Delen via


Versleuteling van Azure Disk Storage aan serverzijde

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️

De meeste beheerde Azure-schijven worden versleuteld met Azure Storage-versleuteling, die gebruikmaakt van versleuteling aan de serverzijde (SSE) om uw gegevens te beveiligen en u te helpen voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Azure Storage-versleuteling versleutelt standaard automatisch uw gegevens die zijn opgeslagen op door Azure beheerde schijven (besturingssysteem en gegevensschijven) in rust wanneer deze in de cloud worden bewaard. Schijven met versleuteling op de host ingeschakeld, worden echter niet versleuteld via Azure Storage. Voor schijven met versleuteling op de host ingeschakeld, biedt de server die als host fungeert voor uw VM de versleuteling voor uw gegevens en die versleutelde gegevens stromen naar Azure Storage.

Gegevens in beheerde Azure-schijven worden transparant versleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en die compatibel zijn met FIPS 140-2. Zie Cryptografie-API: Volgende generatie voor meer informatie over de cryptografische modules die onderliggende door Azure beheerde schijven zijn

Azure Storage-versleuteling heeft geen invloed op de prestaties van beheerde schijven en er zijn geen extra kosten. Zie Azure Storage-versleuteling voor meer informatie over Azure Storage-versleuteling.

Notitie

Tijdelijke schijven zijn geen beheerde schijven en worden niet versleuteld door SSE, tenzij u versleuteling op de host inschakelt.

Over versleutelingssleutelbeheer

U kunt gebruikmaken van door het platform beheerde sleutels voor de versleuteling van uw beheerde schijf of u kunt versleuteling beheren met behulp van uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, kunt u een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van alle gegevens in beheerde schijven.

De volgende secties beschrijven elk van de opties voor sleutelbeheer in meer detail.

Door platform beheerde sleutels

Beheerde schijven maken standaard gebruik van door het platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, installatiekopieën en gegevens die naar bestaande beheerde schijven worden geschreven, worden automatisch versleuteld met door platform beheerde sleutels. Door platform beheerde sleutels worden beheerd door Microsoft.

Door klant beheerde sleutels

U kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Door de klant beheerde sleutels bieden meer flexibiliteit om toegangsbeheer te beheren.

U moet een van de volgende Azure-sleutelarchieven gebruiken om uw door de klant beheerde sleutels op te slaan:

U kunt uw RSA-sleutels importeren in uw Key Vault of nieuwe RSA-sleutels genereren in Azure Key Vault. Azure Managed Disks verwerkt de versleuteling en ontsleuteling op een volledig transparante manier met behulp van envelopversleuteling. Het versleutelt gegevens met behulp van een op AES 256 gebaseerde gegevensversleutelingssleutel (DEK), die op zijn beurt wordt beveiligd met behulp van uw sleutels. De Storage-service genereert gegevensversleutelingssleutels en versleutelt deze met door de klant beheerde sleutels met behulp van RSA-versleuteling. Met de envelopversleuteling kunt u uw sleutels periodiek draaien (wijzigen) volgens uw nalevingsbeleid zonder dat dit van invloed is op uw VM's. Wanneer u uw sleutels roteert, versleutelt de Storage-service de gegevensversleutelingssleutels opnieuw met de nieuwe door de klant beheerde sleutels.

Beheerde schijven en de Key Vault of beheerde HSM moeten zich in dezelfde Azure-regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Ze moeten zich ook in dezelfde Microsoft Entra-tenant bevinden, tenzij u Beheerde schijven versleutelt met door de klant beheerde sleutels (preview) tussen tenants.

Volledige controle over uw sleutels

U moet toegang verlenen tot beheerde schijven in uw Key Vault of beheerde HSM om uw sleutels te gebruiken voor het versleutelen en ontsleutelen van de DEK. Hierdoor hebt u volledige controle over uw gegevens en sleutels. U kunt uw sleutels uitschakelen of de toegang tot beheerde schijven op elk gewenst moment intrekken. U kunt ook het gebruik van de versleutelingssleutel controleren met Azure Key Vault-bewaking om ervoor te zorgen dat alleen beheerde schijven of andere vertrouwde Azure-services toegang hebben tot uw sleutels.

Belangrijk

Wanneer een sleutel is uitgeschakeld, verwijderd of verlopen, worden vm's met een besturingssysteem of gegevensschijven die deze sleutel gebruiken, automatisch afgesloten. Na het automatisch afsluiten worden VM's pas opnieuw opgestart als de sleutel opnieuw is ingeschakeld of u wijst een nieuwe sleutel toe.

Over het algemeen mislukken schijf-I/O (lees- of schrijfbewerkingen) één uur nadat een sleutel is uitgeschakeld, verwijderd of verlopen.

In het volgende diagram ziet u hoe beheerde schijven gebruikmaken van Microsoft Entra ID en Azure Key Vault om aanvragen te doen met behulp van de door de klant beheerde sleutel:

Diagram van de werkstroom voor beheerde schijven en door de klant beheerde sleutels. Een beheerder maakt een Azure Key Vault, maakt vervolgens een schijfversleutelingsset en stelt de schijfversleutelingsset in. De set is gekoppeld aan een virtuele machine, waarmee de schijf gebruik kan maken van Microsoft Entra-id om te verifiëren

In de volgende lijst wordt het diagram uitgebreider uitgelegd:

  1. Een Azure Key Vault-beheerder maakt key vault-resources.
  2. De key vault-beheerder importeert de RSA-sleutels in Key Vault of genereert nieuwe RSA-sleutels in Key Vault.
  3. Deze beheerder maakt een exemplaar van de resource Schijfversleutelingsset, waarbij een Azure Key Vault-id en een sleutel-URL worden opgegeven. Schijfversleutelingsset is een nieuwe resource die is geïntroduceerd om het sleutelbeheer voor beheerde schijven te vereenvoudigen.
  4. Wanneer een schijfversleutelingsset wordt gemaakt, wordt er een door het systeem toegewezen beheerde identiteit gemaakt in Microsoft Entra-id en gekoppeld aan de schijfversleutelingsset.
  5. De Azure Key Vault-beheerder verleent vervolgens de beheerde identiteit toestemming om bewerkingen uit te voeren in de sleutelkluis.
  6. Een VM-gebruiker maakt schijven door deze te koppelen aan de schijfversleutelingsset. De VM-gebruiker kan ook versleuteling aan de serverzijde inschakelen met door de klant beheerde sleutels voor bestaande resources door deze te koppelen aan de schijfversleutelingsset.
  7. Beheerde schijven gebruiken de beheerde identiteit om aanvragen naar Azure Key Vault te verzenden.
  8. Voor het lezen of schrijven van gegevens verzendt beheerde schijven aanvragen naar Azure Key Vault om de gegevensversleutelingssleutel te versleutelen (verpakken) en ontsleutelen (uitpakken) om versleuteling en ontsleuteling van de gegevens uit te voeren.

Als u de toegang tot door de klant beheerde sleutels wilt intrekken, raadpleegt u Azure Key Vault PowerShell en Azure Key Vault CLI. Het intrekken van toegang blokkeert de toegang tot alle gegevens in het opslagaccount, omdat de versleutelingssleutel niet toegankelijk is door Azure Storage.

Automatische sleutelrotatie van door de klant beheerde sleutels

Als u door de klant beheerde sleutels gebruikt, moet u in het algemeen automatische sleutelrotatie inschakelen naar de nieuwste sleutelversie. Met automatische sleutelrotatie kunt u ervoor zorgen dat uw sleutels veilig zijn. Een schijf verwijst naar een sleutel via de schijfversleutelingsset. Wanneer u automatische rotatie inschakelt voor een schijfversleutelingsset, worden alle beheerde schijven, momentopnamen en installatiekopieën die verwijzen naar de schijfversleutelingsset automatisch bijgewerkt om binnen één uur de nieuwe versie van de sleutel te gebruiken. Zie Een Azure Key Vault en DiskEncryptionSet instellen met automatische sleutelrotatie voor meer informatie over het inschakelen van door de klant beheerde sleutels met automatische sleutelrotatie.

Notitie

Virtuele machines worden niet opnieuw opgestart tijdens automatische sleutelrotatie.

