Dit artikel bevat antwoorden op veelgestelde vragen (FAQ) over Azure Disk Encryption voor virtuele Linux-machines (VM's). Zie het overzicht van Azure Disk Encryption voor meer informatie over deze service.
Wat is Azure Disk Encryption voor Linux-VM's?
Azure Disk Encryption voor Linux-VM's maakt gebruik van de dm-crypt-functie van Linux om volledige schijfversleuteling van de besturingssysteemschijf* en gegevensschijven te bieden. Daarnaast biedt het versleuteling van de tijdelijke schijf wanneer u de functie EncryptFormatAll gebruikt. De inhoud stroomt versleuteld van de VIRTUELE machine naar de back-end van Storage. Zo biedt u end-to-end-versleuteling met een door de klant beheerde sleutel.
Waar is Azure Disk Encryption in algemene beschikbaarheid (GA)?
Azure Disk Encryption voor Linux-VM's is algemeen beschikbaar in alle openbare Azure-regio's.
Welke gebruikerservaringen zijn beschikbaar met Azure Disk Encryption?
Azure Disk Encryption GA ondersteunt Azure Resource Manager-sjablonen, Azure PowerShell en Azure CLI. De verschillende gebruikerservaringen bieden u flexibiliteit. U hebt drie verschillende opties voor het inschakelen van schijfversleuteling voor uw VM's. Zie Azure Disk Encryption-scenario's voor Linux voor meer informatie over de gebruikerservaring en stapsgewijze richtlijnen die beschikbaar zijn in Azure Disk Encryption.
Hoeveel kost Azure Disk Encryption?
Er worden geen kosten in rekening gebracht voor het versleutelen van VM-schijven met Azure Disk Encryption, maar er zijn kosten verbonden aan het gebruik van Azure Key Vault. Zie de pagina met prijzen voor Key Vault voor meer informatie over azure Key Vault-kosten.
Hoe kan ik Azure Disk Encryption gaan gebruiken?
Lees het overzicht van Azure Disk Encryption om aan de slag te gaan.
Welke VM-grootten en besturingssystemen ondersteunen Azure Disk Encryption?
In het overzichtsartikel over Azure Disk Encryption worden de VM-grootten en VM-besturingssystemen vermeld die Ondersteuning bieden voor Azure Disk Encryption.
Kan ik zowel opstart- als gegevensvolumes versleutelen met Azure Disk Encryption?
Ja, u kunt zowel opstart- als gegevensvolumes versleutelen, of u kunt het gegevensvolume versleutelen zonder eerst het besturingssysteemvolume te hoeven versleutelen.
Nadat u het besturingssysteemvolume hebt versleuteld, wordt het uitschakelen van versleuteling op het besturingssysteemvolume niet ondersteund. Voor Virtuele Linux-machines in een schaalset kan alleen het gegevensvolume worden versleuteld.
Kan ik een niet-gekoppeld volume versleutelen met Azure Disk Encryption?
Nee, Azure Disk Encryption versleutelt alleen gekoppelde volumes.
Wat is versleuteling aan de serverzijde van opslag?
Versleuteling aan de serverzijde versleutelt Azure Managed Disks in Azure Storage. Beheerde schijven worden standaard versleuteld met versleuteling aan de serverzijde met een door het platform beheerde sleutel (vanaf 10 juni 2017). U kunt versleuteling van beheerde schijven beheren met uw eigen sleutels door een door de klant beheerde sleutel op te geven. Zie voor meer informatie: Versleuteling aan de serverzijde van beheerde Azure-schijven.
Hoe verschilt Azure Disk Encryption van versleuteling aan de serverzijde met door de klant beheerde sleutel en wanneer moet ik elke oplossing gebruiken?
Azure Disk Encryption biedt end-to-end-versleuteling voor de besturingssysteemschijf, gegevensschijven en de tijdelijke schijf, met behulp van een door de klant beheerde sleutel.
- Als uw vereisten omvatten het versleutelen van alle bovenstaande en end-to-end-versleuteling, gebruikt u Azure Disk Encryption.
- Als uw vereisten bestaan uit het versleutelen van alleen data-at-rest met door de klant beheerde sleutel, gebruikt u versleuteling aan de serverzijde met door de klant beheerde sleutels. U kunt een schijf met zowel Azure Disk Encryption als Storage-versleuteling aan de serverzijde niet versleutelen met door de klant beheerde sleutels.
- Als uw Linux-distributie niet wordt vermeld onder ondersteunde besturingssystemen voor Azure Disk Encryption of als u een scenario gebruikt dat in de beperkingen wordt beschreven, kunt u overwegen versleuteling aan de serverzijde met door de klant beheerde sleutels.
- Als u met het beleid van uw organisatie inactieve inhoud kunt versleutelen met een door Azure beheerde sleutel, is er geen actie nodig. De inhoud wordt standaard versleuteld. Voor beheerde schijven wordt de inhoud in de opslag standaard versleuteld met versleuteling aan de serverzijde met een door het platform beheerde sleutel. De sleutel wordt beheerd door de Azure Storage-service.
