Azure Disk Depolama için sunucu tarafı şifreleme

  • Makale

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Azure tarafından yönetilen disklerin çoğu, verilerinizi korumak ve kurumsal güvenlik ile uyumluluk taahhütlerinizi yerine getirmenize yardımcı olmak için sunucu tarafı şifreleme (SSE) kullanan Azure Depolama şifrelemesi kullanır. Azure Depolama şifrelemesi, bulutta kalıcı hale getirilirken bekleyen Azure yönetilen disklerinde (işletim sistemi ve veri diskleri) depolanan verilerinizi otomatik olarak şifreler. Ancak ana bilgisayar şifrelemesi etkinleştirilmiş diskler Azure Depolama aracılığıyla şifrelenmez. Ana bilgisayarda şifrelemenin etkinleştirildiği diskler için sanal makinenizi barındıran sunucu, verilerinizin şifrelemesini sağlar ve bu şifrelenmiş veriler Azure Depolama'ya akar.

Azure yönetilen disklerindeki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam olarak şifrelenir ve FIPS 140-2 ile uyumludur. Azure yönetilen diskleri temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz . Şifreleme API'si: Yeni Nesil

Azure Depolama şifrelemesi yönetilen disklerin performansını etkilemez ve ek maliyet yoktur. Azure Depolama şifrelemesi hakkında daha fazla bilgi için bkz. Azure Depolama şifrelemesi.

Not

Geçici diskler yönetilen diskler değildir ve konakta şifrelemeyi etkinleştirmediğiniz sürece SSE tarafından şifrelenmez.

Şifreleme anahtarı yönetimi hakkında

Yönetilen diskinizin şifrelemesi için platform tarafından yönetilen anahtarlara güvenebilir veya kendi anahtarlarınızı kullanarak şifrelemeyi yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, yönetilen disklerdeki tüm verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.

Aşağıdaki bölümlerde anahtar yönetimi seçeneklerinin her biri daha ayrıntılı olarak açıklanmaktadır.

Platform tarafından yönetilen anahtarlar

Varsayılan olarak, yönetilen diskler platform tarafından yönetilen şifreleme anahtarlarını kullanır. Mevcut yönetilen disklere yazılan tüm yönetilen diskler, anlık görüntüler, görüntüler ve veriler platform tarafından yönetilen anahtarlarla otomatik olarak şifrelenir. Platform tarafından yönetilen anahtarlar Microsoft tarafından yönetilir.

Müşteri tarafından yönetilen anahtarlar

Şifrelemeyi her yönetilen disk düzeyinde kendi anahtarlarınızla yönetmeyi seçebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini yönetmek için çok daha fazla esneklik sunar.

Müşteri tarafından yönetilen anahtarlarınızı depolamak için aşağıdaki Azure anahtar depolarından birini kullanmanız gerekir:

RSA anahtarlarınızı Key Vault'unuza aktarabilir veya Azure Key Vault'ta yeni RSA anahtarları oluşturabilirsiniz. Azure yönetilen diskleri, zarf şifrelemesini kullanarak şifrelemeyi ve şifre çözmeyi tamamen saydam bir şekilde işler. AES 256 tabanlı veri şifreleme anahtarı (DEK) kullanarak verileri şifreler. Bu anahtarlar, anahtarlarınızı kullanarak korunur. Depolama hizmeti, veri şifreleme anahtarları oluşturur ve RSA şifrelemesini kullanarak bunları müşteri tarafından yönetilen anahtarlarla şifreler. Zarf şifrelemesi, vm'lerinizi etkilemeden uyumluluk ilkelerinize göre anahtarlarınızı düzenli aralıklarla döndürmenize (değiştirmenize) olanak tanır. Anahtarlarınızı döndürdüğünüzde, Depolama hizmeti veri şifreleme anahtarlarını müşteri tarafından yönetilen yeni anahtarlarla yeniden şifreler.

Yönetilen diskler ve Key Vault veya yönetilen HSM aynı Azure bölgesinde olmalıdır, ancak farklı aboneliklerde olabilir. Yönetilen diskleri kiracılar arası müşteri tarafından yönetilen anahtarlarla şifreleme (önizleme) kullanmadığınız sürece aynı Microsoft Entra kiracısında da olmalıdır.

