Udostępnij za pośrednictwem

Szyfrowanie po stronie serwera usługi Azure Disk Storage

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux ✔️ Maszyny wirtualne z systemem Windows ✔️ Elastyczne zestawy skalowania ✔️ Jednolite zestawy skalowania

Większość dysków zarządzanych platformy Azure jest szyfrowana za pomocą szyfrowania usługi Azure Storage, która używa szyfrowania po stronie serwera (SSE) w celu ochrony danych i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Szyfrowanie usługi Azure Storage automatycznie szyfruje dane przechowywane na dyskach zarządzanych platformy Azure (dyskach systemu operacyjnego i danych) w stanie spoczynku, domyślnie podczas ich utrwalania w chmurze. Dyski z szyfrowaniem na hoście włączone nie są jednak szyfrowane za pośrednictwem usługi Azure Storage. W przypadku dysków z włączonym szyfrowaniem na hoście serwer hostujący maszynę wirtualną zapewnia szyfrowanie danych oraz że zaszyfrowane dane przepływają do usługi Azure Storage.

Dane na zarządzanych dyskach Azure są szyfrowane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych, a także są zgodne ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja)

Szyfrowanie usługi Azure Storage nie ma wpływu na wydajność dysków zarządzanych i nie ma dodatkowych kosztów. Aby uzyskać więcej informacji na temat szyfrowania usługi Azure Storage, zobacz Szyfrowanie usługi Azure Storage.

Ważne

Dyski tymczasowe nie są dyskami zarządzanymi i nie są szyfrowane przez funkcję SSE, chyba że włączono szyfrowanie na hoście.

Maszyny wirtualne platformy Azure w wersji 5 i nowszej (np. Dsv5 lub Dsv6) automatycznie szyfrują swoje dyski tymczasowe oraz (jeśli są używane) efemeryczne dyski systemu operacyjnego, wykorzystując szyfrowanie danych w spoczynku.

Informacje o zarządzaniu kluczami szyfrowania

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania dysku zarządzanego lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.

W poniższych sekcjach opisano szczegółowo każdą z opcji zarządzania kluczami.

Klucze zarządzane przez platformę

Domyślnie dyski zarządzane używają kluczy szyfrowania zarządzanych przez platformę. Wszystkie dyski zarządzane, migawki, obrazy i dane zapisywane na istniejących dyskach zarządzanych są automatycznie szyfrowane w stanie spoczynku przy użyciu kluczy zarządzanych przez platformę. Klucze zarządzane przez platformę są zarządzane przez firmę Microsoft.

Klucze zarządzane przez klienta

Możesz zarządzać szyfrowaniem na poziomie każdego dysku zarządzanego przy użyciu własnych kluczy. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu.

Do przechowywania kluczy zarządzanych przez klienta należy użyć jednego z następujących magazynów kluczy platformy Azure:

Możesz zaimportować klucze RSA do usługi Key Vault lub wygenerować nowe klucze RSA w usłudze Azure Key Vault. Dyski zarządzane platformy Azure obsługują szyfrowanie i odszyfrowywanie w sposób w pełni przejrzysty przy użyciu szyfrowania kopert. Szyfruje dane przy użyciu klucza szyfrowania danych opartego na protokole AES 256 (DEK), który z kolei jest chroniony przy użyciu kluczy. Usługa Storage generuje klucze szyfrowania danych i szyfruje je przy użyciu kluczy zarządzanych przez klienta przy użyciu szyfrowania RSA. Szyfrowanie kopert umożliwia okresowe obracanie (zmienianie) kluczy zgodnie z zasadami zgodności bez wpływu na maszyny wirtualne. Podczas rotacji kluczy usługa Storage ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy zarządzanych przez klienta.

Dyski zarządzane i magazyn kluczy lub zarządzany moduł HSM muszą znajdować się w tym samym regionie świadczenia usługi Azure, ale mogą znajdować się w różnych subskrypcjach. Muszą również znajdować się w tej samej dzierżawie Microsoft Entra, chyba że używasz funkcji Szyfruj dyski zarządzane między dzierżawami z kluczami zarządzanymi przez klienta (wersja zapoznawcza).

