Azure Disk Depolama için sunucu tarafı şifreleme

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Azure tarafından yönetilen disklerin çoğu, verilerinizi korumak ve kurumsal güvenlik ile uyumluluk taahhütlerinizi yerine getirmenize yardımcı olmak için sunucu tarafı şifreleme (SSE) kullanan Azure Depolama şifrelemesi kullanır. Azure Depolama şifrelemesi, Azure yönetilen disklerde (işletim sistemi ve veri diskleri) dinlenme halinde depolanan verilerinizi buluta kaydedilirken varsayılan olarak otomatik bir şekilde şifreler. Ancak ana bilgisayar şifrelemesi etkinleştirilmiş diskler Azure Depolama aracılığıyla şifrelenmez. Ana bilgisayarda şifrelemenin etkinleştirildiği diskler için sanal makinenizi barındıran sunucu, verilerinizin şifrelemesini sağlar ve bu şifrelenmiş veriler Azure Depolama'ya akar.

Azure yönetilen disklerindeki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam olarak şifrelenir ve FIPS 140-2 ile uyumludur. Azure yönetilen diskleri temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz . Şifreleme API'si: Yeni Nesil

Azure Depolama şifrelemesi yönetilen disklerin performansını etkilemez ve ek maliyet yoktur. Azure Depolama şifrelemesi hakkında daha fazla bilgi için bkz . Azure Depolama şifrelemesi.

Önemli

Geçici diskler yönetilen diskler değildir ve konakta şifrelemeyi etkinleştirmediğiniz sürece SSE tarafından şifrelenmez.

Sürüm 5 ve üzeri olan Azure VM'leri (Dsv5 veya Dsv6 gibi) geçici ve (kullanılıyorsa) geçici işletim sistemi disklerini, diskte bekleyen verilerin şifrelenmesi ile otomatik olarak şifreler.

Şifreleme anahtarı yönetimi hakkında

Yönetilen diskinizin şifrelemesi için platform tarafından yönetilen anahtarlara güvenebilir veya kendi anahtarlarınızı kullanarak şifrelemeyi yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, yönetilen disklerdeki tüm verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.

Aşağıdaki bölümlerde anahtar yönetimi seçeneklerinin her biri daha ayrıntılı olarak açıklanmaktadır.

Platform tarafından yönetilen anahtarlar

Varsayılan olarak, yönetilen diskler platform tarafından yönetilen şifreleme anahtarlarını kullanır. Mevcut yönetilen disklere yazılan tüm yönetilen diskler, anlık görüntüler, görüntüler ve veriler platform tarafından yönetilen anahtarlarla otomatik olarak şifrelenir. Platform tarafından yönetilen anahtarlar Microsoft tarafından yönetilir.

Müşteri tarafından yönetilen anahtarlar

Şifrelemeyi her yönetilen disk düzeyinde kendi anahtarlarınızla yönetmeyi seçebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini yönetmek için çok daha fazla esneklik sunar.

Müşteri tarafından yönetilen anahtarlarınızı depolamak için aşağıdaki Azure anahtar depolarından birini kullanmanız gerekir:

• Azure Key Vault
• Azure Key Vault Yönetilen Donanım Güvenlik Modülü (HSM)

RSA anahtarlarınızı Key Vault'unuza aktarabilir veya Azure Key Vault'ta yeni RSA anahtarları oluşturabilirsiniz. Azure yönetilen diskleri, zarf şifrelemesini kullanarak şifrelemeyi ve şifre çözmeyi tamamen saydam bir şekilde işler. AES 256 tabanlı veri şifreleme anahtarı (DEK) kullanarak verileri şifreler. Bu anahtarlar, anahtarlarınızı kullanarak korunur. Depolama hizmeti, veri şifreleme anahtarları oluşturur ve RSA şifrelemesini kullanarak bunları müşteri tarafından yönetilen anahtarlarla şifreler. Zarf şifrelemesi, vm'lerinizi etkilemeden uyumluluk ilkelerinize göre anahtarlarınızı düzenli aralıklarla döndürmenize (değiştirmenize) olanak tanır. Anahtarlarınızı döndürdüğünüzde, Depolama hizmeti veri şifreleme anahtarlarını müşteri tarafından yönetilen yeni anahtarlarla yeniden şifreler.

Yönetilen diskler ve Key Vault veya yönetilen HSM aynı Azure bölgesinde olmalıdır, ancak farklı aboneliklerde olabilir. Yönetilen diskleri kiracılar arası müşteri tarafından yönetilen anahtarlarla şifrele seçeneğini kullanmadığınız sürece, bunların da aynı Microsoft Entra kiracısında olması gerekir.

