Azure Disk Depolama sunucu tarafı şifrelemesi

Applies to: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Azure yönetilen disklerin çoğu, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olmak için sunucu tarafı şifreleme (SSE) kullanan Azure Depolama şifreleme ile şifrelenir. Azure Depolama şifrelemesi, varsayılan olarak Azure yönetilen disklerde (işletim sistemi ve veri diskleri) depolanan verilerinizi, buluta kaydedilirken hareketsiz haldeyken otomatik olarak şifreler. Ancak ana bilgisayar şifrelemesi etkinleştirilmiş diskler Azure Depolama aracılığıyla şifrelenmez. Barındırıcıda şifreleme etkinleştirilen diskler için, VM'nizi barındıran sunucu verileriniz için şifreleme sağlar ve bu şifrelenmiş veri Azure Depolama'a akar.

Azure yönetilen disklerdeki veriler, 256 bit AES şifrelemesi kullanılabilir en güçlü blok şifrelerinden biri olan ve FIPS 140-2 uyumlu kullanılarak saydam olarak şifrelenir. Daha fazla bilgi için Azure yönetilen disklerin temel aldığı kriptografik modüller hakkında bkz. Cryptography API: Next Generation

Azure Depolama şifreleme, yönetilen disklerin performansını etkilemez ve ek maliyet yoktur. Azure Depolama şifreleme hakkında daha fazla bilgi için bkz. Azure Depolama encryption.

Önemli

Geçici diskler yönetilen diskler değildir ve konakta şifrelemeyi etkinleştirmediğiniz sürece SSE tarafından şifrelenmez.

Azure sürüm 5 ve üzeri olan VM'ler (Dsv5 veya Dsv6 gibi) geçici disklerini ve (kullanılıyorsa) bekleme durumunda şifreleme ile kısa ömürlü işletim sistemi disklerini otomatik olarak şifreler.

Şifreleme anahtarı yönetimi hakkında

Yönetilen diskinizin şifrelemesi için platform tarafından yönetilen anahtarlara güvenebilir veya kendi anahtarlarınızı kullanarak şifrelemeyi yönetebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, yönetilen disklerdeki tüm verileri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.

Aşağıdaki bölümlerde anahtar yönetimi seçeneklerinin her biri daha ayrıntılı olarak açıklanmaktadır.

Platform tarafından yönetilen anahtarlar

Varsayılan olarak, yönetilen diskler platform tarafından yönetilen şifreleme anahtarlarını kullanır. Mevcut yönetilen disklere yazılan tüm yönetilen diskler, anlık görüntüler, görüntüler ve veriler platform tarafından yönetilen anahtarlarla otomatik olarak şifrelenir. Platform tarafından yönetilen anahtarlar Microsoft tarafından yönetilir.

Müşteri tarafından yönetilen anahtarlar

Şifrelemeyi her yönetilen disk düzeyinde kendi anahtarlarınızla yönetmeyi seçebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini yönetmek için çok daha fazla esneklik sunar.

Müşteri tarafından yönetilen anahtarlarınızı depolamak için aşağıdaki Azure anahtar depolarından birini kullanmanız gerekir:

RSA anahtarlarınızı Key Vault içeri aktarabilir veya Azure Key Vault yeni RSA anahtarları oluşturabilirsiniz. Azure yönetilen diskler, şifreleme ve şifre çözme işlemlerini zarf şifrelemesi kullanarak tamamen saydam bir şekilde işler. AES 256 tabanlı veri şifreleme anahtarı (DEK) kullanarak verileri şifreler. Bu anahtarlar, anahtarlarınızı kullanarak korunur. Depolama hizmeti, veri şifreleme anahtarları oluşturur ve RSA şifrelemesini kullanarak bunları müşteri tarafından yönetilen anahtarlarla şifreler. Zarf şifrelemesi, vm'lerinizi etkilemeden uyumluluk ilkelerinize göre anahtarlarınızı düzenli aralıklarla döndürmenize (değiştirmenize) olanak tanır. Anahtarlarınızı döndürdüğünüzde, Depolama hizmeti veri şifreleme anahtarlarını müşteri tarafından yönetilen yeni anahtar sürümüyle yeniden sarmalar. Temel alınan disk verilerinin kendisi yeniden şifrelenmez. Yeniden sarmalama tamamlanana kadar hem eski hem de yeni anahtar sürümleri etkin kalmalıdır.

Yönetilen diskler ve Key Vault veya yönetilen HSM aynı Azure bölgede olmalıdır, ancak farklı aboneliklerde olabilir. Ayrıca, Kiracılar arası müşteri tarafından yönetilen anahtarlarla yönetilen diskleri şifreleme kullanmadığınız sürece aynı Microsoft Entra kiracında da olmalıdır.

Anahtarlarınızın tam denetimi

DEK'yi şifrelemek ve şifresini çözmek için anahtarlarınızı kullanmak için Key Vault veya yönetilen HSM'nizdeki yönetilen disklere erişim vermelisiniz. Bu, verilerinizi ve anahtarlarınızı tam olarak denetlemenize olanak tanır. İstediğiniz zaman anahtarlarınızı devre dışı bırakabilir veya yönetilen disklere erişimi iptal edebilirsiniz. Anahtarlarınıza yalnızca yönetilen disklerin veya diğer güvenilen Azure hizmetlerinin eriştiğinden emin olmak için şifreleme anahtarı kullanımını Azure Key Vault izleme ile de denetleyebilirsiniz.

Önemli

Bir anahtar devre dışı bırakıldığında, silindiğinde veya süresi dolduğunda, o anahtarı kullanan işletim sistemi veya veri disklerine sahip tüm VM'ler otomatik olarak kapatılır. Otomatik kapatmadan sonra, anahtar yeniden etkinleştirilene veya yeni bir anahtar atayana kadar VM'ler önyüklenmez.

Genellikle, bir anahtar devre dışı bırakıldıktan, silindikten veya süresi dolduktan bir saat sonra disk G/Ç (okuma veya yazma işlemleri) başarısız olur.

Aşağıdaki diyagramda, yönetilen disklerin müşteri tarafından yönetilen anahtarı kullanarak istekte bulunmak için Microsoft Entra ID ve Azure Key Vault nasıl kullandığı gösterilmektedir:

Yönetilen disk ve müşteri tarafından yönetilen anahtarlar iş akışının diyagramı. Bir yönetici Azure Key Vault oluşturur, ardından bir disk şifreleme kümesi oluşturur ve disk şifreleme kümesini ayarlar. Bu küme, diskin Microsoft Entra ID'yi kullanarak kimliğini doğrulamasını sağlayan bir VM ile ilişkilendirilir.

Aşağıdaki listede diyagram daha ayrıntılı olarak açıklanmaktadır:

  1. Azure Key Vault yöneticisi, anahtar kasası kaynakları oluşturur.
  2. key vault yöneticisi RSA anahtarlarını Key Vault içeri aktarır veya Key Vault yeni RSA anahtarları oluşturur.
  3. Bu yönetici, bir Azure Key Vault kimliği ve anahtar URL'si belirterek Disk Şifreleme Kümesi kaynağının bir örneğini oluşturur. Disk Şifreleme Kümesi, yönetilen diskler için anahtar yönetimini basitleştirmek için sunulan yeni bir kaynaktır.
  4. Disk şifreleme kümesi oluşturulduğunda, Microsoft Entra ID'de oluşturulup disk şifreleme kümesiyle ilişkilendirilen sistem tarafından atanan bir yönetilen kimlik vardır.
  5. Azure anahtar kasası yöneticisi, anahtar kasasında işlemleri gerçekleştirmek için yönetilen kimlik izni verir.
  6. VM kullanıcısı diskleri disk şifreleme kümesiyle ilişkilendirerek oluşturur. VM kullanıcısı, mevcut kaynaklar için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi disk şifreleme kümesiyle ilişkilendirerek de etkinleştirebilir.
  7. Yönetilen diskler, Azure Key Vault'a istek göndermek amacıyla yönetilen kimliği kullanır.
  8. Verileri okumak veya yazmak için, Azure Yönetilen Diskler, veri şifreleme anahtarını sarmalamak (şifrelemek) ve açmak (şifresini çözmek) işlemleri için Azure Key Vault'a istek gönderir; böylece verilerin şifrelenmesi ve şifresinin çözülmesi sağlanır.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için bkz. Azure Key Vault PowerShell ve Azure Key Vault CLI. Şifreleme anahtarına Azure Depolama tarafından erişilemediği için erişimi iptal etmek depolama hesabındaki tüm verilere erişimi etkili bir şekilde engeller.

Müşteri tarafından yönetilen anahtarların otomatik anahtar döndürmesi

Genel olarak, müşteri tarafından yönetilen anahtarlar kullanıyorsanız en son anahtar sürümüne otomatik anahtar döndürmeyi etkinleştirmeniz gerekir. Otomatik anahtar döndürme, anahtarlarınızın güvenli olduğundan emin olunmasını sağlar. Disk, disk şifreleme kümesi aracılığıyla bir anahtara başvurur. Bir disk şifreleme kümesi için otomatik döndürmeyi etkinleştirdiğinizde sistem, disk şifreleme kümesine başvuran tüm yönetilen diskleri, anlık görüntüleri ve görüntüleri bir saat içinde anahtarın yeni sürümünü kullanacak şekilde otomatik olarak güncelleştirir. Otomatik anahtar döndürme ile müşteri tarafından yönetilen anahtarları etkinleştirmeyi öğrenmek için bkz. Otomatik anahtar döndürme ile Azure Key Vault ve DiskEncryptionSet ayarlama.

Not

Sanal Makineler otomatik anahtar döndürme sırasında yeniden başlatılmaz.

Otomatik anahtar döndürmeyi etkinleştiremiyorsanız, anahtarların süresi dolmadan önce sizi uyarmak için başka yöntemler kullanabilirsiniz. Bu şekilde, süre dolmadan önce anahtarlarınızı döndürmeyi ve iş sürekliliğini korumayı sağlayabilirsiniz. Anahtarın süresi yakında dolduğunda bildirim göndermek için Azure İlkesi veya Azure Event Grid kullanabilirsiniz.

Kısıtlamalar

Şimdilik müşteri tarafından yönetilen anahtarlar aşağıdaki kısıtlamalara sahiptir:

  • Bu özellik, artımlı anlık görüntüleri olan bir disk için etkinleştirildiyse, bu disk veya onun herhangi bir anlık görüntüsünde devre dışı bırakılamaz. Bu sorunu geçici olarak çözmek için tüm verileri müşteri tarafından yönetilen anahtarları kullanmayan tamamen farklı bir yönetilen diske kopyalayın. Bunu Azure CLI veya Azure PowerShell modülü ile yapabilirsiniz.
  • Bir disk ve ilişkili tüm artımlı anlık görüntüleri aynı disk şifreleme kümesine sahip olmalıdır.
  • Yalnızca 2.048 bit, 3.072 bit ve 4.096 bit boyutlarında yazılım ve HSM RSA anahtarları desteklenir; başka anahtar veya boyut yoktur.
    • HSM anahtarları, Azure Anahtar kasalarının premium katmanını gerektirir.
  • Yalnızca Ultra Diskler ve Premium SSD v2 diskleri için:
    • (Önizleme) Kullanıcı tarafından atanan yönetilen kimlikler, müşteri tarafından yönetilen anahtarlarla şifrelenmiş Ultra Diskler ve Premium SSD v2 diskleri için kullanılabilir.
  • Müşteri tarafından yönetilen anahtarlarınız (disk şifreleme kümeleri, VM'ler, diskler ve anlık görüntüler) ile ilgili kaynakların çoğu aynı abonelikte ve bölgede olmalıdır.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler yalnızca bağlı oldukları VM serbest bırakıldığında başka bir kaynak grubuna taşınabilir.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler, anlık görüntüler ve görüntüler abonelikler arasında taşınamaz.
  • Şu anda veya daha önce Azure Disk Şifrelemesi kullanılarak şifrelenen yönetilen diskler, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenemez.
  • Abonelik başına bölge başına en fazla 5000 disk şifreleme kümesi oluşturabilir.
  • Paylaşılan görüntü galerileriyle müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz . Önizleme: Görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanma.