Pełna kontrola kluczy

Aby używać swoich kluczy do szyfrowania i odszyfrowywania klucza szyfrowania danych (DEK), musisz udzielić dostępu do dysków zarządzanych w Key Vault lub w zarządzanym module HSM. Umożliwia to pełną kontrolę nad danymi i kluczami. Można wyłączyć klucze lub cofnąć dostęp do dysków zarządzanych w dowolnym momencie. Możesz również przeprowadzić inspekcję użycia klucza szyfrowania za pomocą monitorowania usługi Azure Key Vault, aby upewnić się, że tylko dyski zarządzane lub inne zaufane usługi platformy Azure uzyskują dostęp do kluczy.

Ważne

Jeśli klucz jest wyłączony, usunięty lub wygasł, wszystkie maszyny wirtualne z systemem operacyjnym lub dyskami danych przy użyciu tego klucza zostaną automatycznie zamknięte. Po automatycznym zamknięciu maszyny wirtualne nie będą uruchamiane do momentu ponownego włączenia klucza lub przypisania nowego klucza.

Zazwyczaj operacje we/wy dysku (operacje odczytu lub zapisu) zaczynają zawodzić w ciągu godziny od wyłączenia, usunięcia lub wygaśnięcia klucza.

Na poniższym diagramie pokazano, jak dyski zarządzane używają identyfikatora Microsoft Entra i usługi Azure Key Vault do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:

Diagram przepływu pracy dysków zarządzanych i kluczy zarządzanych przez klienta. Administrator tworzy usługę Azure Key Vault, a następnie tworzy zestaw szyfrowania dysków i konfiguruje zestaw szyfrowania dysków. Zestaw jest skojarzony z maszyną wirtualną, która umożliwia dyskowi używanie identyfikatora Entra firmy Microsoft do uwierzytelniania.

Poniższa lista zawiera bardziej szczegółowe omówienie diagramu:

  1. Administrator usługi Azure Key Vault tworzy zasoby magazynu kluczy.
  2. Administrator magazynu kluczy importuje swoje klucze RSA do usługi Key Vault lub generuje nowe klucze RSA w usłudze Key Vault.
  3. Ten administrator tworzy wystąpienie zasobu Zestawu szyfrowania dysków, określając identyfikator usługi Azure Key Vault i adres URL klucza. Zestaw szyfrowania dysków to nowy zasób wprowadzony w celu uproszczenia zarządzania kluczami dla dysków zarządzanych.
  4. Po utworzeniu zestawu szyfrowania dysku, w Microsoft Entra ID zostaje utworzona tożsamość zarządzana przypisana przez system i jest skojarzona z tym zestawem szyfrowania dysków.
  5. Administrator usługi Azure Key Vault udziela następnie tożsamości zarządzanej uprawnień do wykonywania operacji w magazynie kluczy.
  6. Użytkownik maszyny wirtualnej tworzy dyski, kojarząc je z zestawem szyfrowania dysków. Użytkownik maszyny wirtualnej może również włączyć szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta dla istniejących zasobów, kojarząc je z zestawem szyfrowania dysku.
  7. Dyski zarządzane używają tożsamości zarządzanej do wysyłania żądań do usługi Azure Key Vault.
  8. W przypadku odczytywania lub zapisywania danych dyski zarządzane wysyłają żądania do usługi Azure Key Vault w celu szyfrowania (opakowywania) i odszyfrowania (odpakowywania) klucza szyfrowania danych w celu przeprowadzenia szyfrowania i odszyfrowywania danych.

Aby odwołać dostęp do kluczy zarządzanych przez klienta, zobacz Azure Key Vault PowerShell i interfejs wiersza polecenia usługi Azure Key Vault. Cofanie dostępu skutecznie blokuje dostęp do wszystkich danych na koncie magazynu, ponieważ klucz szyfrowania jest niedostępny przez usługę Azure Storage.

Automatyczna rotacja kluczy zarządzanych przez klienta

Ogólnie rzecz biorąc, jeśli używasz kluczy zarządzanych przez klienta, należy włączyć automatyczną rotację kluczy do najnowszej wersji klucza. Automatyczna rotacja kluczy pomaga zapewnić bezpieczeństwo kluczy. Dysk odwołuje się do klucza za pośrednictwem zestawu szyfrowania dysków. Po włączeniu automatycznej rotacji zestawu szyfrowania dysku system automatycznie zaktualizuje wszystkie dyski zarządzane, migawki i obrazy odwołujące się do zestawu szyfrowania dysku, aby używać nowej wersji klucza w ciągu jednej godziny. Aby dowiedzieć się, jak włączyć klucze zarządzane przez klienta z automatycznym obracaniem kluczy, zobacz Konfigurowanie usługi Azure Key Vault i funkcji DiskEncryptionSet z automatycznym obracaniem kluczy.

Uwaga

Maszyny wirtualne nie są ponownie uruchamiane podczas automatycznego obracania kluczy.

Jeśli nie możesz włączyć automatycznej rotacji kluczy, możesz użyć innych metod, aby otrzymywać alerty przed wygaśnięciem kluczy. W ten sposób możesz upewnić się, że klucze są obracane przed wygaśnięciem i zachować ciągłość działania. Możesz użyć usługi Azure Policy lub Azure Event Grid , aby wysłać powiadomienie po wygaśnięciu klucza wkrótce.

Ograniczenia

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:

  • Jeśli ta funkcja jest włączona dla dysku z migawkami przyrostowymi, nie można jej wyłączyć na tym dysku ani jego migawkach. Aby obejść ten problem, skopiuj wszystkie dane na zupełnie inny dysk zarządzany, który nie korzysta z kluczy zarządzanych przez klienta. Można to zrobić za pomocą interfejsu wiersza polecenia platformy Azure lub modułu Azure PowerShell.
  • Dysk i wszystkie skojarzone z nim migawki przyrostowe muszą mieć ten sam zestaw szyfrowania dysku.
  • Obsługiwane są tylko klucze oprogramowania i modułu HSM RSA o rozmiarach 2048-bitowych, 3072-bitowych i 4096-bitowych, bez innych kluczy ani rozmiarów.
    • Klucze HSM wymagają warstwy Premium usługi Azure Key Vault.
  • Tylko w przypadku dysków Ultra Disks i dysków SSD Premium v2:
    • Tożsamości zarządzane przypisane do użytkownika nie są obsługiwane w przypadku dysków w warstwie Ultra i dysków SSD w warstwie Premium v2 zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta.
    • Szyfrowanie dysków Ultra i dysków SSD Premium v2 za pomocą kluczy zarządzanych przez klienta przechowywanych w Azure Key Vault w innej dzierżawie Microsoft Entra ID nie jest obecnie obsługiwane.
  • Większość zasobów związanych z kluczami zarządzanymi przez klienta (zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) musi znajdować się w tej samej subskrypcji i regionie.
    • Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie co zestaw szyfrowania dysków. Jako wersja zapoznawcza możesz używać usługi Azure Key Vault z różnych dzierżaw firmy Microsoft Entra.
  • Dyski zaszyfrowane za pomocą kluczy zarządzanych przez klienta mogą być przenoszone tylko do innej grupy zasobów, jeśli maszyna wirtualna, do której są dołączone, zostanie zdezaktywowana.
  • Dysków, migawek i obrazów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta nie można przenosić między subskrypcjami.
  • Dyski zarządzane obecnie lub wcześniej zaszyfrowane przy użyciu usługi Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.
  • Można utworzyć maksymalnie 5000 zestawów szyfrowania dysków na region na subskrypcję.
  • Aby uzyskać informacje na temat używania kluczy zarządzanych przez klienta z galeriami obrazów udostępnionych, zobacz Wersja zapoznawcza: używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.

Obsługiwane regiony

Klucze zarządzane przez klienta są dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure— funkcji identyfikatora Entra firmy Microsoft. Podczas konfigurowania kluczy zarządzanych przez klienta, tożsamość zarządzana jest automatycznie przypisywana do Twoich zasobów, działa niewidocznie w tle. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu firmy Microsoft Entra do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami firmy Microsoft Entra.

Aby włączyć klucze zarządzane przez klienta dla dysków zarządzanych, zobacz nasze artykuły dotyczące sposobu włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal.

Zobacz Tworzenie dysku zarządzanego z migawki za pomocą CLI dla przykładu kodu.

Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej

Gdy włączysz szyfrowanie na hoście, proces ten rozpoczyna się bezpośrednio na hoście serwera Azure, do którego jest przydzielona twoja maszyna wirtualna. Dane tymczasowego dysku i pamięci podręcznej dysku systemowego/danych są przechowywane na hoście tej maszyny wirtualnej. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w spoczynku i przepływają w zaszyfrowanej formie do usługi Storage, gdzie są utrwalane. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie wpływa na wydajność maszyny wirtualnej.

Dyski tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania. Pamięć podręczna dysku systemu operacyjnego i danych są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez klienta lub zarządzanych przez platformę, w zależności od wybranego typu szyfrowania dysku. Jeśli na przykład dysk jest szyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dla dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Ograniczenia

  • Obsługiwane w przypadku dysków Ultra Disk z rozmiarem sektora 4k i dysków SSD Premium v2.
  • Obsługiwane tylko w przypadku dysków Ultra Disk o rozmiarze sektora 512e oraz SSD w Warstwie Premium w wersji 2, jeśli zostały utworzone po 13.05.2023.
    • W przypadku dysków utworzonych przed tą datą utwórz migawkę dysku i utwórz nowy dysk przy użyciu migawki.
  • Nie można włączyć na maszynach wirtualnych ani w zestawach skalowania maszyn wirtualnych, które obecnie lub kiedykolwiek miały włączoną usługę Azure Disk Encryption.
  • Nie można włączyć usługi Azure Disk Encryption na dyskach z włączonym szyfrowaniem na hoście.
  • Szyfrowanie można włączyć w istniejących zestawach skalowania maszyn wirtualnych. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są automatycznie szyfrowane.
  • Aby zaszyfrować istniejące maszyny wirtualne, należy je zdezaktywować i ponownie aktywować.

Obsługiwane rozmiary maszyn wirtualnych

Pełną listę obsługiwanych rozmiarów maszyn wirtualnych można ściągnąć programowo. Aby dowiedzieć się, jak je programowo pobrać, zapoznaj się z sekcją Znajdowanie obsługiwanych rozmiarów maszyn wirtualnych w artykule modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście, zapoznaj się z naszymi artykułami dotyczącymi włączania go za pomocą modułu Azure PowerShell, Azure CLI lub portalu Azure.

Podwójne szyfrowanie w spoczynku

Klienci z wysokim poziomem zabezpieczeń, którzy są zainteresowani ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, których bezpieczeństwo zostało naruszone, może teraz wybrać dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Ta nowa warstwa może być stosowana do utrwalonego systemu operacyjnego i dysków danych, migawek i obrazów, z których wszystkie będą szyfrowane w spoczynku przy użyciu podwójnego szyfrowania.

Ograniczenia

Podwójne szyfrowanie w spoczynku nie jest obecnie obsługiwane w przypadku dysków Ultra lub dysków Premium SSD v2.

Aby włączyć podwójne szyfrowanie danych w spoczynku dla dysków zarządzanych, zobacz Włączanie podwójnego szyfrowania danych w spoczynku dla dysków zarządzanych.

Szyfrowanie na hoście a szyfrowanie dysków platformy Azure

Usługa Azure Disk Encryption korzysta z funkcji DM-Crypt systemu Linux lub funkcji BitLocker systemu Windows do szyfrowania dysków zarządzanych przez klienta przy użyciu kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera z szyfrowaniem na hoście stanowi ulepszenie w stosunku do ADE. W przypadku szyfrowania na hoście dane dla dysku tymczasowego i pamięci podręcznej dysku systemu operacyjnego/danych są przechowywane na tym hoście maszyny wirtualnej. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w stanie spoczynku i przesyłane w sposób zaszyfrowany do usługi Storage, gdzie są utrwalane. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie wpływa na wydajność maszyny wirtualnej.

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure— funkcji identyfikatora Entra firmy Microsoft. Podczas konfigurowania kluczy zarządzanych przez klienta, zasobom automatycznie przypisywana jest tożsamość zarządzana. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany przez klienta z jednego katalogu Microsoft Entra do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej jednostki dzierżawcy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami firmy Microsoft Entra.

Następne kroki