Kryptering på serversidan av Azure-disklagring

Gäller för: ✔️ virtuella Linux-datorer ✔️ virtuella Windows-datorer ✔️ flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

De flesta Azure hanterade diskar krypteras med Azure Storage kryptering, som använder kryptering på serversidan (SSE) för att skydda dina data och för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Storage kryptering krypterar automatiskt dina data som lagras på Azure hanterade diskar (operativsystem och datadiskar) i vila som standard när du sparar dem i molnet. Diskar med kryptering på värden aktiverat krypteras dock inte via Azure Storage. För diskar med kryptering på värden aktiverat tillhandahåller servern som är värd för den virtuella datorn kryptering för dina data, och den krypterade datan flödar sedan till Azure Storage.

Data i Azure hanterade diskar krypteras transparent med 256-bitars AES-kryptering, en av de starkaste blockkrypteringarna som är tillgängliga och är FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger bakom Azure hanterade diskar finns i Cryptography API: Next Generation

Azure Storage kryptering påverkar inte prestandan för hanterade diskar och det kostar inget extra. Mer information om Azure Storage kryptering finns i Azure Storage kryptering.

Viktigt!

Tillfälliga diskar är inte hanterade diskar och krypteras inte av Server Side Encryption (SSE), såvida du inte aktiverar kryptering direkt på värdsystemet.

Azure virtuella datorer som är version 5 och senare (till exempel Dsv5 eller Dsv6) krypterar automatiskt sina tillfälliga diskar och sina efemära OS-diskar (om de används) med kryptering i vila.

Om hantering av krypteringsnycklar

Du kan förlita dig på plattformshanterade nycklar för kryptering av den hanterade disken eller hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera alla data på hanterade diskar.

I följande avsnitt beskrivs var och en av alternativen för nyckelhantering i detalj.

Plattformshanterade nycklar

Som standard använder hanterade diskar plattformshanterade krypteringsnycklar. Alla hanterade diskar, ögonblicksbilder, bilder och data som skrivits till befintliga hanterade diskar krypteras automatiskt i vila med plattformshanterade nycklar. Plattformshanterade nycklar hanteras av Microsoft.

Kundhanterade nycklar

Du kan välja att hantera kryptering på nivån för varje hanterad disk med dina egna nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller.

Du måste använda något av följande Azure nyckellager för att lagra dina kundhanterade nycklar:

Du kan antingen importera your RSA-nycklar till din Key Vault eller generera nya RSA-nycklar i Azure Key Vault. Azure hanterade diskar hanterar kryptering och dekryptering på ett helt transparent sätt med hjälp av kuvertkryptering. Den krypterar data med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med hjälp av dina nycklar. Lagringstjänsten genererar datakrypteringsnycklar och krypterar dem med kundhanterade nycklar med hjälp av RSA-kryptering. Med kuvertkrypteringen kan du rotera (ändra) dina nycklar regelbundet enligt dina efterlevnadsprinciper utan att påverka dina virtuella datorer. När du roterar dina nycklar omsluter Lagringstjänsten datakrypteringsnycklarna igen med den nya kundhanterade nyckelversionen. Själva underliggande diskdata krypteras inte om. Både gamla och nya nyckelversioner måste vara aktiverade tills omslutningen är klar.

Hanterade diskar och Key Vault eller hanterad HSM måste finnas i samma Azure region, men de kan finnas i olika prenumerationer. De måste också finnas i samma Microsoft Entra klientorganisation, om du inte använder Kryptera hanterade diskar med kundhanterade nycklar som delas mellan klientorganisationer.

Fullständig kontroll över dina nycklar

Du måste ge åtkomst till hanterade diskar i din Key Vault eller hanterade HSM för att använda dina nycklar för kryptering och dekryptering av DEK. På så sätt kan du få fullständig kontroll över dina data och nycklar. Du kan inaktivera dina nycklar eller återkalla åtkomsten till hanterade diskar när som helst. Du kan också granska krypteringsnyckelanvändningen med Azure Key Vault övervakning för att säkerställa att endast hanterade diskar eller andra betrodda Azure tjänster har åtkomst till dina nycklar.

Viktigt!

När en nyckel antingen har inaktiverats, tagits bort eller upphört att gälla stängs alla virtuella datorer med operativsystem eller datadiskar som använder den nyckeln automatiskt. När den automatiserade avstängningen har stängts startar inte de virtuella datorerna förrän nyckeln har aktiverats igen, eller så tilldelar du en ny nyckel.

I allmänhet börjar disk-I/O (läs- eller skrivåtgärder) misslyckas en timme efter att en nyckel antingen har inaktiverats, tagits bort eller upphört att gälla.

