Översikt över krypteringsalternativ för hanterade diskar
Det finns flera typer av kryptering för dina hanterade diskar, inklusive Azure Disk Encryption (ADE), SSE (Server-Side Encryption) och kryptering på värden.
Kryptering på serversidan för Azure Disk Storage (kallas även kryptering i vila eller Azure Storage-kryptering) är alltid aktiverat och krypterar automatiskt data som lagras på Azure-hanterade diskar (OS och datadiskar) när de sparas i lagringskluster. När den konfigureras med en diskkrypteringsuppsättning (DES) stöder den även kundhanterade nycklar. Den krypterar inte temporära diskar eller diskcacheminnen. Fullständig information finns i Kryptering på serversidan av Azure Disk Storage.
Kryptering på värden är ett alternativ för virtuell dator som förbättrar Kryptering på serversidan för Azure Disk Storage för att säkerställa att alla temporära diskar och diskcacheminnen krypteras i vila och flödet krypteras till Lagringskluster. Fullständig information finns i Kryptering på värden – Kryptering från slutpunkt till slutpunkt för dina VM-data.
Azure Disk Encryption hjälper dig att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. ADE krypterar operativsystemet och datadiskarna för virtuella Azure-datorer i dina virtuella datorer med hjälp av DM-Crypt-funktionen i Linux eller BitLocker-funktionen i Windows. ADE är integrerat med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter, med alternativet att kryptera med en nyckelkrypteringsnyckel (KEK). Fullständig information finns i Azure Disk Encryption för virtuella Linux-datorer eller Azure Disk Encryption för virtuella Windows-datorer.
Konfidentiell diskkryptering binder diskkrypteringsnycklar till den virtuella datorns TPM och gör det skyddade diskinnehållet endast tillgängligt för den virtuella datorn. Gästtillståndet för TPM och den virtuella datorn krypteras alltid i attesterad kod med hjälp av nycklar som släppts av ett säkert protokoll som kringgår hypervisor- och värdoperativsystemet. För närvarande endast tillgängligt för OS-disken. Kryptering på värden kan användas för andra diskar på en konfidentiell virtuell dator utöver konfidentiell diskkryptering. Fullständig information finns i DCasv5- och ECasv5-seriens konfidentiella virtuella datorer.
Kryptering är en del av en skiktad metod för säkerhet och bör användas med andra rekommendationer för att skydda virtuella datorer och deras diskar. Fullständig information finns i Säkerhetsrekommendationer för virtuella datorer i Azure och Begränsa import-/exportåtkomst till hanterade diskar.
Jämförelse
Här är en jämförelse av Disk Storage SSE, ADE, kryptering på värd och Konfidentiell diskkryptering.
| Kryptering på serversidan för Azure Disk Storage | Kryptering på värddator | Azure Disk Encryption | Konfidentiell diskkryptering (endast för OS-disken) | |
|---|---|---|---|---|
| Kryptering i vila (OPERATIVSYSTEM och datadiskar) | ✅ | ✅ | ✅ | ✅ |
| Temporär diskkryptering | ❌ | ✅ Stöds endast med plattformshanterad nyckel | ✅ | ❌ |
| Kryptering av cacheminnen | ❌ | ✅ | ✅ | ✅ |
| Dataflöden krypterade mellan beräkning och lagring | ❌ | ✅ | ✅ | ✅ |
| Kundkontroll av nycklar | ✅ När du har konfigurerat med DES | ✅ När du har konfigurerat med DES | ✅ När du har konfigurerat med KEK | ✅ När du har konfigurerat med DES |
| HSM-stöd | Azure Key Vault Premium och Managed HSM | Azure Key Vault Premium och Managed HSM | Azure Key Vault Premium | Azure Key Vault Premium och Managed HSM |
| Använder inte den virtuella datorns CPU | ✅ | ✅ | ❌ | ❌ |
| Fungerar för anpassade avbildningar | ✅ | ✅ | ❌ Fungerar inte för anpassade Linux-avbildningar | ✅ |
| Förbättrat nyckelskydd | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender för molnet diskkrypteringsstatus* | Ohälsosamt | Felfri | Felfri | Inte tillämpligt |
Viktigt!
För konfidentiell diskkryptering har Microsoft Defender för molnet för närvarande ingen rekommendation som är tillämplig.
* Microsoft Defender för molnet har följande rekommendationer för diskkryptering:
- Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser (identifierar endast Azure Disk Encryption)
- [Förhandsversion]: Virtuella Windows-datorer ska aktivera Azure Disk Encryption eller EncryptionAtHost (identifierar både Azure Disk Encryption och EncryptionAtHost)
- [Förhandsversion]: Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost (identifierar både Azure Disk Encryption och EncryptionAtHost)