Szyfrowanie po stronie serwera Azure Disk Storage

Dotyczy: ✔️ maszyny wirtualne Linux ✔️ maszyny wirtualne Windows ✔️ elastyczne zestawy skalowania ✔️ jednolite zestawy skalowania

Większość dysków zarządzanych Azure jest szyfrowana za pomocą szyfrowania Azure Storage, które używa szyfrowania po stronie serwera (SSE) w celu ochrony danych i ułatwienia spełnienia zobowiązań w zakresie zabezpieczeń i zgodności organizacji. Szyfrowanie Azure Storage automatycznie szyfruje dane przechowywane na dyskach zarządzanych przez Azure (dyski systemu operacyjnego i dyski danych) w stanie spoczynku, domyślnie podczas ich utrwalania w chmurze. Dyski z szyfrowaniem na hoście włączone nie są jednak szyfrowane za pośrednictwem Azure Storage. W przypadku dysków z włączonym szyfrowaniem na hoście serwer hostujący maszynę wirtualną zapewnia szyfrowanie danych i że zaszyfrowane dane przepływają do Azure Storage.

Dane na dyskach zarządzanych Azure są szyfrowane w sposób przezroczysty przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych Azure, zobacz Cryptography API: Next Generation

Azure Storage szyfrowanie nie ma wpływu na wydajność dysków zarządzanych i nie ma dodatkowych kosztów. Aby uzyskać więcej informacji na temat szyfrowania Azure Storage, zobacz Azure Storage encryption.

Ważne

Dyski tymczasowe nie są dyskami zarządzanymi i nie są szyfrowane przez funkcję SSE, chyba że włączono szyfrowanie na hoście.

Azure maszyny wirtualne w wersji 5 lub nowszej (np. Dsv5 lub Dsv6) automatycznie szyfrują swoje dyski tymczasowe i (jeśli są używane) ulotne dyski systemu operacyjnego za pomocą szyfrowania danych w stanie spoczynku.

Informacje o zarządzaniu kluczami szyfrowania

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania dysku zarządzanego lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.

W poniższych sekcjach opisano szczegółowo każdą z opcji zarządzania kluczami.

Klucze zarządzane przez platformę

Domyślnie dyski zarządzane używają kluczy szyfrowania zarządzanych przez platformę. Wszystkie dyski zarządzane, migawki, obrazy i dane zapisywane na istniejących dyskach zarządzanych są automatycznie szyfrowane w stanie spoczynku przy użyciu kluczy zarządzanych przez platformę. Klucze zarządzane przez platformę są zarządzane przez Microsoft.

Klucze zarządzane przez klienta

Możesz zarządzać szyfrowaniem na poziomie każdego dysku zarządzanego przy użyciu własnych kluczy. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu.

Do przechowywania kluczy zarządzanych przez klienta należy użyć jednego z następujących magazynów kluczy Azure:

• Azure Key Vault (warstwa Premium zalecana do ochrony kluczy opartych na module HSM)
• Azure Key Vault zarządzany sprzętowy moduł zabezpieczeń (HSM)

Możesz zaimportować our RSA keys do Key Vault lub wygenerować nowe klucze RSA w Azure Key Vault. Dyski zarządzane platformy Azure obsługują szyfrowanie i odszyfrowywanie w sposób w pełni przezroczysty z zastosowaniem szyfrowania kopertowego. Szyfruje dane przy użyciu klucza szyfrowania danych opartego na protokole AES 256 (DEK), który z kolei jest chroniony przy użyciu kluczy. Usługa Storage generuje klucze szyfrowania danych i szyfruje je przy użyciu kluczy zarządzanych przez klienta przy użyciu szyfrowania RSA. Szyfrowanie kopert umożliwia okresowe obracanie (zmienianie) kluczy zgodnie z zasadami zgodności bez wpływu na maszyny wirtualne. Po rotacji kluczy usługa Storage ponownie opakowuje klucze szyfrowania danych przy użyciu nowej wersji klucza zarządzanego przez klienta. Same dane dysku bazowego nie są ponownie szyfrowane. Zarówno stare, jak i nowe wersje kluczy muszą pozostać włączone do momentu ukończenia ponownego zawijania.

Dyski zarządzane i Key Vault lub zarządzany moduł HSM muszą znajdować się w tym samym regionie Azure, ale mogą znajdować się w różnych subskrypcjach. Muszą również znajdować się w tej samej dzierżawie Microsoft Entra, chyba że używasz opcji Szyfrowania dysków zarządzanych kluczami zarządzanymi przez klienta pomiędzy dzierżawami.