Följande diagram visar hur hanterade diskar använder Microsoft Entra ID och Azure Key Vault för att göra begäranden med hjälp av den kundhanterade nyckeln:

Diagram för arbetsflödet för hanterade diskar och kundhanterade nycklar. En administratör skapar en Azure Key Vault, skapar sedan en diskkrypteringsuppsättning och konfigurerar diskkrypteringsuppsättningen. Uppsättningen är associerad med en virtuell dator, vilket gör att disken kan använda Microsoft Entra ID för att autentisera.

I följande lista förklaras diagrammet mer detaljerat:

  1. En Azure Key Vault-administratör skapar nyckelvalvsresurser.
  2. Den key vault administratören importerar antingen sina RSA-nycklar till Key Vault eller genererar nya RSA-nycklar i Key Vault.
  3. Administratören skapar en instans av diskkrypteringsuppsättningsresursen och anger ett Azure Key Vault-ID och en nyckel-URL. Diskkrypteringsuppsättning är en ny resurs som introduceras för att förenkla nyckelhanteringen för hanterade diskar.
  4. När en diskkrypteringsuppsättning skapas skapas en systemtilldelad hanterad identitet i Microsoft Entra ID och associeras med diskkrypteringsuppsättningen.
  5. Administratören för Azure nyckelvalv ger sedan behörighet till den hanterade identiteten att utföra aktiviteter i nyckelvalvet.
  6. En virtuell datoranvändare skapar diskar genom att associera dem med diskkrypteringsuppsättningen. Den virtuella datoranvändaren kan också aktivera kryptering på serversidan med kundhanterade nycklar för befintliga resurser genom att associera dem med diskkrypteringsuppsättningen.
  7. Hanterade diskar använder den hanterade identiteten för att skicka begäranden till Azure Key Vault.
  8. För att läsa eller skriva data skickar hanterade diskar begäranden till Azure Key Vault för att kryptera (omsluta) och dekryptera (packa upp) datakrypteringsnyckeln för att utföra kryptering och dekryptering av data.

Information om hur du återkallar åtkomst till kundhanterade nycklar finns i Azure Key Vault PowerShell och Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data i lagringskontot eftersom krypteringsnyckeln inte kan nås av Azure Storage.

Automatisk nyckelrotation av kundhanterade nycklar

Om du använder kundhanterade nycklar bör du i allmänhet aktivera automatisk nyckelrotation till den senaste nyckelversionen. Automatisk nyckelrotation hjälper till att säkerställa att dina nycklar är säkra. En disk refererar till en nyckel via dess diskkrypteringsuppsättning. När du aktiverar automatisk rotation för en diskkrypteringsuppsättning uppdaterar systemet automatiskt alla hanterade diskar, ögonblicksbilder och bilder som refererar till diskkrypteringsuppsättningen för att använda den nya versionen av nyckeln inom en timme. Information om hur du aktiverar kundhanterade nycklar med automatisk nyckelrotation finns i Set up an Azure Key Vault and DiskEncryptionSet with automatic key rotation.

Kommentar

Virtual Machines startas inte om under automatisk nyckelrotation.

Om du inte kan aktivera automatisk nyckelrotation kan du använda andra metoder för att varna dig innan nycklarna upphör att gälla. På så sätt kan du se till att rotera dina nycklar innan de upphör att gälla och behålla affärskontinuiteten. Du kan använda antingen en Azure Policy eller Azure Event Grid för att skicka ett meddelande när en nyckel snart upphör att gälla.

Begränsningar

För tillfället har kundhanterade nycklar följande begränsningar:

  • Om den här funktionen är aktiverad för en disk med inkrementella ögonblicksbilder kan den inte inaktiveras på den disken eller dess ögonblicksbilder. För att undvika detta kopierar du alla data till en helt annan hanterad disk som inte använder kundhanterade nycklar. Du kan göra det antingen med modulen Azure CLI eller modulen Azure PowerShell.
  • En disk och alla dess associerade inkrementella ögonblicksbilder måste ha samma diskkrypteringsuppsättning.
  • Endast programvara och HSM RSA-nycklar i storlekarna 2 048-bitars, 3 072- och 4 096-bitars stöds, inga andra nycklar eller storlekar.
    • HSM-nycklar kräver Premium-nivån för Azure Key Vault.
  • Endast för Ultra Disks- och Premium SSD v2-diskar:
    • (Förhandsversion) Användartilldelade hanterade identiteter är tillgängliga för Ultra Disks- och Premium SSD v2-diskar som krypterats med kundhanterade nycklar.
  • De flesta resurser som är relaterade till dina kundhanterade nycklar (diskkrypteringsuppsättningar, virtuella datorer, diskar och ögonblicksbilder) måste finnas i samma prenumeration och region.
  • Diskar som krypterats med kundhanterade nycklar kan bara flyttas till en annan resursgrupp om den virtuella dator som de är anslutna till frigörs.
  • Diskar, ögonblicksbilder och bilder som krypterats med kundhanterade nycklar kan inte flyttas mellan prenumerationer.
  • Hanterade diskar som för närvarande eller tidigare krypterats med Azure Disk Encryption kan inte krypteras med hjälp av kundhanterade nycklar.
  • Det går bara att skapa upp till 5 000 diskkrypteringsuppsättningar per region per prenumeration.
  • Information om hur du använder kundhanterade nycklar med delade bildgallerier finns i Förhandsversion: Använda kundhanterade nycklar för kryptering av bilder.

