Kryptering på serversidan i Azure Disk Storage

  • Artikel

Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

De flesta Azure-hanterade diskar krypteras med Azure Storage-kryptering på serversidan (SSE) för att skydda dina data och för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Storage-kryptering krypterar som standard automatiskt dina data som lagras på Azure-hanterade diskar (OS och datadiskar) i vila när de bevaras i molnet. Diskar med kryptering på värden aktiverad krypteras dock inte via Azure Storage. För diskar med kryptering på värden aktiverat tillhandahåller servern som är värd för den virtuella datorn kryptering för dina data och krypterade dataflöden överförs till Azure Storage.

Data i Azure-hanterade diskar krypteras transparent med 256-bitars AES-kryptering, en av de starkaste blockkrypteringarna som är tillgängliga och är FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger till grund för underliggande Azure-hanterade diskar finns i Kryptografi-API: Nästa generation

Azure Storage-kryptering påverkar inte prestanda för hanterade diskar och det kostar inget extra. Mer information om Azure Storage-kryptering finns i Azure Storage-kryptering.

Kommentar

Tillfälliga diskar är inte hanterade diskar och krypteras inte av SSE, såvida du inte aktiverar kryptering på värden.

Om hantering av krypteringsnycklar

Du kan förlita dig på plattformshanterade nycklar för kryptering av den hanterade disken eller hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera alla data på hanterade diskar.

I följande avsnitt beskrivs var och en av alternativen för nyckelhantering i detalj.

Plattformshanterade nycklar

Som standard använder hanterade diskar plattformshanterade krypteringsnycklar. Alla hanterade diskar, ögonblicksbilder, bilder och data som skrivits till befintliga hanterade diskar krypteras automatiskt i vila med plattformshanterade nycklar. Plattformshanterade nycklar hanteras av Microsoft.

Kundhanterade nycklar

Du kan välja att hantera kryptering på nivån för varje hanterad disk med dina egna nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller.

Du måste använda något av följande Azure-nyckellager för att lagra dina kundhanterade nycklar:

Du kan antingen importera dina RSA-nycklar till ditt Key Vault eller generera nya RSA-nycklar i Azure Key Vault. Azure-hanterade diskar hanterar kryptering och dekryptering på ett helt transparent sätt med hjälp av kuvertkryptering. Den krypterar data med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med hjälp av dina nycklar. Lagringstjänsten genererar datakrypteringsnycklar och krypterar dem med kundhanterade nycklar med hjälp av RSA-kryptering. Med kuvertkrypteringen kan du rotera (ändra) dina nycklar regelbundet enligt dina efterlevnadsprinciper utan att påverka dina virtuella datorer. När du roterar dina nycklar krypterar Storage-tjänsten om datakrypteringsnycklarna med de nya kundhanterade nycklarna.

Hanterade diskar och Key Vault eller hanterad HSM måste finnas i samma Azure-region, men de kan finnas i olika prenumerationer. De måste också finnas i samma Microsoft Entra-klientorganisation, såvida du inte använder Kryptera hanterade diskar med kundhanterade nycklar mellan klientorganisationer (förhandsversion).

Fullständig kontroll över dina nycklar

Du måste ge åtkomst till hanterade diskar i ditt Key Vault eller hanterade HSM för att använda dina nycklar för kryptering och dekryptering av DEK. På så sätt kan du få fullständig kontroll över dina data och nycklar. Du kan inaktivera dina nycklar eller återkalla åtkomsten till hanterade diskar när som helst. Du kan också granska krypteringsnyckelns användning med Azure Key Vault-övervakning för att säkerställa att endast hanterade diskar eller andra betrodda Azure-tjänster har åtkomst till dina nycklar.

Viktigt!

När en nyckel antingen har inaktiverats, tagits bort eller upphört att gälla stängs alla virtuella datorer med operativsystem eller datadiskar som använder den nyckeln automatiskt. När den automatiserade avstängningen har stängts startar inte de virtuella datorerna förrän nyckeln har aktiverats igen, eller så tilldelar du en ny nyckel.

I allmänhet börjar disk-I/O (läs- eller skrivåtgärder) misslyckas en timme efter att en nyckel antingen har inaktiverats, tagits bort eller upphört att gälla.

