ingeschakeld, worden al deze gegevens versleuteld opgeslagen en versleuteld overgedragen naar de Storage-service, waar ze worden bewaard. Versleuteling op host versleutelt in wezen uw gegevens van end-to-end. Versleuteling op de host maakt geen gebruik van de CPU van uw VIRTUELE machine en heeft geen invloed op de prestaties van uw VM.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure resources, een functie van Microsoft Entra ID. Wanneer u klantbeheerde sleutels configureert, wordt er automatisch een beheerde identiteit toegewezen aan uw resources achter de schermen. Als u vervolgens het abonnement, de resourcegroep of de beheerde schijf van de ene Microsoft Entra map naar een andere verplaatst, wordt de beheerde identiteit die is gekoppeld aan beheerde schijven niet overgebracht naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Transferring van een abonnement tussen Microsoft Entra mappen voor meer informatie.

Volgende stappen

• Schakel end-to-end-versleuteling in met behulp van versleuteling op de host met de module Azure PowerShell, de Azure CLI of de Azure portal.
• Als u dubbele versleuteling-at-rest wilt inschakelen voor beheerde schijven, raadpleegt u Dubbele versleuteling in rust inschakelen voor beheerde schijven.
• Schakel door de klant beheerde sleutels in voor beheerde schijven met de module Azure PowerShell, de Azure CLI of de Azure portal.
• Migrate van Azure Disk Encryption naar versleuteling aan serverzijde
• Exploreer de Azure Resource Manager-sjablonen voor het maken van versleutelde schijven met door de klant beheerde sleutels
• Wat is Azure Key Vault?