Regioner som stöds

Kundhanterade nycklar är tillgängliga i alla regioner där hanterade diskar är tillgängliga.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure resurser, en funktion i Microsoft Entra ID. När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser bakom kulisserna. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra kataloger.

Om du vill aktivera kundhanterade nycklar för hanterade diskar kan du läsa våra artiklar om hur du aktiverar den med modulen Azure PowerShell, Azure CLI eller Azure-portalen.

Se Skapa en hanterad disk från en ögonblicksbild med CLI för ett kodexempel.

Kryptering på värd – End-to-end-kryptering för dina VM-data

När du aktiverar kryptering på värden startar krypteringen på själva den virtuella datorns värd, den Azure server som den virtuella datorn allokeras till. Data för dina tillfälliga disk- och OS/datadiskcacheminnen lagras på den virtuella datorvärden. När du har aktiverat kryptering på värdnivå krypteras alla dessa data när den är i vila och överförs krypterad till lagringstjänsten, där de sparas. Kryptering på värdnivå krypterar dina data från början till slut. Kryptering hos värden använder inte din virtuella dators processor och påverkar inte din virtuella dators prestanda.

Tillfälliga diskar och tillfälliga OS-diskar krypteras i vila med plattformshanterade nycklar när du aktiverar kryptering från slutpunkt till slutpunkt. Operativsystemet och datadiskcachen krypteras i vila med antingen kundhanterade eller plattformshanterade nycklar, beroende på den valda diskkrypteringstypen. Om en disk till exempel krypteras med kundhanterade nycklar krypteras cachen för disken med kundhanterade nycklar, och om en disk krypteras med plattformshanterade nycklar krypteras cachen för disken med plattformshanterade nycklar.

Begränsningar

  • Det går inte att aktivera på virtuella datorer eller virtuella maskinskalsuppsättningar som för närvarande eller någonsin har haft Azure Disk Encryption aktiverat.
  • Azure Disk Encryption kan inte aktiveras på enheter som har kryptering hos värd aktiverat.
  • Krypteringen kan aktiveras på befintliga virtuella maskinskalningsuppsättningar. Men endast nya virtuella datorer som skapas efter aktivering av krypteringen krypteras automatiskt.
  • Befintliga virtuella datorer måste frigöras och omallokeras för att kunna krypteras.

Följande begränsningar gäller endast för Ultra Disks och Premium SSD v2:

  • Diskar med en sektorstorlek på 512e måste ha skapats efter 2023-05-13.

VM-storlekar som stöds

Den fullständiga listan över vm-storlekar som stöds kan hämtas programmatiskt. Information om hur du hämtar dem programmatiskt finns i avsnittet hitta vm-storlekar som stöds i antingen modulen Azure PowerShell eller Azure CLI.

Om du vill aktivera slut-till-slut-kryptering med värdkryptering, kan du läsa våra artiklar om hur du aktiverar den med antingen modulen Azure PowerShell, Azure CLI eller Azure-portalen.

Dubbel kryptering i vilande tillstånd

Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan nu välja ett extra krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturlagret med hjälp av plattformshanterade krypteringsnycklar. Det här nya lagret kan tillämpas på bevarade operativsystem och datadiskar, ögonblicksbilder och bilder, som alla krypteras i vila med dubbel kryptering.

Begränsningar

Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.

Information om hur du aktiverar dubbel kryptering i vila för hanterade diskar finns i Aktivera dubbel kryptering i vila för hanterade diskar.

Kryptering på värd kontra Azure diskkryptering

Azure Disk Encryption utnyttjar antingen funktionen DM-Crypt i Linux eller funktionen BitLocker i Windows för att kryptera hanterade diskar med kundhanterade nycklar i den virtuella gästdatorn. Kryptering på serversidan med värdbaserad kryptering förbättrar ADE. Med kryptering på värd lagras data för dina tillfälliga disk- och OS/datadiskcacher på VM-värd. När du har aktiverat kryptering på värdnivå krypteras alla dessa data när den är i vila och överförs krypterad till lagringstjänsten, där de sparas. Kryptering på värdnivå krypterar dina data från början till slut. Kryptering hos värden använder inte din virtuella dators processor och påverkar inte din virtuella dators prestanda.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure resurser, en funktion i Microsoft Entra ID. När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser bakom kulisserna. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra kataloger.

Nästa steg

  • Last updated on