Szyfrowanie po stronie serwera usługi Azure Disk Storage

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows — elastyczne zestawy ✔️ ✔️ skalowania

Większość dysków zarządzanych platformy Azure jest szyfrowana za pomocą szyfrowania usługi Azure Storage, który używa szyfrowania po stronie serwera (SSE) do ochrony danych i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Szyfrowanie usługi Azure Storage automatycznie szyfruje dane przechowywane na dyskach zarządzanych platformy Azure (dyskach systemu operacyjnego i danych) magazynowanych domyślnie podczas utrwalania ich w chmurze. Dyski z szyfrowaniem na hoście włączone nie są jednak szyfrowane za pośrednictwem usługi Azure Storage. W przypadku dysków z włączonym szyfrowaniem na hoście serwer hostujący maszynę wirtualną zapewnia szyfrowanie danych oraz że zaszyfrowane dane przepływają do usługi Azure Storage.

Dane na dyskach zarządzanych platformy Azure są szyfrowane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja)

Szyfrowanie usługi Azure Storage nie ma wpływu na wydajność dysków zarządzanych i nie ma dodatkowych kosztów. Aby uzyskać więcej informacji na temat szyfrowania usługi Azure Storage, zobacz Szyfrowanie w usłudze Azure Storage.

Uwaga

Dyski tymczasowe nie są dyskami zarządzanymi i nie są szyfrowane przez funkcję SSE, chyba że włączono szyfrowanie na hoście.

Informacje o zarządzaniu kluczami szyfrowania

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania dysku zarządzanego lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.

W poniższych sekcjach opisano szczegółowo każdą z opcji zarządzania kluczami.

Klucze zarządzane przez platformę

Domyślnie dyski zarządzane używają kluczy szyfrowania zarządzanych przez platformę. Wszystkie dyski zarządzane, migawki, obrazy i dane zapisywane na istniejących dyskach zarządzanych są automatycznie szyfrowane za pomocą kluczy zarządzanych przez platformę.

Klucze zarządzane przez klienta

Możesz zarządzać szyfrowaniem na poziomie każdego dysku zarządzanego przy użyciu własnych kluczy. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu.

Aby przechowywać klucze zarządzane przez klienta, należy użyć jednego z następujących magazynów kluczy platformy Azure:

Klucze RSA można zaimportować do Key Vault lub wygenerować nowe klucze RSA w usłudze Azure Key Vault. Dyski zarządzane platformy Azure obsługują szyfrowanie i odszyfrowywanie w sposób w pełni przezroczysty przy użyciu szyfrowania kopert. Szyfruje dane przy użyciu klucza szyfrowania danych opartego na protokole AES 256 (DEK), który jest z kolei chroniony przy użyciu kluczy. Usługa Storage generuje klucze szyfrowania danych i szyfruje je przy użyciu kluczy zarządzanych przez klienta przy użyciu szyfrowania RSA. Szyfrowanie koperty umożliwia okresowe obracanie (zmienianie) kluczy zgodnie z zasadami zgodności bez wpływu na maszyny wirtualne. Po rotacji kluczy usługa Storage ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy zarządzanych przez klienta.

Dyski zarządzane i Key Vault lub zarządzany moduł HSM muszą znajdować się w tym samym regionie świadczenia usługi Azure, ale mogą znajdować się w różnych subskrypcjach. Muszą one również znajdować się w tej samej dzierżawie usługi Azure Active Directory (Azure AD), chyba że używasz funkcji Szyfruj dyski zarządzane przez wielu dzierżawców z kluczami zarządzanymi przez klienta (wersja zapoznawcza).

Pełna kontrola kluczy

Musisz udzielić dostępu do dysków zarządzanych w Key Vault lub zarządzanym module HSM, aby używać kluczy do szyfrowania i odszyfrowywania klucza szyfrowania i odszyfrowywania klucza szyfrowania. Umożliwia to pełną kontrolę nad danymi i kluczami. Klucze można wyłączyć lub odwołać dostęp do dysków zarządzanych w dowolnym momencie. Możesz również przeprowadzić inspekcję użycia klucza szyfrowania za pomocą monitorowania usługi Azure Key Vault, aby upewnić się, że tylko dyski zarządzane lub inne zaufane usługi platformy Azure uzyskują dostęp do kluczy.

Gdy klucz jest wyłączony, usunięty lub wygasł, wszystkie maszyny wirtualne z dyskami używającymi tego klucza zostaną automatycznie zamknięte. Następnie maszyny wirtualne nie będą używane, chyba że klucz zostanie ponownie włączony lub przypiszesz nowy klucz.

Uwaga

Zazwyczaj oczekuje się, że operacje we/wy dysku (operacje odczytu lub zapisu) zaczną działać 1 godzinę po wyłączeniu, usunięciu lub wygaśnięciu klucza.

Na poniższym diagramie pokazano, jak dyski zarządzane używają usług Azure Active Directory i Azure Key Vault do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:

Przepływ pracy zarządzanych dysków i kluczy zarządzanych przez klienta. Administrator tworzy Key Vault platformy Azure, a następnie tworzy zestaw szyfrowania dysków i konfiguruje zestaw szyfrowania dysków. Zestaw jest skojarzony z maszyną wirtualną, która umożliwia dyskowi korzystanie z Azure AD do uwierzytelniania

Poniższa lista zawiera bardziej szczegółowe informacje na temat diagramu:

  1. Administrator usługi Azure Key Vault tworzy zasoby magazynu kluczy.
  2. Administrator magazynu kluczy importuje swoje klucze RSA do Key Vault lub generuje nowe klucze RSA w Key Vault.
  3. Administrator tworzy wystąpienie zasobu Zestawu szyfrowania dysków, określając identyfikator Key Vault platformy Azure i klucz adresu URL. Zestaw szyfrowania dysków to nowy zasób wprowadzony w celu uproszczenia zarządzania kluczami dla dysków zarządzanych.
  4. Po utworzeniu zestawu szyfrowania dysków tożsamość zarządzana przypisana przez system jest tworzona w usłudze Azure Active Directory (AD) i skojarzona z zestawem szyfrowania dysków.
  5. Administrator usługi Azure Key Vault udziela następnie tożsamości zarządzanej uprawnień do wykonywania operacji w magazynie kluczy.
  6. Użytkownik maszyny wirtualnej tworzy dyski, kojarząc je z zestawem szyfrowania dysków. Użytkownik maszyny wirtualnej może również włączyć szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta dla istniejących zasobów, kojarząc je z zestawem szyfrowania dysków.
  7. Dyski zarządzane używają tożsamości zarządzanej do wysyłania żądań do usługi Azure Key Vault.
  8. W przypadku odczytywania lub zapisywania danych dyski zarządzane wysyłają żądania do platformy Azure Key Vault w celu szyfrowania (zawijania) i odszyfrowywania (odpakowywania) klucza szyfrowania danych w celu przeprowadzenia szyfrowania i odszyfrowywania danych.

Aby odwołać dostęp do kluczy zarządzanych przez klienta, zobacz Azure Key Vault PowerShell i interfejs wiersza polecenia usługi Azure Key Vault. Cofnięcie dostępu skutecznie blokuje dostęp do wszystkich danych na koncie magazynu, ponieważ klucz szyfrowania jest niedostępny przez usługę Azure Storage.

Automatyczna rotacja kluczy zarządzanych przez klienta

Możesz włączyć automatyczną rotację kluczy do najnowszej wersji klucza. Dysk odwołuje się do klucza za pośrednictwem zestawu szyfrowania dysków. Po włączeniu automatycznej rotacji dla zestawu szyfrowania dysków system automatycznie zaktualizuje wszystkie dyski zarządzane, migawki i obrazy odwołujące się do zestawu szyfrowania dysków, aby używać nowej wersji klucza w ciągu jednej godziny. Aby dowiedzieć się, jak włączyć klucze zarządzane przez klienta przy użyciu automatycznej rotacji kluczy, zobacz Konfigurowanie usługi Azure Key Vault i DiskEncryptionSet z automatyczną rotacją kluczy.

Uwaga

Virtual Machines nie zostaną ponownie uruchomione podczas automatycznej rotacji kluczy.

Ograniczenia

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:

  • Obsługiwane są tylko klucze oprogramowania i modułu HSM RSA o rozmiarach 2048-bitowych, 3072-bitowych i 4 096-bitowych, bez innych kluczy ani rozmiarów.
    • Klucze HSM wymagają warstwy Premium usługi Azure Key Vault.
  • Dyski utworzone na podstawie obrazów niestandardowych, które są szyfrowane przy użyciu szyfrowania po stronie serwera i kluczy zarządzanych przez klienta, muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta. Dyski i ich obrazy muszą znajdować się w tej samej subskrypcji, klucze używane do szyfrowania dysków mogą znajdować się w innej subskrypcji.
  • Migawki utworzone na podstawie dysków, które są szyfrowane za pomocą szyfrowania po stronie serwera i kluczy zarządzanych przez klienta, muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta.
  • Większość zasobów związanych z kluczami zarządzanymi przez klienta (zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) musi znajdować się w tej samej subskrypcji i regionie.
    • Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie co zestaw szyfrowania dysków. W wersji zapoznawczej możesz używać usługi Azure Key Vault z różnych dzierżaw usługi Azure Active Directory.
  • Dyski zaszyfrowane przy użyciu kluczy zarządzanych przez klienta mogą być przenoszone tylko do innej grupy zasobów, jeśli maszyna wirtualna, do której są dołączone, zostanie cofnięto przydział.
  • Nie można przenosić dysków, migawek i obrazów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta między subskrypcjami.
  • Dyski zarządzane obecnie lub wcześniej zaszyfrowane przy użyciu usługi Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.
  • Można utworzyć maksymalnie 5000 zestawów szyfrowania dysków na region na subskrypcję.
  • Aby uzyskać informacje na temat używania kluczy zarządzanych przez klienta z galeriami obrazów udostępnionych, zobacz Podgląd: używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.

Obsługiwane regiony

Klucze zarządzane przez klienta są dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure, funkcji usługi Azure Active Directory (Azure AD). Podczas konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach okładek. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu Azure AD do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami Azure AD.

Aby włączyć klucze zarządzane przez klienta dla dysków zarządzanych, zobacz nasze artykuły dotyczące sposobu włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.

Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej

Po włączeniu szyfrowania na hoście szyfrowanie jest uruchamiane na hoście maszyny wirtualnej, do którego jest przydzielana maszyna wirtualna. Dane dotyczące dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych są przechowywane na tym hoście maszyny wirtualnej. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage, gdzie są utrwalane. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie wpływa na wydajność maszyny wirtualnej.

Dyski tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania. Pamięci podręczne systemu operacyjnego i dysku danych są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez klienta lub zarządzanych przez platformę, w zależności od wybranego typu szyfrowania dysku. Jeśli na przykład dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Ograniczenia

  • Nie obsługuje dysków w warstwie Ultra ani dysków zarządzanych SSD w wersji 2 w warstwie Premium.
  • Nie można włączyć, jeśli usługa Azure Disk Encryption (szyfrowanie maszyny wirtualnej gościa przy użyciu funkcji bitlocker/DM-Crypt) jest włączona na maszynach wirtualnych lub w zestawach skalowania maszyn wirtualnych.
  • Usługi Azure Disk Encryption nie można włączyć na dyskach z włączonym szyfrowaniem na hoście.
  • Szyfrowanie można włączyć w istniejących zestawach skalowania maszyn wirtualnych. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są automatycznie szyfrowane.
  • Aby można było zaszyfrować istniejące maszyny wirtualne, należy cofnąć przydział i przydzielić przydział.
  • Obsługuje efemeryczne dyski systemu operacyjnego, ale tylko z kluczami zarządzanymi przez platformę.

Obsługiwane rozmiary maszyn wirtualnych

Pełną listę obsługiwanych rozmiarów maszyn wirtualnych można ściągnąć programowo. Aby dowiedzieć się, jak pobrać je programowo, zapoznaj się z sekcją znajdowanie obsługiwanych rozmiarów maszyn wirtualnych w artykule dotyczącym modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.

Podwójne szyfrowanie magazynowane

Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z jakimkolwiek konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą teraz zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanego przez platformę. Ta nowa warstwa może być stosowana do utrwalonego systemu operacyjnego i dysków danych, migawek i obrazów, z których wszystkie będą szyfrowane podczas magazynowania przy użyciu podwójnego szyfrowania.

Obsługiwane regiony

Podwójne szyfrowanie jest dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.

Aby włączyć podwójne szyfrowanie danych magazynowanych dla dysków zarządzanych, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.

Szyfrowanie po stronie serwera a szyfrowanie dysków platformy Azure

Usługa Azure Disk Encryption korzysta z funkcji DM-Crypt systemu Linux lub funkcji BitLocker systemu Windows do szyfrowania dysków zarządzanych przez klienta za pomocą kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta usprawnia usługę ADE, umożliwiając korzystanie z dowolnego typu systemu operacyjnego i obrazów dla maszyn wirtualnych przez szyfrowanie danych w usłudze Storage.

Ważne

Klucze zarządzane przez klienta korzystają z tożsamości zarządzanych dla zasobów platformy Azure, funkcji usługi Azure Active Directory (Azure AD). Podczas konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach okładek. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu Azure AD do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami Azure AD.

Następne kroki