Anahtarlarınızın tam denetimi

DEK'yi şifrelemek ve şifresini çözmek için anahtarlarınızı kullanmak için Key Vault veya yönetilen HSM'nizdeki yönetilen disklere erişim izni vermelisiniz. Bu, verilerinizi ve anahtarlarınızı tam olarak denetlemenize olanak tanır. İstediğiniz zaman anahtarlarınızı devre dışı bırakabilir veya yönetilen disklere erişimi iptal edebilirsiniz. Anahtarlarınıza yalnızca yönetilen disklerin veya diğer güvenilir Azure hizmetlerinin eriştiğinden emin olmak için Azure Key Vault izlemesiyle şifreleme anahtarı kullanımını da denetleyebilirsiniz.

Önemli

Bir anahtar devre dışı bırakıldığında, silindiğinde veya süresi dolduğunda, o anahtarı kullanan işletim sistemi veya veri disklerine sahip tüm VM'ler otomatik olarak kapatılır. Otomatik kapatmadan sonra, anahtar yeniden etkinleştirilene veya yeni bir anahtar atayana kadar VM'ler önyüklenmez.

Genellikle, bir anahtar devre dışı bırakıldıktan, silindikten veya süresi dolduktan bir saat sonra disk G/Ç (okuma veya yazma işlemleri) başarısız olur.

Aşağıdaki diyagramda yönetilen disklerin müşteri tarafından yönetilen anahtarı kullanarak istekte bulunmak için Microsoft Entra Id ve Azure Key Vault'u nasıl kullandığı gösterilmektedir:

Aşağıdaki listede diyagram daha ayrıntılı olarak açıklanmaktadır:

1. Azure Key Vault yöneticisi anahtar kasası kaynakları oluşturur.
2. Anahtar kasası yöneticisi, RSA anahtarlarını Key Vault'a aktarır veya Key Vault'ta yeni RSA anahtarları oluşturur.
3. Bu yönetici, Bir Azure Key Vault Kimliği ve anahtar URL'si belirterek disk şifreleme kümesi kaynağının bir örneğini oluşturur. Disk Şifreleme Kümesi, yönetilen diskler için anahtar yönetimini basitleştirmek için sunulan yeni bir kaynaktır.
4. Bir disk şifreleme kümesi oluşturulduğunda, Microsoft Entra Kimliği'nde sistem tarafından atanan bir yönetilen kimlik oluşturulur ve disk şifreleme kümesiyle ilişkilendirilir.
5. Ardından Azure anahtar kasası yöneticisi, anahtar kasasında işlemleri gerçekleştirmek için yönetilen kimlik izni verir.
6. VM kullanıcısı diskleri disk şifreleme kümesiyle ilişkilendirerek oluşturur. VM kullanıcısı, mevcut kaynaklar için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi disk şifreleme kümesiyle ilişkilendirerek de etkinleştirebilir.
7. Yönetilen diskler, Azure Key Vault'a istek göndermek için yönetilen kimliği kullanır.
8. Verileri okumak veya yazmak için yönetilen diskler, veri şifreleme anahtarını şifrelemek (sarmalamak) ve şifresini çözmek (açmak) amacıyla Azure Key Vault'a istek gönderir ve bu sayede verilerin şifreleme ve şifre çözme işlemlerini gerçekleştirir.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için bkz . Azure Key Vault PowerShell ve Azure Key Vault CLI. Şifreleme anahtarına Azure Depolama tarafından erişilemediği için erişimin iptali depolama hesabındaki tüm verilere erişimi etkili bir şekilde engeller.

Müşteri tarafından yönetilen anahtarların otomatik anahtar döndürmesi

Genel olarak, müşteri tarafından yönetilen anahtarlar kullanıyorsanız en son anahtar sürümüne otomatik anahtar döndürmeyi etkinleştirmeniz gerekir. Otomatik anahtar döndürme, anahtarlarınızın güvenli olduğundan emin olunmasını sağlar. Disk, disk şifreleme kümesi aracılığıyla bir anahtara başvurur. Bir disk şifreleme kümesi için otomatik döndürmeyi etkinleştirdiğinizde sistem, disk şifreleme kümesine başvuran tüm yönetilen diskleri, anlık görüntüleri ve görüntüleri bir saat içinde anahtarın yeni sürümünü kullanacak şekilde otomatik olarak güncelleştirir. Müşteri tarafından yönetilen anahtarları otomatik anahtar döndürme ile etkinleştirmeyi öğrenmek için bkz. Otomatik anahtar döndürme ile Azure Key Vault ve DiskEncryptionSet ayarlama.