Als u automatische sleutelrotatie niet kunt inschakelen, kunt u andere methoden gebruiken om u te waarschuwen voordat sleutels verlopen. Op deze manier kunt u ervoor zorgen dat u uw sleutels roteert voordat u verloopt en bedrijfscontinuïteit behoudt. U kunt een Azure Policy of Azure Event Grid gebruiken om een melding te verzenden wanneer een sleutel binnenkort verloopt.

Beperkingen

Op dit moment hebben door de klant beheerde sleutels de volgende beperkingen:

  • Als deze functie is ingeschakeld voor een schijf met incrementele momentopnamen, kan deze niet worden uitgeschakeld op die schijf of de bijbehorende momentopnamen. U kunt dit omzeilen door alle gegevens te kopiëren naar een volledig andere beheerde schijf die geen door de klant beheerde sleutels gebruikt. U kunt dit doen met de Azure CLI of de Azure PowerShell-module.
  • Een schijf en alle bijbehorende incrementele momentopnamen moeten dezelfde schijfversleutelingsset hebben.
  • Alleen software- en HSM RSA-sleutels van grootten 2048-bits, 3072-bits en 4.096-bits worden ondersteund, geen andere sleutels of grootten.
    • HSM-sleutels vereisen de Premium-laag van Azure Key Vaults.
  • Alleen voor Ultra Disks en Premium SSD v2-schijven:
    • Schijven die zijn gemaakt op basis van momentopnamen die zijn versleuteld met versleuteling aan de serverzijde en door de klant beheerde sleutels, moeten worden versleuteld met dezelfde schijfversleutelingsset.
    • Door de gebruiker toegewezen beheerde identiteiten worden niet ondersteund voor Ultra Disks- en Premium SSD v2-schijven die zijn versleuteld met door de klant beheerde sleutels.
    • Het versleutelen van Ultra Disks en Premium SSD v2-schijven met door de klant beheerde sleutels met behulp van Azure Key Vaults die zijn opgeslagen in een andere Microsoft Entra ID-tenant wordt momenteel niet ondersteund.
  • De meeste resources met betrekking tot uw door de klant beheerde sleutels (schijfversleutelingssets, VM's, schijven en momentopnamen) moeten zich in hetzelfde abonnement en dezelfde regio bevinden.
    • Azure Key Vaults kunnen worden gebruikt vanuit een ander abonnement, maar moeten zich in dezelfde regio bevinden als uw schijfversleutelingsset. Als preview-versie kunt u Azure Key Vaults van verschillende Microsoft Entra-tenants gebruiken.
  • Schijven die zijn versleuteld met door de klant beheerde sleutels, kunnen alleen worden verplaatst naar een andere resourcegroep als de virtuele machine waaraan ze zijn gekoppeld, ongedaan wordt gemaakt.
  • Schijven, momentopnamen en installatiekopieën die zijn versleuteld met door de klant beheerde sleutels, kunnen niet worden verplaatst tussen abonnementen.
  • Beheerde schijven die momenteel of eerder zijn versleuteld met Behulp van Azure Disk Encryption, kunnen niet worden versleuteld met door de klant beheerde sleutels.
  • Kan maximaal 5000 schijfversleutelingssets per regio per abonnement maken.
  • Zie Preview voor meer informatie over het gebruik van door de klant beheerde sleutels met galerieën met gedeelde installatiekopieën: door de klant beheerde sleutels gebruiken voor het versleutelen van afbeeldingen.

Ondersteunde regio’s

Door de klant beheerde sleutels zijn beschikbaar in alle regio's waar beheerde schijven beschikbaar zijn.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Microsoft Entra-id. Wanneer u door de klant beheerde sleutels configureert, wordt automatisch een beheerde identiteit toegewezen aan uw resources onder de dekking. Als u vervolgens het abonnement, de resourcegroep of de beheerde schijf verplaatst van de ene Microsoft Entra-map naar een andere, wordt de beheerde identiteit die is gekoppeld aan beheerde schijven niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen voor meer informatie.

Als u door de klant beheerde sleutels voor beheerde schijven wilt inschakelen, raadpleegt u onze artikelen over het inschakelen ervan met de Azure PowerShell-module, de Azure CLI of Azure Portal.

Zie Een beheerde schijf maken op basis van een momentopname met CLI voor een codevoorbeeld.

Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens

Wanneer u versleuteling inschakelt op de host, wordt die versleuteling gestart op de VM-host zelf, de Azure-server waaraan uw VIRTUELE machine is toegewezen. De gegevens voor de tijdelijke schijf en de cache van de besturingssysteem/gegevensschijf worden opgeslagen op die VM-host. Nadat versleuteling op de host is ingeschakeld, worden al deze gegevens in rust versleuteld en worden ze versleuteld naar de Storage-service, waar deze worden bewaard. Versleuteling op host versleutelt in wezen uw gegevens van end-to-end. Versleuteling op de host maakt geen gebruik van de CPU van uw VIRTUELE machine en heeft geen invloed op de prestaties van uw VM.

Tijdelijke schijven en tijdelijke besturingssysteemschijven worden in rust versleuteld met door het platform beheerde sleutels wanneer u end-to-end-versleuteling inschakelt. De caches van het besturingssysteem en de gegevensschijf worden in rust versleuteld met door de klant beheerde of platformbeheerde sleutels, afhankelijk van het geselecteerde schijfversleutelingstype. Als een schijf bijvoorbeeld is versleuteld met door de klant beheerde sleutels, wordt de cache voor de schijf versleuteld met door de klant beheerde sleutels en als een schijf is versleuteld met door het platform beheerde sleutels, wordt de cache voor de schijf versleuteld met door platform beheerde sleutels.

Beperkingen

  • Ondersteund voor 4k sectorgrootte Ultra Disks en Premium SSD v2.
  • Alleen ondersteund op 512e sectorgrootte Ultra Disks en Premium SSD v2 als ze na 5/13/2023 zijn gemaakt.
  • Kan niet worden ingeschakeld op virtuele machines (VM's) of virtuele-machineschaalsets waarvoor Momenteel of ooit Azure Disk Encryption is ingeschakeld.
  • Azure Disk Encryption kan niet worden ingeschakeld op schijven waarvoor versleuteling is ingeschakeld op de host.
  • De versleuteling kan worden ingeschakeld voor bestaande virtuele-machineschaalsets. Alleen nieuwe VIRTUELE machines die zijn gemaakt nadat de versleuteling is ingeschakeld, worden echter automatisch versleuteld.
  • Bestaande VM's moeten de toewijzing ongedaan worden gemaakt en opnieuw worden toegewezen om te kunnen worden versleuteld.

Ondersteunde VM-grootten

De volledige lijst met ondersteunde VM-grootten kan programmatisch worden opgehaald. Als u wilt weten hoe u ze programmatisch ophaalt, raadpleegt u de sectie ondersteunde VM-grootten van de Azure PowerShell-module of Azure CLI-artikelen .

Als u end-to-end-versleuteling met behulp van versleuteling op host wilt inschakelen, raadpleegt u onze artikelen over het inschakelen ervan met de Azure PowerShell-module, de Azure CLI of Azure Portal.

Dubbele versleuteling-at-rest

Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat is verbonden aan een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen nu kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. Deze nieuwe laag kan worden toegepast op persistente besturingssysteem- en gegevensschijven, momentopnamen en installatiekopieën, die allemaal in rust worden versleuteld met dubbele versleuteling.

Beperkingen

Dubbele versleuteling-at-rest wordt momenteel niet ondersteund met Ultra Disks of Premium SSD v2-schijven.

Als u dubbele versleuteling-at-rest wilt inschakelen voor beheerde schijven, raadpleegt u Dubbele versleuteling in rust inschakelen voor beheerde schijven.

Versleuteling aan serverzijde versus Azure-schijfversleuteling

Azure Disk Encryption maakt gebruik van de DM-Crypt-functie van Linux of de BitLocker-functie van Windows voor het versleutelen van beheerde schijven met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert de ADE doordat u alle typen besturingssystemen en installatiekopieën voor uw VM's kunt gebruiken door gegevens in de Storage-service te versleutelen.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Microsoft Entra-id. Wanneer u door de klant beheerde sleutels configureert, wordt automatisch een beheerde identiteit toegewezen aan uw resources onder de dekking. Als u vervolgens het abonnement, de resourcegroep of de beheerde schijf van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die is gekoppeld aan beheerde schijven niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen voor meer informatie.

Volgende stappen