Anahtarlarınızın tam denetimi

DEK'yi şifrelemek ve şifresini çözmek için anahtarlarınızı kullanmak için Key Vault veya yönetilen HSM'nizdeki yönetilen disklere erişim izni vermelisiniz. Bu, verilerinizi ve anahtarlarınızı tam olarak denetlemenize olanak tanır. İstediğiniz zaman anahtarlarınızı devre dışı bırakabilir veya yönetilen disklere erişimi iptal edebilirsiniz. Anahtarlarınıza yalnızca yönetilen disklerin veya diğer güvenilir Azure hizmetlerinin eriştiğinden emin olmak için Azure Key Vault izlemesiyle şifreleme anahtarı kullanımını da denetleyebilirsiniz.

Önemli

Bir anahtar devre dışı bırakıldığında, silindiğinde veya süresi dolduğunda, o anahtarı kullanan işletim sistemi veya veri disklerine sahip tüm VM'ler otomatik olarak kapatılır. Otomatik kapatmadan sonra, anahtar yeniden etkinleştirilene veya yeni bir anahtar atayana kadar VM'ler önyüklenmez.

Genellikle, bir anahtar devre dışı bırakıldıktan, silindikten veya süresi dolduktan bir saat sonra disk G/Ç (okuma veya yazma işlemleri) başarısız olur.

Aşağıdaki diyagramda yönetilen disklerin müşteri tarafından yönetilen anahtarı kullanarak istekte bulunmak için Microsoft Entra Id ve Azure Key Vault'u nasıl kullandığı gösterilmektedir:

Yönetilen disk ve müşteri tarafından yönetilen anahtarlar iş akışı diyagramı. Yönetici bir Azure Key Vault oluşturur, ardından bir disk şifreleme kümesi oluşturur ve disk şifreleme kümesini ayarlar. Küme, diskin kimlik doğrulaması için Microsoft Entra Kimliğini kullanmasına olanak tanıyan bir VM ile ilişkilendirilir

Aşağıdaki listede diyagram daha ayrıntılı olarak açıklanmaktadır:

  1. Azure Key Vault yöneticisi anahtar kasası kaynakları oluşturur.
  2. Anahtar kasası yöneticisi, RSA anahtarlarını Key Vault'a aktarır veya Key Vault'ta yeni RSA anahtarları oluşturur.
  3. Bu yönetici, Bir Azure Key Vault Kimliği ve anahtar URL'si belirterek disk şifreleme kümesi kaynağının bir örneğini oluşturur. Disk Şifreleme Kümesi, yönetilen diskler için anahtar yönetimini basitleştirmek için sunulan yeni bir kaynaktır.
  4. Bir disk şifreleme kümesi oluşturulduğunda, Microsoft Entra Kimliği'nde sistem tarafından atanan bir yönetilen kimlik oluşturulur ve disk şifreleme kümesiyle ilişkilendirilir.
  5. Ardından Azure anahtar kasası yöneticisi, anahtar kasasında işlemleri gerçekleştirmek için yönetilen kimlik izni verir.
  6. VM kullanıcısı diskleri disk şifreleme kümesiyle ilişkilendirerek oluşturur. VM kullanıcısı, mevcut kaynaklar için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi disk şifreleme kümesiyle ilişkilendirerek de etkinleştirebilir.
  7. Yönetilen diskler, Azure Key Vault'a istek göndermek için yönetilen kimliği kullanır.
  8. Verileri okumak veya yazmak için yönetilen diskler, verilerin şifrelemesini ve şifresini çözmeyi gerçekleştirmek için veri şifreleme anahtarını şifrelemek (sarmalamak) ve şifresini çözmek (çözme) için Azure Key Vault'a istek gönderir.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için bkz . Azure Key Vault PowerShell ve Azure Key Vault CLI. Şifreleme anahtarına Azure Depolama tarafından erişilemediği için erişimin iptali depolama hesabındaki tüm verilere erişimi etkili bir şekilde engeller.

Müşteri tarafından yönetilen anahtarların otomatik anahtar döndürmesi

Genel olarak, müşteri tarafından yönetilen anahtarlar kullanıyorsanız en son anahtar sürümüne otomatik anahtar döndürmeyi etkinleştirmeniz gerekir. Otomatik anahtar döndürme, anahtarlarınızın güvenli olduğundan emin olunmasını sağlar. Disk, disk şifreleme kümesi aracılığıyla bir anahtara başvurur. Bir disk şifreleme kümesi için otomatik döndürmeyi etkinleştirdiğinizde sistem, disk şifreleme kümesine başvuran tüm yönetilen diskleri, anlık görüntüleri ve görüntüleri bir saat içinde anahtarın yeni sürümünü kullanacak şekilde otomatik olarak güncelleştirir. Otomatik anahtar döndürme ile müşteri tarafından yönetilen anahtarları etkinleştirmeyi öğrenmek için bkz . Otomatik anahtar döndürme ile Azure Key Vault ve DiskEncryptionSet ayarlama.

Not

Sanal Makineler otomatik anahtar döndürme sırasında yeniden başlatılmaz.

Otomatik anahtar döndürmeyi etkinleştiremiyorsanız, anahtarların süresi dolmadan önce sizi uyarmak için başka yöntemler kullanabilirsiniz. Bu şekilde, süre dolmadan önce anahtarlarınızı döndürmeyi ve iş sürekliliğini korumayı sağlayabilirsiniz. Anahtarın süresi yakında dolduğunda bildirim göndermek için bir Azure İlkesi veya Azure Event Grid kullanabilirsiniz.

Kısıtlamalar

Şimdilik müşteri tarafından yönetilen anahtarlar aşağıdaki kısıtlamalara sahiptir:

  • Bu özellik artımlı anlık görüntüleri olan bir disk için etkinleştirildiyse, bu diskte veya anlık görüntülerinde devre dışı bırakılamaz. Bu sorunu geçici olarak çözmek için tüm verileri müşteri tarafından yönetilen anahtarları kullanmayan tamamen farklı bir yönetilen diske kopyalayın. Bunu Azure CLI veya Azure PowerShell modülüyle yapabilirsiniz.
  • Yalnızca 2.048 bit, 3.072 bit ve 4.096 bit boyutlarında yazılım ve HSM RSA anahtarları desteklenir; başka anahtar veya boyut yoktur.
    • HSM anahtarları, Azure Anahtar kasalarının premium katmanını gerektirir.
  • Yalnızca Ultra Diskler ve Premium SSD v2 diskleri için:
    • Sunucu tarafı şifreleme ve müşteri tarafından yönetilen anahtarlarla şifrelenmiş disklerden oluşturulan anlık görüntüler aynı müşteri tarafından yönetilen anahtarlarla şifrelenmelidir.
    • Kullanıcı tarafından atanan yönetilen kimlikler, müşteri tarafından yönetilen anahtarlarla şifrelenmiş Ultra Diskler ve Premium SSD v2 diskleri için desteklenmez.
  • Müşteri tarafından yönetilen anahtarlarınız (disk şifreleme kümeleri, VM'ler, diskler ve anlık görüntüler) ile ilgili kaynakların çoğu aynı abonelikte ve bölgede olmalıdır.
    • Azure Key Vaults farklı bir abonelikten kullanılabilir, ancak disk şifreleme kümenizle aynı bölgede olmalıdır. Önizleme olarak, farklı Microsoft Entra kiracılarından Azure Key Vault'ları kullanabilirsiniz.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler, yalnızca bağlı oldukları VM serbest bırakıldığında başka bir kaynak grubuna taşınabilir.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler, anlık görüntüler ve görüntüler abonelikler arasında taşınamaz.
  • Şu anda veya daha önce Azure Disk Şifrelemesi kullanılarak şifrelenen yönetilen diskler, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenemez.
  • Abonelik başına bölge başına en fazla 5000 disk şifreleme kümesi oluşturabilir.
  • Paylaşılan görüntü galerileriyle müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz . Önizleme: Görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanma.

Desteklenen bölgeler

Müşteri tarafından yönetilen anahtarlar, yönetilen disklerin kullanılabilir olduğu tüm bölgelerde kullanılabilir.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya yönetilen diski bir Microsoft Entra dizininden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılamaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz . Microsoft Entra dizinleri arasında abonelik aktarma.

Yönetilen diskler için müşteri tarafından yönetilen anahtarları etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile nasıl etkinleştirileceğine ilişkin makalelerimize bakın.

Kod örneği için bkz . CLI ile anlık görüntüden yönetilen disk oluşturma.