Not

Sanal Makineler otomatik anahtar döndürme sırasında yeniden başlatılmaz.

Otomatik anahtar döndürmeyi etkinleştiremiyorsanız, anahtarların süresi dolmadan önce sizi uyarmak için başka yöntemler kullanabilirsiniz. Bu şekilde, süre dolmadan önce anahtarlarınızı döndürmeyi ve iş sürekliliğini korumayı sağlayabilirsiniz. Anahtarın süresi yakında dolduğunda bildirim göndermek için bir Azure İlkesi veya Azure Event Grid kullanabilirsiniz.

Kısıtlamalar

Şimdilik müşteri tarafından yönetilen anahtarlar aşağıdaki kısıtlamalara sahiptir:

• Bu özellik, artımlı anlık görüntüleri olan bir disk için etkinleştirildiyse, bu disk veya onun herhangi bir anlık görüntüsünde devre dışı bırakılamaz. Bu sorunu geçici olarak çözmek için tüm verileri müşteri tarafından yönetilen anahtarları kullanmayan tamamen farklı bir yönetilen diske kopyalayın. Bunu Azure CLI veya Azure PowerShell modülüyle yapabilirsiniz.
• Bir disk ve ilişkili tüm artımlı anlık görüntüleri aynı disk şifreleme kümesine sahip olmalıdır.
• Yalnızca 2.048 bit, 3.072 bit ve 4.096 bit boyutlarında yazılım ve HSM RSA anahtarları desteklenir; başka anahtar veya boyut yoktur.
  • HSM anahtarları, Azure Anahtar kasalarının premium katmanını gerektirir.
• Yalnızca Ultra Diskler ve Premium SSD v2 diskleri için:
  • (Önizleme) Kullanıcı tarafından atanan yönetilen kimlikler, müşteri tarafından yönetilen anahtarlarla şifrelenmiş Ultra Diskler ve Premium SSD v2 diskleri için kullanılabilir.
  • (Önizleme) Ultra Diskleri ve Premium SSD v2 disklerini farklı bir Microsoft Entra ID kiracısında depolanan Azure Key Vault'ları kullanarak müşteri tarafından yönetilen anahtarlarla şifreleyebilirsiniz.
• Müşteri tarafından yönetilen anahtarlarınız (disk şifreleme kümeleri, VM'ler, diskler ve anlık görüntüler) ile ilgili kaynakların çoğu aynı abonelikte ve bölgede olmalıdır.
  • Azure Key Vaults farklı bir abonelikten kullanılabilir, ancak disk şifreleme kümenizle aynı bölgede olmalıdır. Önizleme olarak, farklı Microsoft Entra kiracılarından Azure Key Vault'ları kullanabilirsiniz.
• Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler yalnızca bağlı oldukları VM serbest bırakıldığında başka bir kaynak grubuna taşınabilir.
• Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler, anlık görüntüler ve görüntüler abonelikler arasında taşınamaz.
• Şu anda veya daha önce Azure Disk Şifrelemesi kullanılarak şifrelenen yönetilen diskler, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenemez.
• Abonelik başına bölge başına en fazla 5000 disk şifreleme kümesi oluşturabilir.
• Paylaşılan görüntü galerileriyle müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz . Önizleme: Görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanma.

Desteklenen bölgeler

Müşteri tarafından yönetilen anahtarlar, yönetilen disklerin kullanılabilir olduğu tüm bölgelerde kullanılabilir.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya yönetilen diski bir Microsoft Entra dizininden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılamaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz . Microsoft Entra dizinleri arasında abonelik aktarma.

Yönetilen diskler için müşteri tarafından yönetilen anahtarları etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile nasıl etkinleştirileceğine ilişkin makalelerimize bakın.

Kod örneği için bkz . CLI ile anlık görüntüden yönetilen disk oluşturma.

Konakta şifreleme - VM verileriniz için uçtan uca şifreleme

Konakta şifrelemeyi etkinleştirdiğinizde, bu şifreleme VM'nin tahsis edildiği Azure sunucusunda başlar. Geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için veriler bu VM ana bilgisayarında depolanır. Sunucuda şifreleme etkinleştirildikten sonra, dinlenme durumundaki tüm bu veriler şifrelenir ve şifreli olarak Depolama hizmetine aktarılır, burada kalıcılığı sağlanır. Temelde, sunucu üzerindeki şifreleme, verilerinizi uçtan uca şifreler. Konakta şifreleme, VM'nizin CPU'sunu kullanmaz ve VM'nizin performansını etkilemez.