Hoe kan ik geheimen of versleutelingssleutels draaien?
Als u geheimen wilt draaien, roept u dezelfde opdracht aan die u oorspronkelijk hebt gebruikt om schijfversleuteling in te schakelen, waarbij u een andere Sleutelkluis opgeeft. Als u de sleutelversleutelingssleutel wilt draaien, roept u dezelfde opdracht aan die u oorspronkelijk hebt gebruikt om schijfversleuteling in te schakelen, waarbij u de nieuwe sleutelversleuteling opgeeft.
Waarschuwing
- Als u Azure Disk Encryption eerder hebt gebruikt met de Microsoft Entra-app door Microsoft Entra-referenties op te geven om deze VIRTUELE machine te versleutelen, moet u deze optie blijven gebruiken om uw VIRTUELE machine te versleutelen. U kunt Azure Disk Encryption niet gebruiken op deze versleutelde VM, omdat dit geen ondersteund scenario is, wat betekent dat het overschakelen van de Microsoft Entra-toepassing voor deze versleutelde VM nog niet wordt ondersteund.
Hoe kan ik een sleutelversleutelingssleutel toevoegen of verwijderen als ik er oorspronkelijk geen heb gebruikt?
Als u een sleutelversleutelingssleutel wilt toevoegen, roept u de opdracht Enable opnieuw aan en geeft u de parameter voor de sleutelversleutelingssleutel door. Als u een sleutelversleutelingssleutel wilt verwijderen, roept u de opdracht Inschakelen opnieuw aan zonder de parameter voor de sleutelversleutelingssleutel.
Kunt u met Azure Disk Encryption uw eigen sleutel (BYOK) gebruiken?
Ja, u kunt uw eigen sleutelversleutelingssleutels opgeven. Deze sleutels worden beveiligd in Azure Key Vault. Dit is het sleutelarchief voor Azure Disk Encryption. Zie Een sleutelkluis voor Azure Disk Encryption maken en configureren voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels.
Kan ik een door Azure gemaakte sleutelversleutelingssleutel gebruiken?
Ja, u kunt Azure Key Vault gebruiken om een sleutelversleutelingssleutel te genereren voor azure-schijfversleuteling. Deze sleutels worden beveiligd in Azure Key Vault. Dit is het sleutelarchief voor Azure Disk Encryption. Zie Een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer informatie over de sleutelversleutelingssleutel.
Kan ik een on-premises sleutelbeheerservice of HSM gebruiken om de versleutelingssleutels te beveiligen?
U kunt de on-premises sleutelbeheerservice of HSM niet gebruiken om de versleutelingssleutels te beveiligen met Azure Disk Encryption. U kunt de Azure Key Vault-service alleen gebruiken om de versleutelingssleutels te beveiligen. Zie Voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels een sleutelkluis maken en configureren voor Azure Disk Encryption.
Wat zijn de vereisten voor het configureren van Azure Disk Encryption?
Er zijn vereisten voor Azure Disk Encryption. Zie het artikel Een sleutelkluis maken en configureren voor Azure Disk Encryption om een nieuwe sleutelkluis te maken of stel een bestaande sleutelkluis in voor toegang tot schijfversleuteling om versleuteling in te schakelen en geheimen en sleutels te beveiligen. Zie Voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels een sleutelkluis maken en configureren voor Azure Disk Encryption.
Wat zijn de vereisten voor het configureren van Azure Disk Encryption met een Microsoft Entra-app (vorige release)?
Er zijn vereisten voor Azure Disk Encryption. Zie azure Disk Encryption met Microsoft Entra ID-inhoud om een Microsoft Entra-toepassing te maken, een nieuwe sleutelkluis te maken of een bestaande sleutelkluis in te stellen voor toegang tot schijfversleuteling om versleuteling in te schakelen en geheimen en sleutels te beveiligen. Zie Voor meer informatie over de ondersteuningsscenario's voor sleutelversleutelingssleutels een sleutelkluis maken en configureren voor Azure Disk Encryption met Microsoft Entra-id.
Wordt Azure Disk Encryption nog steeds ondersteund met behulp van een Microsoft Entra-app (vorige release) ?
Ja. Schijfversleuteling met behulp van een Microsoft Entra-app wordt nog steeds ondersteund. Bij het versleutelen van nieuwe VM's is het echter raadzaam om de nieuwe methode te gebruiken in plaats van te versleutelen met een Microsoft Entra-app.
Kan ik VM's die zijn versleuteld met een Microsoft Entra-app migreren naar versleuteling zonder een Microsoft Entra-app?
Er is momenteel geen directe migratiepad voor machines die zijn versleuteld met een Microsoft Entra-app voor versleuteling zonder een Microsoft Entra-app. Daarnaast is er geen direct pad van versleuteling zonder een Microsoft Entra-app naar versleuteling met een AD-app.
Welke versie van Azure PowerShell ondersteunt Azure Disk Encryption?
Gebruik de nieuwste versie van de Azure PowerShell SDK om Azure Disk Encryption te configureren. Download de nieuwste versie van Azure PowerShell. Azure Disk Encryption wordt niet ondersteund door Azure SDK-versie 1.1.0.
