Шифрование дисков Azure для виртуальных машин под управлением Linux
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Обратите внимание на использование и план соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы
Шифрование дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Для шифрования томов на дисках с ОС и данными на виртуальных машинах Azure в Linux используется функция DM-Crypt, а также хранилище Azure Key Vault, которое помогает управлять ключами шифрования дисков и секретами.
Шифрование дисков Azure является отказоустойчивым в пределах зоны, как и Виртуальные машины. Чтобы узнать больше, ознакомьтесь со службами Azure с поддержкой зон доступности.
Если вы используете Microsoft Defender для облака, то будете получать оповещения, если будут незашифрованные виртуальные машины. Вы получите оповещение высокого уровня серьезности вместе c рекомендацией о шифровании таких виртуальных машин.
Предупреждение
- Если вы ранее использовали Шифрование дисков Azure с идентификатором Microsoft Entra для шифрования виртуальной машины, необходимо продолжить использовать этот параметр для шифрования виртуальной машины. См. детали в разделе Шифрование дисков Azure с использованием приложения Microsoft Entra ID (предыдущий выпуск).
- Выполнение некоторых приведенных рекомендаций может привести к более интенсивному использованию данных, сети или вычислительных ресурсов, а следовательно к дополнительным затратам на лицензии или подписки. Необходима действующая подписка Azure, которая позволяет создавать ресурсы Azure в поддерживаемых регионах.
Статьи Создание и шифрование виртуальной машины под управлением Linux с помощью краткого руководства по Azure CLI и Создание и шифрование виртуальной машины под управлением Linux с помощью краткого руководства по Azure PowerShell помогут вам изучить основы шифрования дисков Azure для Linux за несколько минут.
Поддерживаемые виртуальные машины и операционные системы
Поддерживаемые виртуальные машины
Виртуальные машины под управлением Linux имеют определенный диапазон размеров. Шифрование дисков Azure поддерживается на виртуальных машинах поколения 1 и 2. Шифрование дисков Azure также доступно для виртуальных машин с хранилищем класса "Премиум".
Ознакомьтесь с разделом Часто задаваемые вопросы о размерах виртуальных машин Azure без локального временного диска.
Шифрование дисков Azure также недоступно на виртуальных машинах серии А ценовой категории "Базовый" и на виртуальных машинах, которые не соответствуют приведенным ниже минимальным требованиям к памяти.
Требования к памяти
| Виртуальная машина | Минимальные требования к памяти |
|---|---|
| Виртуальные машины Linux при шифровании только томов данных | 2 ГБ |
| Виртуальные машины Linux при шифровании томов и томов ОС и корневой (/) файловой системы составляет 4 ГБ или меньше. | 8 ГБ |
| Виртуальные машины Linux при шифровании томов данных и ОС, а также в том, где использование корневой файловой системы превышает 4 ГБ. | Использование корневой файловой системы * 2. Например, для 16 ГБ использования корневой файловой системы требуется не менее 32 ГБ ОЗУ. |
После завершения процесса шифрования дисков ОС на виртуальных машинах Linux виртуальную машину можно настроить для работы с меньшим объемом памяти.
Дополнительные исключения см. в разделе Шифрование дисков Azure: ограничения.
Поддерживаемые операционные системы
Шифрование дисков Azure поддерживается в подмножестве дистрибутивов Linux, рекомендованных для Azure, которое само по себе является подмножеством всех возможных дистрибутивов для серверов Linux.
Дистрибутивы для серверов Linux, не рекомендованные для Azure, не поддерживают шифрование дисков Azure. Из рекомендованных поддерживаются только следующие дистрибутивы и версии:
| Publisher | ПРЕДЛОЖЕНИЕ | номер SKU | URN | Тип тома, для которого поддерживается шифрование |
|---|---|---|---|---|
| Canonical | Ubuntu | 22.04-LTS | Canonical:0001-com-ubuntu-server-jammy:22_04-lts:latest | Диск операционной системы и данных |
| Canonical | Ubuntu | 22.04-LTS 2-го поколения | Canonical:0001-com-ubuntu-server-jammy:22_04-lts-gen2:latest | Диск операционной системы и данных |
| Canonical | Ubuntu | 20.04-LTS | Canonical:0001-com-ubuntu-server-focal:20_04-lts:latest | Диск операционной системы и данных |
| Canonical | Ubuntu | 20.04-DAILY-LTS | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts:latest | Диск операционной системы и данных |
| Canonical | Ubuntu | 20.04-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest | Диск операционной системы и данных |
| Canonical | Ubuntu | 20.04-DAILY-LTS Gen2 | Canonical:0001-com-ubuntu-server-focal-daily:20_04-daily-lts-gen2:latest | Диск операционной системы и данных |
| Canonical | Ubuntu | 18.04-LTS | Canonical:UbuntuServer:18.04-LTS:latest | Диск операционной системы и данных |
| Canonical | Ubuntu 18.04 | 18.04-DAILY-LTS | Canonical:UbuntuServer:18.04-DAILY-LTS:latest | Диск операционной системы и данных |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2:latest* | Диск операционной системы и данных |
| MicrosoftCBLMariner | cbl-mariner | cbl-mariner-2-gen2 | MicrosoftCBLMariner:cbl-mariner:cbl-mariner-2-gen2:latest* | Диск операционной системы и данных |
| OpenLogic | CentOS 8-LVM | 8-LVM | OpenLogic:CentOS-LVM:8-LVM:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 8.4 | 8_4 | OpenLogic:CentOS:8_4:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 8.3 | 8_3 | OpenLogic:CentOS:8_3:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 8.2 | 8_2 | OpenLogic:CentOS:8_2:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 7-LVM | 7-LVM | OpenLogic:CentOS-LVM:7-LVM:7.9.2021020400 | Диск операционной системы и данных |
| OpenLogic | CentOS 7.9 | 7_9 | OpenLogic:CentOS:7_9:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 7.8 | 7_8 | OpenLogic:CentOS:7_8:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 7.7 | 7.7 | OpenLogic:CentOS:7.7:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 7.6 | 7.6 | OpenLogic:CentOS:7.6:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 7.5 | 7.5 | OpenLogic:CentOS:7.5:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 7.4 | 7,4 | OpenLogic:CentOS:7.4:latest | Диск операционной системы и данных |
| OpenLogic | CentOS 6.8. | 6,8 | OpenLogic:CentOS:6.8:latest | Только диск данных |
| Oracle | Oracle Linux 8.6 | 8,6 | Oracle:Oracle-Linux:ol86-lvm:latest | ОС и диск данных (см. примечание ниже) |
| Oracle | Oracle Linux 8.6-го поколения 2-го поколения | 8,6 | Oracle:Oracle-Linux:ol86-lvm-gen2:latest | ОС и диск данных (см. примечание ниже) |
| Oracle | Oracle Linux 8.5 | 8,5 | Oracle:Oracle-Linux:ol85-lvm:latest | ОС и диск данных (см. примечание ниже) |
| Oracle | Oracle Linux 8.5-го поколения 2-го поколения | 8,5 | Oracle:Oracle-Linux:ol85-lvm-gen2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 9.2 | 9,2 | RedHat:RHEL:9_2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 9.2-го поколения 2-го поколения | 9,2 | RedHat:RHEL:92-го поколения2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 9.0 | 9.0 | RedHat:RHEL:9_0:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 9.0 2-го поколения | 9.0 | RedHat:RHEL:90-gen2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 9-lvm | 9-lvm | RedHat:RHEL:9-lvm:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 9-lvm 2-го поколения | 9-lvm-gen2 | RedHat:RHEL:9-lvm-gen2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.9 | 8,9 | RedHat:RHEL:8_9:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.9-го поколения 2-го поколения | 8,9 | RedHat:RHEL:89-2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.8 | 8.8 | RedHat:RHEL:8_8:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.8-го поколения 2-го поколения | 8.8 | RedHat:RHEL:88-го поколения2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.7 | 8,7 | RedHat:RHEL:8_7:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.7-го поколения 2-го поколения | 8,7 | RedHat:RHEL:87-2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.6 | 8,6 | RedHat:RHEL:8_6:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.6 2-го поколения | 8,6 | RedHat:RHEL:86-gen2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.5 | 8,5 | RedHat:RHEL:8_5:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.5 2-го поколения | 8,5 | RedHat:RHEL:85-gen2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.4 | 8.4 | RedHat:RHEL:8.4:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.3 | 8.3 | RedHat:RHEL:8.3:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8-LVM | 8-LVM | RedHat:RHEL:8-LVM:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8-LVM 2-го поколения | 8-lvm-gen2 | RedHat:RHEL:8-lvm-gen2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.2 | 8.2 | RedHat:RHEL:8.2:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 8.1 | 8.1 | RedHat:RHEL:8.1:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7-LVM | 7-LVM | RedHat:RHEL:7-LVM:7.9.2020111202 | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7.9 | 7_9 | RedHat:RHEL:7_9:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7.8 | 7.8 | RedHat:RHEL:7.8:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7.7 | 7.7 | RedHat:RHEL:7.7:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7.6 | 7.6 | RedHat:RHEL:7.6:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7.5 | 7.5 | RedHat:RHEL:7.5:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 7.4 | 7,4 | RedHat:RHEL:7.4:latest | ОС и диск данных (см. примечание ниже) |
| RedHat | RHEL 6.8 | 6,8 | RedHat:RHEL:6.8:latest | Диск данных (см. примечание ниже) |
| RedHat | RHEL 6.7 | 6.7 | RedHat:RHEL:6.7:latest | Диск данных (см. примечание ниже) |
| SUSE | openSUSE 42.3 | 42.3 | SUSE:openSUSE-Leap:42.3:latest | Только диск данных |
| SUSE | SLES 12-SP4 | 12-SP4 | SUSE:SLES:12-SP4:latest | Только диск данных |
| SUSE | SLES HPC 12-SP3 | 12-SP3 | SUSE:SLES-HPC:12-SP3:latest | Только диск данных |
* Для версий образа больше или равно май 2023 г.
Примечание.
RHEL:
- Новая реализация шифрования дисков Azure поддерживается для операционной системы RHEL и диска данных для образов RHEL7 с оплатой по мере использования.
- ADE также поддерживается для образов RHEL Gold с использованием собственной подписки, но только после регистрации подписки. Дополнительные сведения см. в статье Образы Red Hat Enterprise Linux Gold с использованием собственной подписки в Azure
Все дистрибутивы:
- Поддержка ADE для конкретного типа предложения не действует после даты прекращения поддержки, указанной издателем.
- Устаревшее решение ADE (с использованием учетных данных Microsoft Entra) не рекомендуется для новых виртуальных машин и не совместимо с версиями RHEL более поздней версии, чем RHEL 7.8 или Python 3 по умолчанию.
Дополнительные требования к виртуальным машинам
Для шифрования дисков Azure в системе должны быть установлены модули dm-crypt и vfat. Если вы удалите или отключите vfat от образа по умолчанию, система не сможет считать том ключа и получать ключ, необходимый для разблокировки дисков при последующих перезагрузках. Действия по усилению безопасности системы, которые удаляют модуль vfat из системы или принудительно расширяют точки подключения и папки ОС на диски данных, несовместимы с Шифрованием дисков Azure.
Перед включением шифрования диски данных, которые нужно зашифровать, должны быть правильно указаны в /etc/fstab. Используйте параметр nofail при создании записей и выберите имя устройства постоянного блока (как имена устройств в формате "/dev/sdX" могут не быть связаны с тем же диском во время перезагрузки, особенно после шифрования; дополнительные сведения об этом поведении см. в статье "Устранение неполадок с именем устройства виртуальной машины Linux").
Убедитесь, что параметры /etc/fstab для подключения настроены правильно. Чтобы настроить эти параметры, запустите команду mount -a или перезагрузите виртуальную машину и подключите ее заново таким образом. Как только это будет завершено, проверьте выходные данные команды lsblk, чтобы убедиться, что нужный диск все еще подключен.
- Если файл /etc/fstab не подключает диск должным образом до включения шифрования, служба шифрования дисков Azure не сможет правильно подключить его.
- Служба шифрования дисков Azure переместит информацию о подключении из /etc/fstab в собственный файл конфигурации как часть процесса шифрования. Не волнуйтесь, если увидите, что запись отсутствует в /etc/fstab после завершения шифрования диска данных.
