Szyfrowanie po stronie serwera usługi Azure Disk Storage

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows — elastyczne zestawy ✔️ ✔️ skalowania jednolite zestawy skalowania

Większość dysków zarządzanych platformy Azure jest szyfrowana przy użyciu szyfrowania usługi Azure Storage, które używa szyfrowania po stronie serwera w celu ochrony danych i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Szyfrowanie usługi Azure Storage automatycznie szyfruje dane przechowywane na dyskach zarządzanych platformy Azure (dyskach systemu operacyjnego i danych) magazynowanych domyślnie podczas utrwalania ich w chmurze. Dyski z szyfrowaniem na hoście włączonym nie są jednak szyfrowane za pośrednictwem usługi Azure Storage. W przypadku dysków z włączonym szyfrowaniem na hoście serwer hostujący maszynę wirtualną zapewnia szyfrowanie danych oraz że zaszyfrowane dane przepływają do usługi Azure Storage.

Dane na dyskach zarządzanych platformy Azure są szyfrowane w sposób przezroczysty przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodne ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja)

Szyfrowanie usługi Azure Storage nie wpływa na wydajność dysków zarządzanych i nie wiąże się z dodatkowymi kosztami. Aby uzyskać więcej informacji na temat szyfrowania usługi Azure Storage, zobacz Szyfrowanie usługi Azure Storage.

Uwaga

Dyski tymczasowe nie są dyskami zarządzanymi i nie są szyfrowane przez funkcję SSE, chyba że włączono szyfrowanie na hoście.

Informacje o zarządzaniu kluczami szyfrowania

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania dysku zarządzanego lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.

W poniższych sekcjach opisano szczegółowo każdą z opcji zarządzania kluczami.

Klucze zarządzane przez platformę

Domyślnie dyski zarządzane używają kluczy szyfrowania zarządzanych przez platformę. Wszystkie dyski zarządzane, migawki, obrazy i dane zapisywane na istniejących dyskach zarządzanych są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę.

Klucze zarządzane przez klienta

Możesz zarządzać szyfrowaniem na poziomie każdego dysku zarządzanego przy użyciu własnych kluczy. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu.

Do przechowywania kluczy zarządzanych przez klienta należy użyć jednego z następujących magazynów kluczy platformy Azure:

Możesz zaimportować klucze RSA do Key Vault lub wygenerować nowe klucze RSA w usłudze Azure Key Vault. Dyski zarządzane platformy Azure obsługują szyfrowanie i odszyfrowywanie w sposób w pełni przezroczysty przy użyciu szyfrowania kopert. Szyfruje dane przy użyciu klucza szyfrowania danych opartego na algorytmie AES 256 (DEK), który z kolei jest chroniony przy użyciu kluczy. Usługa Storage generuje klucze szyfrowania danych i szyfruje je przy użyciu kluczy zarządzanych przez klienta przy użyciu szyfrowania RSA. Szyfrowanie koperty umożliwia okresowe obracanie (zmienianie) kluczy zgodnie z zasadami zgodności bez wpływu na maszyny wirtualne. Podczas rotacji kluczy usługa Storage ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy zarządzanych przez klienta.

Dyski zarządzane i Key Vault lub zarządzany moduł HSM muszą znajdować się w tym samym regionie świadczenia usługi Azure, ale mogą znajdować się w różnych subskrypcjach. Muszą one również znajdować się w tej samej dzierżawie usługi Azure Active Directory (Azure AD), chyba że używasz funkcji Szyfruj dyski zarządzane przez klienta (wersja zapoznawcza).

Pełna kontrola nad kluczami

Należy udzielić dostępu do dysków zarządzanych w Key Vault lub zarządzanym module HSM, aby używać kluczy do szyfrowania i odszyfrowywania klucza szyfrowania danych. Umożliwia to pełną kontrolę nad danymi i kluczami. Klucze można wyłączyć lub odwołać dostęp do dysków zarządzanych w dowolnym momencie. Możesz również przeprowadzić inspekcję użycia klucza szyfrowania za pomocą monitorowania usługi Azure Key Vault, aby upewnić się, że tylko dyski zarządzane lub inne zaufane usługi platformy Azure uzyskują dostęp do kluczy.

Jeśli klucz jest wyłączony, usunięty lub wygasł, wszystkie maszyny wirtualne z dyskami używającymi tego klucza zostaną automatycznie zamknięte. Następnie maszyny wirtualne nie będą można używać, chyba że klucz zostanie ponownie włączony lub zostanie przypisany nowy klucz.

Uwaga

Zwykle oczekuje się, że operacje we/wy dysku (operacje odczytu lub zapisu) zaczną się 1 godzina po wyłączeniu, usunięciu lub wygaśnięciu klucza.

Na poniższym diagramie pokazano, jak dyski zarządzane używają usług Azure Active Directory i Azure Key Vault do tworzenia żądań przy użyciu klucza zarządzanego przez klienta:

Przepływ pracy kluczy zarządzanych przez klienta i dysku zarządzanego przez klienta. Administrator tworzy Key Vault platformy Azure, a następnie tworzy zestaw szyfrowania dysków i konfiguruje zestaw szyfrowania dysków. Zestaw jest skojarzony z maszyną wirtualną, która umożliwia dyskowi korzystanie z Azure AD do uwierzytelniania

Poniższa lista zawiera bardziej szczegółowe omówienie diagramu:

  1. Administrator usługi Azure Key Vault tworzy zasoby magazynu kluczy.
  2. Administrator magazynu kluczy importuje swoje klucze RSA do Key Vault lub generuje nowe klucze RSA w Key Vault.
  3. Ten administrator tworzy wystąpienie zasobu zestawu szyfrowania dysków, określając identyfikator Key Vault platformy Azure i adres URL klucza. Zestaw szyfrowania dysków to nowy zasób wprowadzony w celu uproszczenia zarządzania kluczami dla dysków zarządzanych.
  4. Po utworzeniu zestawu szyfrowania dysków tożsamość zarządzana przypisana przez system jest tworzona w usłudze Azure Active Directory (AD) i skojarzona z zestawem szyfrowania dysków.
  5. Administrator usługi Azure Key Vault udziela następnie tożsamości zarządzanej uprawnienia do wykonywania operacji w magazynie kluczy.
  6. Użytkownik maszyny wirtualnej tworzy dyski przez skojarzenie ich z zestawem szyfrowania dysków. Użytkownik maszyny wirtualnej może również włączyć szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta dla istniejących zasobów przez skojarzenie ich z zestawem szyfrowania dysków.
  7. Dyski zarządzane używają tożsamości zarządzanej do wysyłania żądań do usługi Azure Key Vault.
  8. W przypadku odczytywania lub zapisywania danych dyski zarządzane wysyłają żądania do usługi Azure Key Vault w celu szyfrowania (opakowywania) i odszyfrowywania (odpakowywania) klucza szyfrowania danych w celu przeprowadzenia szyfrowania i odszyfrowywania danych.

Aby odwołać dostęp do kluczy zarządzanych przez klienta, zobacz Azure Key Vault PowerShell i interfejs wiersza polecenia usługi Azure Key Vault. Odwołanie dostępu skutecznie blokuje dostęp do wszystkich danych na koncie magazynu, ponieważ klucz szyfrowania jest niedostępny przez usługę Azure Storage.

Automatyczna rotacja kluczy zarządzanych przez klienta

Możesz włączyć automatyczną rotację kluczy do najnowszej wersji klucza. Dysk odwołuje się do klucza za pośrednictwem zestawu szyfrowania dysków. Po włączeniu automatycznej rotacji zestawu szyfrowania dysków system automatycznie zaktualizuje wszystkie dyski zarządzane, migawki i obrazy odwołujące się do zestawu szyfrowania dysków, aby używać nowej wersji klucza w ciągu jednej godziny. Aby dowiedzieć się, jak włączyć klucze zarządzane przez klienta przy użyciu automatycznego obracania kluczy, zobacz Konfigurowanie usługi Azure Key Vault i DiskEncryptionSet z automatycznym obracaniem kluczy.

Uwaga

Virtual Machines nie zostaną ponownie uruchomione podczas automatycznego obracania kluczy.

Ograniczenia

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:

  • Obsługiwane są tylko klucze OPROGRAMOWANIA i RSA modułu HSM o rozmiarach 2048-bitowych, 3072-bitowych i 4096-bitowych, bez innych kluczy ani rozmiarów.
    • Klucze HSM wymagają warstwy Premium usługi Azure Key Vault.
  • Dyski utworzone na podstawie obrazów niestandardowych, które są szyfrowane przy użyciu szyfrowania po stronie serwera i kluczy zarządzanych przez klienta, muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta i muszą znajdować się w tej samej subskrypcji.
  • Migawki utworzone na podstawie dysków zaszyfrowanych przy użyciu szyfrowania po stronie serwera i kluczy zarządzanych przez klienta muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta.
  • Większość zasobów związanych z kluczami zarządzanymi przez klienta (zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) musi znajdować się w tej samej subskrypcji i regionie.
    • Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie i dzierżawie co zestaw szyfrowania dysków.
  • Dyski, migawki i obrazy zaszyfrowane za pomocą kluczy zarządzanych przez klienta nie mogą być przenoszone do innej grupy zasobów i subskrypcji.
  • Dyski zarządzane obecnie lub wcześniej zaszyfrowane przy użyciu usługi Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.
  • Można utworzyć maksymalnie 1000 zestawów szyfrowania dysków na region na subskrypcję.
  • Aby uzyskać informacje o korzystaniu z kluczy zarządzanych przez klienta z galeriami obrazów udostępnionych, zobacz Wersja zapoznawcza: używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.

Obsługiwane regiony

Klucze zarządzane przez klienta są dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.

Ważne

Klucze zarządzane przez klienta korzystają z tożsamości zarządzanych dla zasobów platformy Azure, funkcji usługi Azure Active Directory (Azure AD). Podczas konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach okładek. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu Azure AD do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami Azure AD.

Aby włączyć klucze zarządzane przez klienta dla dysków zarządzanych, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.

Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej

Po włączeniu szyfrowania na hoście szyfrowanie jest uruchamiane na samym hoście maszyny wirtualnej, do którego jest przydzielana maszyna wirtualna. Dane dla tymczasowego dysku i pamięci podręcznej dysku systemu operacyjnego/danych są przechowywane na tym hoście maszyny wirtualnej. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage, gdzie są utrwalane. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie ma wpływu na wydajność maszyny wirtualnej.

Dyski tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane podczas magazynowania przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania. Pamięci podręczne systemu operacyjnego i dysku danych są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez klienta lub zarządzanych przez platformę, w zależności od wybranego typu szyfrowania dysku. Jeśli na przykład dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Ograniczenia

  • Nie obsługuje dysków w warstwie Ultra.
  • Nie można włączyć, jeśli usługa Azure Disk Encryption (szyfrowanie maszyny wirtualnej gościa przy użyciu funkcji bitlocker/DM-Crypt) jest włączona na maszynach wirtualnych/zestawach skalowania maszyn wirtualnych.
  • Nie można włączyć usługi Azure Disk Encryption na dyskach z włączonym szyfrowaniem na hoście.
  • Szyfrowanie można włączyć w istniejącym zestawie skalowania maszyn wirtualnych. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są automatycznie szyfrowane.
  • Aby można było zaszyfrować istniejące maszyny wirtualne, należy cofnąć przydział i przydzielić przydział.
  • Obsługuje efemeryczne dyski systemu operacyjnego, ale tylko z kluczami zarządzanymi przez platformę.

Obsługiwane rozmiary maszyn wirtualnych

Pełną listę obsługiwanych rozmiarów maszyn wirtualnych można ściągnąć programowo. Aby dowiedzieć się, jak pobrać je programowo, zapoznaj się z sekcją znajdowanie obsługiwanych rozmiarów maszyn wirtualnych w artykule dotyczącym modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.

Podwójne szyfrowanie magazynowane

Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z jakimkolwiek konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą teraz zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanego przez platformę. Ta nowa warstwa może być stosowana do utrwalonego systemu operacyjnego i dysków danych, migawek i obrazów, z których wszystkie będą szyfrowane podczas magazynowania przy użyciu podwójnego szyfrowania.

Obsługiwane regiony

Podwójne szyfrowanie jest dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.

Aby włączyć podwójne szyfrowanie danych magazynowanych dla dysków zarządzanych, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.

Szyfrowanie po stronie serwera a szyfrowanie dysków platformy Azure

Usługa Azure Disk Encryption korzysta z funkcji DM-Crypt systemu Linux lub funkcji BitLocker systemu Windows do szyfrowania dysków zarządzanych przez klienta za pomocą kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta usprawnia usługę ADE, umożliwiając korzystanie z dowolnego typu systemu operacyjnego i obrazów dla maszyn wirtualnych przez szyfrowanie danych w usłudze Storage.

Ważne

Klucze zarządzane przez klienta korzystają z tożsamości zarządzanych dla zasobów platformy Azure, funkcji usługi Azure Active Directory (Azure AD). Podczas konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach okładek. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu Azure AD do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą przestać działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami Azure AD.

Następne kroki