Pełna kontrola kluczy

Musisz udzielić dostępu do zarządzanych dysków w swoim Key Vault lub zarządzanym module HSM, aby używać swoich kluczy do szyfrowania i odszyfrowywania klucza szyfrowania danych (DEK). Umożliwia to pełną kontrolę nad danymi i kluczami. Można wyłączyć klucze lub cofnąć dostęp do dysków zarządzanych w dowolnym momencie. Możesz również przeprowadzić inspekcję użycia klucza szyfrowania za pomocą monitorowania Azure Key Vault, aby zapewnić, że tylko zarządzane dyski lub inne zaufane usługi Azure mają dostęp do twoich kluczy.

Ważne

Jeśli klucz jest wyłączony, usunięty lub wygasł, wszystkie maszyny wirtualne z systemem operacyjnym lub dyskami danych przy użyciu tego klucza zostaną automatycznie zamknięte. Po automatycznym zamknięciu maszyny wirtualne nie będą uruchamiane do momentu ponownego włączenia klucza lub przypisania nowego klucza.

Zazwyczaj operacje we/wy dysku (operacje odczytu lub zapisu) zaczynają zawodzić w ciągu godziny od wyłączenia, usunięcia lub wygaśnięcia klucza.

Na poniższym diagramie pokazano, jak dyski zarządzane używają Microsoft Entra ID i Azure Key Vault do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:

Poniższa lista zawiera bardziej szczegółowe omówienie diagramu:

1. Administrator Azure Key Vault tworzy zasoby magazynu kluczy.
2. Administrator key vault importuje swoje klucze RSA do Key Vault lub generuje nowe klucze RSA w Key Vault.
3. Administrator tworzy wystąpienie zasobu Zestawu szyfrowania dysków, określając identyfikator Azure Key Vault i adres URL klucza. Zestaw szyfrowania dysków to nowy zasób wprowadzony w celu uproszczenia zarządzania kluczami dla dysków zarządzanych.
4. Po utworzeniu zestawu szyfrowania dysku tożsamość zarządzana przypisana przez system jest tworzona w Microsoft Entra ID i skojarzona z zestawem szyfrowania dysków.
5. Administrator usługi Azure Key Vault udziela następnie tożsamości zarządzanej uprawnień do wykonywania operacji w magazynie kluczy.
6. Użytkownik maszyny wirtualnej tworzy dyski, kojarząc je z zestawem szyfrowania dysków. Użytkownik maszyny wirtualnej może również włączyć szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta dla istniejących zasobów, kojarząc je z zestawem szyfrowania dysku.
7. Dyski zarządzane używają tożsamości zarządzanej do wysyłania żądań do Azure Key Vault.
8. W przypadku odczytywania lub zapisywania danych dyski zarządzane wysyłają żądania do Azure Key Vault w celu szyfrowania (opakowywania) i odszyfrowywania (odpakowywania) klucza szyfrowania danych w celu przeprowadzenia szyfrowania i odszyfrowywania danych.

Aby odwołać dostęp do kluczy zarządzanych przez klienta, zobacz Azure Key Vault PowerShell i Azure Key Vault interfejs wiersza polecenia. Unieważnienie dostępu skutecznie blokuje dostęp do wszystkich danych na koncie magazynu, ponieważ klucz szyfrowania nie jest dostępny dla Azure Storage.

Automatyczna rotacja kluczy zarządzanych przez klienta

Ogólnie rzecz biorąc, jeśli używasz kluczy zarządzanych przez klienta, należy włączyć automatyczną rotację kluczy do najnowszej wersji klucza. Automatyczna rotacja kluczy pomaga zapewnić bezpieczeństwo kluczy. Dysk odwołuje się do klucza za pośrednictwem zestawu szyfrowania dysków. Po włączeniu automatycznej rotacji zestawu szyfrowania dysku system automatycznie zaktualizuje wszystkie dyski zarządzane, migawki i obrazy odwołujące się do zestawu szyfrowania dysku, aby używać nowej wersji klucza w ciągu jednej godziny. Aby dowiedzieć się, jak włączyć klucze zarządzane przez klienta z automatyczną rotacją kluczy, zobacz Skonfiguruj Azure Key Vault i DiskEncryptionSet z automatyczną rotacją kluczy.

Uwaga

Virtual Machines nie są ponownie uruchamiane podczas automatycznego obracania kluczy.

Jeśli nie możesz włączyć automatycznej rotacji kluczy, możesz użyć innych metod, aby otrzymywać alerty przed wygaśnięciem kluczy. W ten sposób możesz upewnić się, że klucze są obracane przed wygaśnięciem i zachować ciągłość działania. Możesz użyć Azure Policy lub Azure Event Grid, aby wysłać powiadomienie, gdy klucz wkrótce wygaśnie.

Ograniczenia

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:

• Jeśli ta funkcja jest włączona dla dysku z migawkami przyrostowymi, nie można jej wyłączyć na tym dysku ani jego migawkach. Aby obejść ten problem, skopiuj wszystkie dane na zupełnie inny dysk zarządzany, który nie korzysta z kluczy zarządzanych przez klienta. Można to zrobić za pomocą modułu Azure CLI lub modułu Azure PowerShell.
• Dysk i wszystkie skojarzone z nim migawki przyrostowe muszą mieć ten sam zestaw szyfrowania dysku.
• Obsługiwane są tylko klucze oprogramowania i modułu HSM RSA o rozmiarach 2048-bitowych, 3072-bitowych i 4096-bitowych, bez innych kluczy ani rozmiarów.
  • HSM klucze wymagają premium warstwy Azure Key Vault.
• Tylko w przypadku dysków Ultra Disks i dysków SSD Premium v2:
  • (Wersja zapoznawcza) Tożsamości zarządzane przypisane przez użytkownika są dostępne dla dysków Ultra i dysków SSD Premium v2 zaszyfrowanych kluczami zarządzanymi przez klienta.
• Większość zasobów związanych z kluczami zarządzanymi przez klienta (zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) musi znajdować się w tej samej subskrypcji i regionie.
  • Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie co zestawem szyfrowania dysków. Azure Key Vault w różnych dzierżawcach Microsoft Entra są obsługiwane dla dysków zarządzanych. Aby uzyskać szczegółowe informacje, zobacz Szyfrowanie dysków zarządzanych za pomocą kluczy zarządzanych przez klienta między dzierżawami.
• Dyski zaszyfrowane za pomocą kluczy zarządzanych przez klienta mogą być przeniesione do innej grupy zasobów tylko wtedy, gdy maszyna wirtualna, do której są dołączone, zostanie zdezaktywowana.
• Dysków, migawek i obrazów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta nie można przenosić między subskrypcjami.
• Dyski zarządzane obecnie lub wcześniej szyfrowane przy użyciu Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.
• Można utworzyć maksymalnie 5000 zestawów szyfrowania dysków na region na subskrypcję.
• Aby uzyskać informacje na temat używania kluczy zarządzanych przez klienta z galeriami obrazów udostępnionych, zobacz Wersja zapoznawcza: używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.

Obsługiwane regiony

Klucze zarządzane przez klienta są dostępne we wszystkich regionach, w których są dostępne dyski zarządzane.

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów Azure, które są funkcją Microsoft Entra ID. Podczas konfigurowania kluczy zarządzanych przez klienta, tożsamość zarządzana jest automatycznie przypisywana do Twoich zasobów, działa niewidocznie w tle. Jeśli później przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu Microsoft Entra do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami Microsoft Entra.

Aby włączyć klucze zarządzane przez klienta dla dysków zarządzanych, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, Azure CLI lub portalu Azure.

Zobacz przykład kodu w sekcji Tworzenie dysku zarządzanego na podstawie migawki za pomocą interfejsu wiersza polecenia.

Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej

Po włączeniu szyfrowania na hoście szyfrowanie jest uruchamiane na samym hoście maszyny wirtualnej, Azure serwerze przydzielonym maszynie wirtualnej. Dane tymczasowego dysku i pamięci podręcznej dysku systemowego/danych są przechowywane na hoście tej maszyny wirtualnej. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w spoczynku i przepływają w zaszyfrowanej formie do usługi Storage, gdzie są utrwalane. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie wpływa na wydajność maszyny wirtualnej.

Dyski tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania. Pamięć podręczna dysku systemu operacyjnego i danych są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez klienta lub zarządzanych przez platformę, w zależności od wybranego typu szyfrowania dysku. Jeśli na przykład dysk jest szyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dla dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Ograniczenia

• Nie można włączyć na maszynach wirtualnych ani w zestawach skalowania maszyn wirtualnych, które obecnie mają lub kiedykolwiek miały włączone szyfrowanie dysków Azure.
• Azure Disk Encryption nie można włączyć na dyskach z włączonym szyfrowaniem na hoście.
• Szyfrowanie można włączyć w istniejących zestawach skalowania maszyn wirtualnych. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są automatycznie szyfrowane.
• Aby zaszyfrować istniejące maszyny wirtualne, należy je zdezaktywować i ponownie aktywować.

Następujące ograniczenia dotyczą tylko dysków Ultra Disk i SSD w warstwie Premium w wersji 2:

• Dyski korzystające z rozmiaru sektora 512e muszą zostać utworzone po 13.05.2023 r.
  • Jeśli dysk został utworzony przed tą datą, utwórz migawkę dysku i utwórz nowy dysk przy użyciu migawki.

Obsługiwane rozmiary maszyn wirtualnych

Pełną listę obsługiwanych rozmiarów maszyn wirtualnych można ściągnąć programowo. Aby dowiedzieć się, jak pobrać je programowo, zapoznaj się z sekcją znajdowanie obsługiwanych rozmiarów maszyn wirtualnych w module Azure PowerShell lub Azure CLI.

Aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście, zobacz nasze artykuły dotyczące włączania go za pomocą modułu Azure PowerShell, Azure CLI lub portalu Azure portal.

Podwójne szyfrowanie w spoczynku

Klienci z wysokim poziomem zabezpieczeń, którzy są zainteresowani ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, których bezpieczeństwo zostało naruszone, może teraz wybrać dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Ta nowa warstwa może być stosowana do utrwalonego systemu operacyjnego i dysków danych, migawek i obrazów, z których wszystkie będą szyfrowane w spoczynku przy użyciu podwójnego szyfrowania.

Ograniczenia

Podwójne szyfrowanie w spoczynku nie jest obecnie obsługiwane w przypadku dysków Ultra lub dysków Premium SSD v2.

Aby włączyć podwójne szyfrowanie w spoczynku dla dysków zarządzanych, zobacz Włączanie podwójnego szyfrowania w spoczynku dla dysków zarządzanych.

Szyfrowanie na hoście a szyfrowanie dysków Azure

Azure Disk Encryption wykorzystuje funkcję DM-Crypt systemu Linux lub Windows BitLocker do szyfrowania dysków zarządzanych przez klienta za pomocą kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera z szyfrowaniem na hoście stanowi ulepszenie w stosunku do ADE. W przypadku szyfrowania na hoście dane dla dysku tymczasowego i pamięci podręcznej dysku systemu operacyjnego/danych są przechowywane na tym hoście maszyny wirtualnej. Po włączeniu szyfrowania na hoście wszystkie te dane są szyfrowane w spoczynku i przepływają w zaszyfrowanej formie do usługi Storage, gdzie są utrwalane. Zasadniczo szyfrowanie na hoście szyfruje dane od końca do końca. Szyfrowanie na hoście nie korzysta z procesora CPU maszyny wirtualnej i nie wpływa na wydajność maszyny wirtualnej.

Ważne

Klucze zarządzane przez klienta polegają na tożsamościach zarządzanych dla zasobów Azure, co jest funkcjonalnością Microsoft Entra ID. Podczas konfigurowania kluczy zarządzanych przez klienta, tożsamość zarządzana jest automatycznie przypisywana do Twoich zasobów, działa niewidocznie w tle. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu Microsoft Entra do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać dalsze informacje, zobacz Przenoszenie subskrypcji między katalogami Microsoft Entra.

Następne kroki

• Włącz kompleksowe szyfrowanie przy użyciu szyfrowania na hoście za pomocą modułu Azure PowerShellAzure CLI lub portalu Azure.
• Aby włączyć podwójne szyfrowanie w spoczynku dla dysków zarządzanych, zobacz Włączanie podwójnego szyfrowania w spoczynku dla dysków zarządzanych.
• Włącz klucze zarządzane przez klienta dla dysków zarządzanych za pomocą modułu Azure PowerShellAzure CLI lub portalu Azure.
• Przejdź z Azure Disk Encryption na szyfrowanie po stronie serwera
• Zbadaj szablony Menedżera Zasobów Azure do tworzenia zaszyfrowanych dysków przy użyciu kluczy zarządzanych przez klienta
• Co to jest Azure Key Vault?