Notitie
De preview-extensie Microsoft.OSTCExtension.AzureDiskEncryptionForLinux is afgeschaft. Deze extensie is gepubliceerd voor de preview-versie van Azure Disk Encryption. Gebruik de preview-versie van de extensie niet in uw test- of productie-implementatie.
Voor implementatiescenario's zoals Azure Resource Manager (ARM), waarbij u de Azure Disk Encryption-extensie voor Linux-VM moet implementeren om versleuteling op uw Linux IaaS-VM in te schakelen, moet u de ondersteunde extensie Microsoft.Azure.AzureDiskEncryptionForLinux gebruiken voor de productie van Azure-schijfversleuteling.
Kan ik Azure Disk Encryption toepassen op mijn aangepaste Linux-installatiekopie?
U kunt Azure Disk Encryption niet toepassen op uw aangepaste Linux-installatiekopie. Alleen de Galerie Linux-installatiekopieën voor de ondersteunde distributies die eerder worden genoemd, worden ondersteund. Aangepaste Linux-installatiekopieën worden momenteel niet ondersteund.
Kan ik updates toepassen op een Linux Red Hat-VM die gebruikmaakt van de yum-update?
Ja, u kunt een yum-update uitvoeren op een Red Hat Linux-VM. Zie Azure Disk Encryption in een geïsoleerd netwerk voor meer informatie.
Wat is de aanbevolen werkstroom voor Azure-schijfversleuteling voor Linux?
De volgende werkstroom wordt aanbevolen om de beste resultaten op Linux te hebben:
- Begin met de ongewijzigde installatiekopieën van de stockgalerie die overeenkomt met de benodigde distributie en versie van het besturingssysteem
- Maak een back-up van gekoppelde stations die worden versleuteld. Met deze back-up kunt u herstellen als er een fout optreedt, bijvoorbeeld als de VIRTUELE machine opnieuw wordt opgestart voordat versleuteling is voltooid.
- Versleutelen (kan enkele uren of zelfs dagen duren, afhankelijk van vm-kenmerken en grootte van gekoppelde gegevensschijven)
- Pas indien nodig software aan de installatiekopieën aan en voeg deze toe.
Als deze werkstroom niet mogelijk is, is het gebruik van Storage Service Encryption (SSE) op de platformopslagaccountlaag mogelijk een alternatief voor volledige schijfversleuteling met behulp van dm-crypt.
Wat is de schijf 'Bek Volume' of '/mnt/azure_bek_disk'?
Het 'Bek-volume' is een lokaal gegevensvolume waarmee de versleutelingssleutels voor versleutelde Azure-VM's veilig worden opgeslagen.
Notitie
Verwijder of bewerk geen inhoud op deze schijf. Ontkoppel de schijf niet omdat de aanwezigheid van de versleutelingssleutel nodig is voor versleutelingsbewerkingen op de IaaS-VM.
Welke versleutelingsmethode gebruikt Azure Disk Encryption?
Azure Disk Encryption maakt gebruik van de ontsleutelingsstandaard van aes-xts-plain64 met een 256-bits volumehoofdsleutel.
Als ik EncryptFormatAll gebruik en alle volumetypen opgeeft, worden de gegevens gewist op de gegevensstations die we al hebben versleuteld?
Nee, gegevens worden niet gewist van gegevensstations die al zijn versleuteld met Behulp van Azure Disk Encryption. Net zoals EncryptFormatAll het besturingssysteemstation niet opnieuw heeft versleuteld, wordt het al versleutelde gegevensstation niet opnieuw versleuteld. Zie de criteria EncryptFormatAll voor meer informatie.
Wordt het XFS-bestandssysteem ondersteund?
Versleuteling van XFS-besturingssysteemschijven wordt ondersteund.
Versleuteling van XFS-gegevensschijven wordt alleen ondersteund wanneer de parameter EncryptFormatAll wordt gebruikt. Hiermee wordt het volume opnieuw geformatteerd, waarbij alle gegevens die eerder daar zijn opgeslagen, worden bijgewerkt. Zie de criteria EncryptFormatAll voor meer informatie.
Wordt het formaat van de besturingssysteempartitie ondersteund?
Het formaat van een met ADE versleutelde besturingssysteemschijf wordt momenteel niet ondersteund.
Kan ik een back-up maken van een versleutelde VM en deze herstellen?
Azure Backup biedt een mechanisme voor het maken en herstellen van versleutelde VM's binnen hetzelfde abonnement en dezelfde regio. Zie Back-up maken en terugzetten van versleutelde virtuele machines met Azure Backup voor instructies. Het herstellen van een versleutelde VM naar een andere regio wordt momenteel niet ondersteund.
Waar kan ik vragen stellen of feedback geven?
U kunt vragen stellen of feedback geven op de microsoft Q&A-vragenpagina voor Azure Disk Encryption.
Volgende stappen
In dit document hebt u meer geleerd over de meest voorkomende vragen met betrekking tot Azure Disk Encryption. Zie de volgende artikelen voor meer informatie over deze service: