Шифрование управляемых дисков Azure на стороне сервера

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Большинство управляемых дисков Azure шифруются с использованием шифрования службы хранилища Azure, в котором применяется шифрование на стороне сервера (SSE) для защиты данных. Это помогает выполнять действующие в организации обязательства по обеспечению безопасности и соответствия требованиям. Шифрование службы хранилища Azure по умолчанию в автоматическом режиме шифрует все неактивные данные, сохраняемые в облако на управляемые диски Azure (диски ОС и диски данных). Но если для диска включено шифрование на узле, он не шифруется в службе хранилища Azure. Для дисков с шифрованием на узле шифрование данных обеспечивает сервер, на котором размещена виртуальная машина, а в службу хранилища Azure передаются уже зашифрованные данные.

Данные в управляемых дисках Azure шифруются прозрачно с использованием 256-разрядного шифрования AES, одного из наиболее сильных блочных шифров, который совместим со стандартом FIPS 140-2. Дополнительные сведения о криптографических модулях, лежащих в основе функции управляемых дисков Azure, см. в статье Cryptography API: Next Generation (API Cryptography: следующее поколение).

Шифрование службы хранилища Azure не влияет на производительность управляемых дисков и за него не взимается дополнительная плата. Дополнительные сведения о шифровании в службе хранилища Azure см. в статье Шифрование службы хранилища Azure для неактивных данных.

Примечание

Временные диски не считаются управляемыми дисками и к ним не применяется SSE, если вы не настроили шифрование на узле.

Об управлении ключами шифрования

Вы можете использовать ключи, управляемые платформой, для шифрования управляемого диска или управлять шифрованием с помощью собственных ключей. Если вы решили управлять шифрованием с помощью собственных ключей, вы можете указать управляемый клиентом ключ, который будет использоваться для шифрования и расшифровки всех данных на управляемых дисках.

В следующих разделах подробно описаны все варианты управления ключами.

Ключи, управляемые платформой

По умолчанию управляемые диски используют управляемые платформой ключи шифрования. Все управляемые диски, снимки, образы и данные, сохраняемые на существующие управляемые диски, автоматически шифруются как неактивные данные с использованием ключей, управляемых платформой. Ключи, управляемые платформой, управляются корпорацией Майкрософт.

Ключи, управляемые клиентом

Вы можете управлять шифрованием на уровне каждого управляемого диска с помощью собственных ключей. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Ключи CMK обеспечивают большую гибкость при администрировании операций управления доступом.

Для хранения ключей, управляемых клиентом, необходимо использовать одно из следующих хранилищ ключей Azure.

• Azure Key Vault
• Управляемый аппаратный модуль безопасности (HSM) в Azure Key Vault

Вы можете либо импортировать свои ключи RSA в Key Vault, либо создать новые ключи RSA в Azure Key Vault. Управляемые диски Azure обрабатывают шифрование и расшифровку полностью прозрачным образом с помощью метода шифрования конвертов. Он шифрует данные с помощью ключа шифрования данных (DEK) на основе AES 256, который, в свою очередь, защищен с помощью ваших ключей. Служба хранилища создает ключи шифрования данных и шифрует их с помощью управляемых клиентом ключей, используя шифрование RSA. Шифрование конверта позволяет периодически менять ключи в соответствии с политиками соответствия, не влияя на виртуальные машины. При смене ключей служба хранилища повторно шифрует ключи шифрования данных с помощью новых ключей, управляемых клиентом.

Управляемые диски и Key Vault или управляемый модуль HSM должны быть расположены в одном регионе Azure, но могут находиться в разных подписках. Они также должны находиться в одном клиенте Azure Active Directory (Azure AD), если только вы не используете Шифрование управляемых дисков с помощью управляемых клиентом ключей (предварительная версия).

Полный контроль над ключами

Вы должны предоставить доступ к управляемым дискам в Key Vault, чтобы использовать ключи для шифрования и расшифровки DEK. Это обеспечивает вам полный контроль над своими данными и ключами. Вы можете отключить ключи или отозвать доступ к управляемым дискам в любое время. Кроме того, можно проводить аудит использования ключа шифрования с помощью мониторинга Azure Key Vault, чтобы обеспечить доступ к ключам только управляемых дисков или других доверенных служб Azure.

Важно!

При отключении, удалении или истечении срока действия ключа все виртуальные машины с ос или дисками данных, использующими этот ключ, автоматически завершаются. После автоматического завершения работы виртуальные машины не будут загружаться, пока ключ не будет снова включен, или пока вы не назначите новый ключ.

Как правило, дисковый ввод-вывод (операции чтения или записи) начинает завершать сбой через час после отключения, удаления или истечения срока действия ключа.

На следующей схеме показано, как управляемые диски используют Azure Active Directory и Azure Key Vault для выполнения запросов с помощью управляемого клиентом ключа:

Ниже приведено более подробное описание схемы.

1. Администратор Azure Key Vault создает ресурсы хранилища ключей.
2. Администратор хранилища ключей либо импортирует ключи RSA в Key Vault, либо создает новые ключи RSA в Key Vault.
3. Этот администратор создает экземпляр ресурса для набора шифрования диска, указывая идентификатор Azure Key Vault и URL-адрес ключа. Набор шифрования дисков — это новый ресурс, который появился для упрощения управления ключами для управляемых дисков.
4. При создании набора шифрования диска в Azure Active Directory (AD) создается назначенный системой управляемый идентификатор и связывается с набором шифрования диска.
5. Затем администратор хранилища ключей Azure предоставляет управляемому удостоверению разрешение на выполнение операций в хранилище ключей.
6. Пользователь виртуальной машины создает диски, связывая их с набором шифрования дисков. Пользователь виртуальной машины может также включить шифрование на стороне сервера с помощью управляемых клиентом ключей для существующих ресурсов, связав их с набором шифрования дисков.
7. Управляемые диски используют управляемое удостоверение для отправки запросов в Azure Key Vault.
8. Для чтения или записи данных управляемые диски отправляют запросы в Azure Key Vault для шифрования (упаковки) и расшифровки (распаковки) ключа шифрования данных для выполнения шифрования и расшифровки данных.

Сведения об отзыве доступа к ключам, управляемым клиентом, см. в разделах Azure Key Vault PowerShell и Azure Key Vault CLI. Отмена доступа фактически блокирует доступ ко всем данным в учетной записи хранения, так как ключ шифрования станет недоступен службе хранилища Azure.

Автоматическая смена ключей, управляемых клиентом

Вы можете включить автоматическую смену для последней версии ключа. Диск ссылается на ключ с помощью набора шифрования диска. При включении автоматической смены для набора шифрования дисков система автоматически обновит все управляемые диски, моментальные снимки и образы, которые ссылаются на набор шифрования диска, чтобы использовать новую версию ключа в течение одного часа. Сведения о том, как настроить автоматическую смену ключей, управляемых клиентом, см. в разделе Настройка Azure Key Vault и DiskEncryptionSet с автоматической сменой ключей.

Примечание

Виртуальные машины не будут перезагружены во время автоматической смены ключей.

Ограничения

В настоящее время ключи, управляемые клиентом, имеют следующие ограничения.

• Если эта функция включена для диска с добавочными моментальными снимками, ее нельзя отключить на этом диске или его моментальных снимках. Чтобы обойти эту проблему, скопируйте все данные на совершенно другой управляемый диск, который не использует ключи, управляемые клиентом. Это можно сделать с помощью Azure CLI или модуля Azure PowerShell.
• Поддерживаются только ключи RSA для программного обеспечения и HSM с размерами 2048 бит, 3072 бит и 4096 бит. Другие ключи или размеры не поддерживаются.
  • Для ключей HSM требуется уровень Premium Azure Key Vault.
• Только для дисков SSD (цен. категория "Ультра") и SSD (цен. категория "Премиум") версии 2: моментальные снимки, созданные на основе дисков, зашифрованных с помощью шифрования на стороне сервера и управляемых клиентом ключей, должны шифроваться с помощью одних и того же ключа, управляемого клиентом.
• Большинство ресурсов, связанных с ключами, управляемыми клиентом (наборы шифрования дисков, виртуальные машины, диски и моментальные снимки), должны находиться в одной подписке и регионе.
  • Azure Key Vault можно использовать из другой подписки, но они должны находиться в том же регионе, что и набор шифрования дисков. В качестве предварительной версии можно использовать Azure Key Vault из разных клиентов Azure Active Directory.
• Диски, зашифрованные с помощью ключей, управляемых клиентом, могут перемещаться в другую группу ресурсов, только если виртуальная машина, к которому они подключены, освобождена.
• Диски, моментальные снимки и образы, зашифрованные с помощью ключей, управляемых клиентом, нельзя перемещать между подписками.
• Управляемые диски, зашифрованные в настоящее время или ранее зашифрованные с помощью шифрования дисков Azure, не могут быть зашифрованы с помощью ключей, управляемых клиентом.
• Может создавать до 5000 наборов шифрования дисков в каждом регионе на подписку.
• Сведения об использовании управляемых клиентом ключей с общими коллекциями образов см. в разделе Предварительная версия: использование управляемых клиентом ключей для шифрования образов.

Поддерживаемые регионы

Ключи, управляемые клиентом, доступны во всех регионах, где предоставляются управляемые диски.

Важно!

Управляемые клиентом ключи используют управляемые удостоверения для ресурсов Azure — функцию Azure Active Directory (Azure AD). При настройке управляемых пользователем ключей управляемое удостоверение автоматически назначается вашим ресурсам. При последующем перемещении подписки, группы ресурсов или управляемого диска из одного каталога Azure AD в другой управляемое удостоверение, связанное с управляемыми дисками, не передается в новый арендатор, поэтому управляемые клиентом ключи могут перестать работать. Дополнительные сведения см. в статье Передача подписки между каталогами Azure AD.

Сведения о том, как настроить для управляемых дисков ключи, управляемые клиентом, см. в статьях с инструкциями для модуля Azure PowerShell, Azure CLI или портала Azure.

Пример кода см. в статье Создание управляемого диска из snapshot с помощью CLI.

Шифрование на уровне узла — сквозное шифрование данных виртуальной машины

Если вы включаете шифрование на узле, такое шифрование начинается на самом узле виртуальной машины, то есть на сервере Azure, где размещена виртуальная машина. На этом узле виртуальной машины хранятся данные для временных дисков, кэшей дисков данных и дисков ОС. При включенном шифровании на узле все эти данные шифруются при хранении, а потоки данных шифруются в службе хранилища, где они сохраняются. По сути, шифрование на узле обеспечивает сквозное шифрование данных. Шифрование на узле не использует ЦП виртуальной машины и не влияет на ее производительность.

При использовании сквозного шифрования временные диски и временные диски ОС шифруются при хранении с использованием ключей, управляемых платформой. Кэши дисков данных и дисков ОС шифруются при хранении с использованием ключей, управляемых платформой или клиентом, в зависимости от выбранного типа шифрования диска. Например, если диск зашифрован ключами, управляемыми клиентом, то и кэш для диска шифруется с использованием ключей, управляемых клиентом, а если диск шифруется ключами, управляемыми платформой, то кэш диска шифруется с использованием ключей, управляемых платформой.

Ограничения

• Не поддерживает диски ценовой категории "Ультра" или управляемые диски SSD ценовой категории "Премиум" версии 2.
• Невозможно включить, если шифрование дисков Azure (шифрование гостевой виртуальной машины с помощью bitlocker/DM-Crypt) включено на виртуальных машинах или масштабируемых наборах виртуальных машин.
• Шифрование дисков Azure нельзя включить на дисках с включенным шифрованием на узле.
• Шифрование можно включить в существующих масштабируемых наборах виртуальных машин. Однако автоматически выполняется шифрование только новых виртуальных машин, созданных после включения шифрования.
• Для шифрования существующие виртуальные машины необходимо освободить и перераспределить.

Поддерживаемые размеры виртуальных машин

Полный список поддерживаемых размеров виртуальных машин можно получить программным способом. Сведения о получении этих данных программным путем см. в разделах о поиске поддерживаемых размеров виртуальных машин в статьях с инструкциями для модуля Azure PowerShell или Azure CLI.

Чтобы включить сквозное шифрование с поддержкой шифрования на узле, воспользуйтесь статьями с инструкциями для модуля Azure PowerShell, Azure CLI или портала Azure.

Двойное шифрование неактивных данных

Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Этот новый слой можно применить к сохраненным дискам ОС и дискам данных, моментальным снимкам и образам. В этом случае любой из этих объектов будет шифроваться при хранении с помощью двойного шифрования.

Ограничения

Двойное шифрование неактивных дисков в настоящее время не поддерживается для дисков SSD (цен. категория "Ультра") и SSD (цен. категория "Премиум") версии 2.

Поддерживаемые регионы

Двойное шифрование доступно во всех регионах, где предоставляются управляемые диски.

Сведения о том, как настроить для управляемых дисков двойное шифрование, см. в статьях с инструкциями для модуля Azure PowerShell, Azure CLI или портала Azure.

Шифрование на стороне сервера и шифрование дисков Azure

Шифрование дисков Azure использует функцию DM-Crypt в ОС Linux или BitLocker в ОС Windows для шифрования управляемых дисков гостевой виртуальной машины с использованием ключей, управляемых клиентом. Шифрование на стороне сервера с использованием управляемых клиентом ключей улучшает работу шифрования дисков Azure, позволяя использовать любые типы ОС и образы для виртуальных машин путем шифрования данных в службе хранилища.

Важно!

Управляемые клиентом ключи используют управляемые удостоверения для ресурсов Azure — функцию Azure Active Directory (Azure AD). При настройке управляемых пользователем ключей управляемое удостоверение автоматически назначается вашим ресурсам. При перемещении подписки, группы ресурсов или управляемого диска из одного каталога Azure AD в другой управляемое удостоверение, связанное с управляемыми дисками, не передается в новый клиент, поэтому управляемые клиентом ключи могут перестать работать. Дополнительные сведения см. в статье Передача подписки между каталогами Azure AD.

Дальнейшие действия

• Включите сквозное шифрование с помощью шифрования на узле, используя модуль Azure PowerShell, Azure CLI или портал Azure.
• Включите двойное шифрование при хранении для управляемых дисков с помощью модуля Azure PowerShell, Azure CLI или портала Azure.
• Включите ключи, управляемые клиентом, для управляемых дисков с помощью модуля Azure PowerShell, Azure CLI или портала Azure.
• Изучите шаблоны Azure Resource Manager для создания зашифрованных дисков с помощью управляемых клиентом ключей
• Что такое хранилище ключей Azure?