Följande diagram visar hur hanterade diskar använder Microsoft Entra-ID och Azure Key Vault för att göra begäranden med hjälp av den kundhanterade nyckeln:

Diagram över arbetsflödet för hanterade diskar och kundhanterade nycklar. En administratör skapar ett Azure Key Vault, skapar sedan en diskkrypteringsuppsättning och konfigurerar diskkrypteringsuppsättningen. Uppsättningen är associerad med en virtuell dator, vilket gör att disken kan använda Microsoft Entra-ID för att autentisera

I följande lista förklaras diagrammet mer detaljerat:

  1. En Azure Key Vault-administratör skapar nyckelvalvsresurser.
  2. Nyckelvalvsadministratören importerar antingen sina RSA-nycklar till Key Vault eller genererar nya RSA-nycklar i Key Vault.
  3. Administratören skapar en instans av diskkrypteringsuppsättningsresursen och anger ett Azure Key Vault-ID och en nyckel-URL. Diskkrypteringsuppsättning är en ny resurs som introduceras för att förenkla nyckelhanteringen för hanterade diskar.
  4. När en diskkrypteringsuppsättning skapas skapas en systemtilldelad hanterad identitet i Microsoft Entra-ID och associeras med diskkrypteringsuppsättningen.
  5. Azure Key Vault-administratören ger sedan den hanterade identiteten behörighet att utföra åtgärder i nyckelvalvet.
  6. En virtuell datoranvändare skapar diskar genom att associera dem med diskkrypteringsuppsättningen. Den virtuella datoranvändaren kan också aktivera kryptering på serversidan med kundhanterade nycklar för befintliga resurser genom att associera dem med diskkrypteringsuppsättningen.
  7. Hanterade diskar använder den hanterade identiteten för att skicka begäranden till Azure Key Vault.
  8. För att läsa eller skriva data skickar hanterade diskar begäranden till Azure Key Vault för att kryptera (omsluta) och dekryptera (packa upp) datakrypteringsnyckeln för att utföra kryptering och dekryptering av data.

Information om hur du återkallar åtkomst till kundhanterade nycklar finns i Azure Key Vault PowerShell och Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data i lagringskontot eftersom krypteringsnyckeln inte kan nås av Azure Storage.

Automatisk nyckelrotation av kundhanterade nycklar

Om du använder kundhanterade nycklar bör du i allmänhet aktivera automatisk nyckelrotation till den senaste nyckelversionen. Automatisk nyckelrotation hjälper till att säkerställa att dina nycklar är säkra. En disk refererar till en nyckel via dess diskkrypteringsuppsättning. När du aktiverar automatisk rotation för en diskkrypteringsuppsättning uppdaterar systemet automatiskt alla hanterade diskar, ögonblicksbilder och bilder som refererar till diskkrypteringsuppsättningen för att använda den nya versionen av nyckeln inom en timme. Information om hur du aktiverar kundhanterade nycklar med automatisk nyckelrotation finns i Konfigurera ett Azure Key Vault och DiskEncryptionSet med automatisk nyckelrotation.

Kommentar

Virtuella datorer startas inte om under automatisk nyckelrotation.

Om du inte kan aktivera automatisk nyckelrotation kan du använda andra metoder för att varna dig innan nycklarna upphör att gälla. På så sätt kan du se till att rotera dina nycklar innan de upphör att gälla och behålla affärskontinuiteten. Du kan använda antingen en Azure Policy eller Azure Event Grid för att skicka ett meddelande när en nyckel snart upphör att gälla.

Begränsningar

För tillfället har kundhanterade nycklar följande begränsningar:

  • Om den här funktionen är aktiverad för en disk med inkrementella ögonblicksbilder kan den inte inaktiveras på den disken eller dess ögonblicksbilder. För att undvika detta kopierar du alla data till en helt annan hanterad disk som inte använder kundhanterade nycklar. Du kan göra det med antingen Azure CLI eller Azure PowerShell-modulen.
  • Endast programvara och HSM RSA-nycklar i storlekarna 2 048-bitars, 3 072- och 4 096-bitars stöds, inga andra nycklar eller storlekar.
    • HSM-nycklar kräver premiumnivån för Azure Key Vaults.
  • Endast för Ultra Disks- och Premium SSD v2-diskar:
    • Ögonblicksbilder som skapas från diskar som krypteras med kryptering på serversidan och kundhanterade nycklar måste krypteras med samma kundhanterade nycklar.
    • Användartilldelade hanterade identiteter stöds inte för Ultra Disks- och Premium SSD v2-diskar som krypterats med kundhanterade nycklar.
  • De flesta resurser som är relaterade till dina kundhanterade nycklar (diskkrypteringsuppsättningar, virtuella datorer, diskar och ögonblicksbilder) måste finnas i samma prenumeration och region.
    • Azure Key Vaults kan användas från en annan prenumeration men måste finnas i samma region som diskkrypteringsuppsättningen. Som förhandsversion kan du använda Azure Key Vaults från olika Microsoft Entra-klienter.
  • Diskar som är krypterade med kundhanterade nycklar kan bara flyttas till en annan resursgrupp om den virtuella dator som de är anslutna till frigörs.
  • Diskar, ögonblicksbilder och bilder som krypterats med kundhanterade nycklar kan inte flyttas mellan prenumerationer.
  • Hanterade diskar som för närvarande eller tidigare krypterats med Azure Disk Encryption kan inte krypteras med hjälp av kundhanterade nycklar.
  • Det går bara att skapa upp till 5 000 diskkrypteringsuppsättningar per region per prenumeration.
  • Information om hur du använder kundhanterade nycklar med delade bildgallerier finns i Förhandsversion: Använda kundhanterade nycklar för kryptering av bilder.

Regioner som stöds

Kundhanterade nycklar är tillgängliga i alla regioner där hanterade diskar är tillgängliga.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Microsoft Entra-ID. När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser under täcket. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger.

Information om hur du aktiverar kundhanterade nycklar för hanterade diskar finns i våra artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure-portalen.

Se Skapa en hanterad disk från en ögonblicksbild med CLI för ett kodexempel.

Kryptering på värden – Kryptering från slutpunkt till slutpunkt för dina VM-data

När du aktiverar kryptering på värden startar krypteringen på själva den virtuella datorvärden, den Azure-server som den virtuella datorn allokeras till. Data för dina tillfälliga disk- och OS/datadiskcacheminnen lagras på den virtuella datorvärden. När du har aktiverat kryptering på värden krypteras alla dessa data i vila och flöden krypteras till lagringstjänsten, där de sparas. I princip krypterar kryptering på värden dina data från slutpunkt till slutpunkt. Kryptering på värden använder inte den virtuella datorns PROCESSOR och påverkar inte den virtuella datorns prestanda.

Tillfälliga diskar och tillfälliga OS-diskar krypteras i vila med plattformshanterade nycklar när du aktiverar kryptering från slutpunkt till slutpunkt. Operativsystemet och datadiskcachen krypteras i vila med antingen kundhanterade eller plattformshanterade nycklar, beroende på den valda diskkrypteringstypen. Om en disk till exempel krypteras med kundhanterade nycklar krypteras cachen för disken med kundhanterade nycklar, och om en disk krypteras med plattformshanterade nycklar krypteras cachen för disken med plattformshanterade nycklar.

Begränsningar

  • Stöds för 4k sektorstorlek Ultra Diskar och Premium SSD v2.
  • Stöds endast på 512e-sektorns storlek Ultra Disks och Premium SSD v2 om de skapades efter 2023-05-13.
  • Det går inte att aktivera på virtuella datorer (VM) eller vm-skalningsuppsättningar som för närvarande eller någonsin har azure diskkryptering aktiverat.
  • Azure Disk Encryption kan inte aktiveras på diskar som har kryptering på värden aktiverat.
  • Krypteringen kan aktiveras på befintliga VM-skalningsuppsättningar. Men endast nya virtuella datorer som skapas efter aktivering av krypteringen krypteras automatiskt.
  • Befintliga virtuella datorer måste frigöras och omallokeras för att kunna krypteras.

Regional tillgänglighet

Kryptering på värden är tillgängligt i alla regioner för alla disktyper.

VM-storlekar som stöds

Den fullständiga listan över vm-storlekar som stöds kan hämtas programmatiskt. Mer information om hur du hämtar dem programmatiskt finns i avsnittet hitta VM-storlekar som stöds i antingen Azure PowerShell-modulen eller Azure CLI-artiklar .

Information om hur du aktiverar kryptering från slutpunkt till slutpunkt med kryptering på värden finns i våra artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure-portalen.

Dubbel kryptering i vila

Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan nu välja ett extra krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturlagret med hjälp av plattformshanterade krypteringsnycklar. Det här nya lagret kan tillämpas på bevarade operativsystem och datadiskar, ögonblicksbilder och bilder, som alla krypteras i vila med dubbel kryptering.

Begränsningar

Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.

Regioner som stöds

Dubbel kryptering är tillgängligt i alla regioner som hanterade diskar är tillgängliga.

Om du vill aktivera dubbel kryptering i vila för hanterade diskar kan du läsa våra artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure-portalen.

Kryptering på serversidan jämfört med Azure-diskkryptering

Azure Disk Encryption använder antingen DM-Crypt-funktionen i Linux eller BitLocker-funktionen i Windows för att kryptera hanterade diskar med kundhanterade nycklar i den virtuella gästdatorn. Kryptering på serversidan med kundhanterade nycklar förbättrar ADE genom att du kan använda operativsystemtyper och avbildningar för dina virtuella datorer genom att kryptera data i lagringstjänsten.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Microsoft Entra-ID. När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser under täcket. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger.

Nästa steg