Uçtan uca şifrelemeyi etkinleştirdiğinizde, geçici diskler ve geçici işletim sistemi diskleri, hareketsiz durumdayken platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi ve veri diski önbellekleri, seçili disk şifreleme türüne bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarlarla bekleme durumunda şifrelenir. Örneğin, bir disk müşteri tarafından yönetilen anahtarlarla şifrelenirse, diskin önbelleği müşteri tarafından yönetilen anahtarlarla şifrelenir ve disk platform tarafından yönetilen anahtarlarla şifrelenirse diskin önbelleği platform tarafından yönetilen anahtarlarla şifrelenir.

Kısıtlamalar

• Azure Disk Şifrelemesi etkin olan ya da daha önce etkin olmuş sanal makinelerde (VM) veya sanal makine ölçek kümelerinde etkinleştirilemez.
• Azure Disk Şifrelemesi, konakta şifreleme etkinleştirilmiş disklerde etkinleştirilemiyor.
• Şifreleme mevcut sanal makine ölçek kümelerinde etkinleştirilebilir. Ancak, yalnızca şifreleme etkinleştirildikten sonra oluşturulan yeni VM'ler otomatik olarak şifrelenir.
• Mevcut VM'lerin şifrelenmesi için serbest bırakılması ve yeniden tahsis edilmesi gerekir.

Aşağıdaki kısıtlamalar yalnızca Ultra Diskler ve Premium SSD v2 için geçerlidir:

• 512e kesim boyutu kullanan disklerin 13.05.2023'e kadar oluşturulmuş olması gerekir.
  • Diskiniz bu tarihten önce oluşturulduysa, diskinizin anlık görüntüsünü oluşturun ve anlık görüntüyü kullanarak yeni bir disk oluşturun.

Desteklenen VM boyutları

Desteklenen VM boyutlarının tam listesi program aracılığıyla çekilebilir. Bunları program aracılığıyla nasıl alacağınızı öğrenmek için Azure PowerShell modülünün veya Azure CLI makalelerinin desteklenen VM boyutlarını bulma bölümüne bakın.

Ana bilgisayarda şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile nasıl etkinleştirileceğine ilişkin makalelerimize bakın.

Dinlenme halindeki verilerde çift şifreleme

Belirli bir şifreleme algoritması, uygulama veya anahtarın gizliliğinin tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler artık platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Bu yeni katman, kalıcı işletim sistemi ve veri disklerine, anlık görüntülere ve imajlara uygulanabilir ve bunların tümü dinlenme halinde çift şifreleme ile şifrelenecektir.

Kısıtlamalar

Bekleme sırasında çift şifreleme şu anda Ultra Diskler veya Premium SSD v2 disklerinde desteklenmemektedir.

Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirmek için bkz Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirme.

Konakta şifreleme ile Azure disk şifrelemesi karşılaştırması

Azure Disk Şifrelemesi, konuk VM'de yönetilen diskleri müşteri tarafından yönetilen anahtarlarla şifrelemek için Linux'un DM-Crypt özelliğinden veya Windows'un BitLocker özelliğinden yararlanıyor. Ana bilgisayar üzerinde şifreleme ile sunucu tarafı şifreleme, ADE'yi geliştirir. Konakta şifreleme ile, geçici disk ve işletim sistemi/veri diski önbellekleriniz için veriler bu VM ana bilgisayarında depolanır. Sunucuda şifreleme etkinleştirildikten sonra, dinlenme durumundaki tüm bu veriler şifrelenir ve şifreli olarak Depolama hizmetine aktarılır, burada kalıcılığı sağlanır. Temelde, sunucu üzerindeki şifreleme, verilerinizi uçtan uca şifreler. Konakta şifreleme, VM'nizin CPU'sunu kullanmaz ve VM'nizin performansını etkilemez.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya yönetilen diski bir Microsoft Entra dizininden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz . Microsoft Entra dizinleri arasında abonelik aktarma.

Sonraki adımlar

• Azure PowerShell modülü, Azure CLI veya Azure portalı ile konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirin.
• Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirmek için bkz Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirme.
• Azure PowerShell modülü, Azure CLI veya Azure portalı ile yönetilen diskler için müşteri tarafından yönetilen anahtarları etkinleştirin.
• Azure Disk Şifrelemesi'nden sunucu tarafı şifrelemesine geçiş
• Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler oluşturmak için Azure Resource Manager şablonlarını keşfedin
• Azure Key Vault nedir?