Konakta şifreleme - VM verileriniz için uçtan uca şifreleme

Konakta şifrelemeyi etkinleştirdiğinizde, bu şifreleme VM ana bilgisayarının kendisinde, VM'nizin ayrıldığı Azure sunucusunda başlar. Geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için veriler bu VM ana bilgisayarında depolanır. Konakta şifreleme etkinleştirildikten sonra, tüm bu veriler bekleme sırasında şifrelenir ve kalıcı olduğu Depolama hizmetine aktarılır. Temelde, konakta şifreleme, verilerinizi uçtan uca şifreler. Konakta şifreleme, VM'nizin CPU'sunu kullanmaz ve VM'nizin performansını etkilemez.

Geçici diskler ve kısa ömürlü işletim sistemi diskleri, uçtan uca şifrelemeyi etkinleştirdiğinizde bekleyen platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi ve veri diski önbellekleri, seçili disk şifreleme türüne bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarlarla bekleme durumunda şifrelenir. Örneğin, bir disk müşteri tarafından yönetilen anahtarlarla şifrelenirse, diskin önbelleği müşteri tarafından yönetilen anahtarlarla şifrelenir ve disk platform tarafından yönetilen anahtarlarla şifrelenirse diskin önbelleği platform tarafından yönetilen anahtarlarla şifrelenir.

Kısıtlamalar

  • 4k kesim boyutu Ultra Diskler ve Premium SSD v2 için desteklenir.
  • Yalnızca 13.05.2023'te oluşturulduklarında 512e kesim boyutu Ultra Diskler ve Premium SSD v2'de desteklenir.
    • Bu tarihten önce oluşturulan diskler için, diskinizin anlık görüntüsünü oluşturun ve anlık görüntüyü kullanarak yeni bir disk oluşturun.
  • Şu anda veya Azure Disk Şifrelemesi etkin olan sanal makinelerde (VM) veya sanal makine ölçek kümelerinde etkinleştirilemiyor.
  • Azure Disk Şifrelemesi, konakta şifreleme etkinleştirilmiş disklerde etkinleştirilemiyor.
  • Şifreleme mevcut sanal makine ölçek kümelerinde etkinleştirilebilir. Ancak, yalnızca şifreleme etkinleştirildikten sonra oluşturulan yeni VM'ler otomatik olarak şifrelenir.
  • Mevcut VM'lerin şifrelenmesi için serbest bırakılması ve yeniden ayrılmaları gerekir.

Bölgesel kullanılabilirlik

Konaktaki şifreleme, tüm disk türleri için tüm bölgelerde kullanılabilir.

Desteklenen VM boyutları

Desteklenen VM boyutlarının tam listesi program aracılığıyla çekilebilir. Bunları program aracılığıyla nasıl alacağınızı öğrenmek için Azure PowerShell modülünün veya Azure CLI makalelerinin desteklenen VM boyutlarını bulma bölümüne bakın.

Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile nasıl etkinleştirileceğine ilişkin makalelerimize bakın.

Beklemedeki verilerde çift şifreleme

Belirli bir şifreleme algoritması, uygulama veya anahtarın gizliliğinin tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler artık platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Bu yeni katman kalıcı işletim sistemine ve veri disklerine, anlık görüntülere ve görüntülere uygulanabilir ve bunların tümü bekleyenlerde çift şifreleme ile şifrelenir.

Kısıtlamalar

Bekleme sırasında çift şifreleme şu anda Ultra Diskler veya Premium SSD v2 disklerinde desteklenmemektedir.

Desteklenen bölgeler

Yönetilen disklerin kullanılabilir olduğu tüm bölgelerde çift şifreleme kullanılabilir.

Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile etkinleştirmeyi kapsayan makalelerimize bakın.

Sunucu tarafı şifrelemesi ile Azure disk şifrelemesi karşılaştırması

Azure Disk Şifrelemesi, konuk VM'de yönetilen diskleri müşteri tarafından yönetilen anahtarlarla şifrelemek için Linux'un DM-Crypt özelliğinden veya Windows'un BitLocker özelliğinden yararlanıyor. Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi, Depolama hizmetindeki verileri şifreleyerek VM'leriniz için işletim sistemi türlerini ve görüntülerini kullanmanızı sağlayarak ADE'yi geliştirir.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya yönetilen diski bir Microsoft Entra dizininden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz . Microsoft Entra dizinleri arasında abonelik aktarma.

Sonraki adımlar