- Перед началом шифрования остановите все службы и процессы, которые могут записывать что-либо на подключенные диски данных, и отключите их, чтобы они не перезапускались автоматически после перезагрузки. Таким образом, файлы на этих разделах будут открыты и процедура шифрования не сможет повторно подключить их, что позволит избежать сбоев.
- После перезагрузки процессу шифрования дисков Azure потребуется некоторое время для подключения только что зашифрованных дисков. После перезагрузки они не будут доступны сразу. Прежде чем зашифрованные диски станут доступными для других процессов, потребуется некоторое время для их запуска, разблокировки и подключения. Этот процесс может занять более минуты после перезагрузки в зависимости от характеристик системы.
Ниже приведен пример команд, используемых для подключения дисков данных и создания необходимых записей в /etc/fstab:
sudo UUID0="$(blkid -s UUID -o value /dev/sda1)"
sudo UUID1="$(blkid -s UUID -o value /dev/sda2)"
sudo mkdir /data0
sudo mkdir /data1
sudo echo "UUID=$UUID0 /data0 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo echo "UUID=$UUID1 /data1 ext4 defaults,nofail 0 0" >>/etc/fstab
sudo mount -a
Требования к сети
Чтобы использовать функцию шифрования дисков Azure, конфигурация конечной точки сети виртуальной машины под управлением Linux должна соответствовать приведенным ниже требованиям:
- Чтобы получить маркер для подключения к хранилищу ключей, виртуальная машина Linux должна иметь возможность подключиться к конечной точке Microsoft Entra [login.microsoftonline.com].
- Для записи ключей шифрования в ваше хранилище ключей виртуальная машина под управлением Linux должна иметь возможность подключиться к конечной точке хранилища ключей.
- Виртуальная машина под управлением Linux должна иметь возможность подключиться к конечной точке службы хранилища Azure, в которой размещен репозиторий расширений Azure, и к учетной записи хранения Azure, в которой размещены VHD-файлы.
- Если политика безопасности ограничивает доступ из виртуальных машин Azure к Интернету, можно разрешить предыдущий URI и настроить определенное правило, чтобы разрешить исходящее подключение к IP-адресам. Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
Требования к хранилищу ключей шифрования
Службе шифрования дисков Azure необходимо Azure Key Vault, чтобы управлять секретами и ключами шифрования дисков и контролировать их. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.
Дополнительные сведения см. в статье Создание и настройка хранилища ключей для шифрования дисков Azure.
Терминология
В следующей таблице приводятся распространенные термины, используемые в документации по шифрованию дисков Azure.
| Терминология | Определение |
|---|---|
| Azure Key Vault | Key Vault представляет собой службу управления криптографическими ключами. Она основана на аппаратных модулях безопасности, соответствующих Федеральному стандарту обработки информации (FIPS). Эти стандарты позволяют надежно хранить криптографические ключи и конфиденциальные данные. Дополнительные сведения см. в документации по Azure Key Vault и в статье Создание и настройка хранилища ключей для шифрования дисков Azure. |
| Azure CLI | Azure CLI оптимизирован для администрирования ресурсов Azure и управления ими из командной строки. |
| DM-Crypt | DM-Crypt — прозрачная подсистема шифрования дисков на платформе Linux, используемая для шифрования дисков виртуальных машин под управлением Linux. |
| Ключ шифрования ключей (KEK) | Асимметричный ключ (RSA 2048), который применяется для защиты секрета или помещения его в оболочку. Вы можете использовать защищенный HSM ключ или ключ с программной защитой. Дополнительные сведения см. в документации по Azure Key Vault и в статье Создание и настройка хранилища ключей для шифрования дисков Azure. |
| Командлеты PowerShell | Дополнительные сведения см. в статье Общие сведения об Azure PowerShell. |
Следующие шаги
- Краткое руководство. Создание и шифрование виртуальной машины Linux с помощью Azure CLI
- Краткое руководство. Создание и шифрование виртуальной машины Linux с помощью Azure PowerShell
- Azure Disk Encryption scenarios on Linux VMs (Сценарии шифрования дисков Azure для виртуальных машин Linux)
- Скрипт CLI для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
- Скрипт PowerShell для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
- Создание и настройка хранилища ключей для шифрования дисков Azure