Desteklenen bölgeler

Müşteri tarafından yönetilen anahtarlar, yönetilen disklerin kullanılabilir olduğu tüm bölgelerde kullanılabilir.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID özelliği olan Azure kaynaklar için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya yönetilen diski bir Microsoft Entra dizinden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılamaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz. Microsoft Entra dizinleri arasında abonelik aktarma.

Yönetilen disklerde müşteri tarafından yönetilen anahtarları etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile nasıl etkinleştirileceğine ilişkin makalelerimize bakın.

Kod örneği için bkz . CLI ile anlık görüntüden yönetilen disk oluşturma.

Konakta şifreleme - VM verileriniz için uçtan uca şifreleme

Ana bilgisayarda şifrelemeyi etkinleştirdiğinizde, şifreleme doğrudan VM'nizin tahsis edildiği Azure sunucusunun üzerinde, yani VM ana bilgisayarında başlar. Geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için veriler bu VM ana bilgisayarında depolanır. Sunucuda şifreleme etkinleştirildikten sonra, dinlenme durumundaki tüm bu veriler şifrelenir ve şifreli olarak Depolama hizmetine aktarılır, burada kalıcılığı sağlanır. Temelde, sunucu üzerindeki şifreleme, verilerinizi uçtan uca şifreler. Konakta şifreleme, VM'nizin CPU'sunu kullanmaz ve VM'nizin performansını etkilemez.

Uçtan uca şifrelemeyi etkinleştirdiğinizde, geçici diskler ve geçici işletim sistemi diskleri, hareketsiz durumdayken platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi ve veri diski önbellekleri, seçili disk şifreleme türüne bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarlarla bekleme durumunda şifrelenir. Örneğin, bir disk müşteri tarafından yönetilen anahtarlarla şifrelenirse, diskin önbelleği müşteri tarafından yönetilen anahtarlarla şifrelenir ve disk platform tarafından yönetilen anahtarlarla şifrelenirse diskin önbelleği platform tarafından yönetilen anahtarlarla şifrelenir.

Kısıtlamalar

  • Azure Disk Şifrelemesi şu anda veya daha önce etkin olan sanal makinelerde (VM) veya sanal makine ölçek kümelerinde etkinleştirilemez.
  • Azure Disk Şifrelemesi, ana bilgisayarda şifreleme etkinleştirilmiş disklerde etkinleştirilemiyor.
  • Şifreleme mevcut sanal makine ölçek kümelerinde etkinleştirilebilir. Ancak, yalnızca şifreleme etkinleştirildikten sonra oluşturulan yeni VM'ler otomatik olarak şifrelenir.
  • Mevcut VM'lerin şifrelenmesi için serbest bırakılması ve yeniden tahsis edilmesi gerekir.

Aşağıdaki kısıtlamalar yalnızca Ultra Diskler ve Premium SSD v2 için geçerlidir:

  • 512e kesim boyutu kullanan disklerin 13.05.2023'e kadar oluşturulmuş olması gerekir.

Desteklenen VM boyutları

Desteklenen VM boyutlarının tam listesi program aracılığıyla çekilebilir. Bunları program aracılığıyla nasıl alacağınızı öğrenmek için Azure PowerShell modülü veya Azure CLI makalelerinin desteklenen VM boyutlarını bulma bölümüne bakın.

Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirmek için Azure PowerShell modülü, Azure CLI veya Azure portalı ile nasıl etkinleştirileceğine ilişkin makalelerimize bakın.

Dinlenme halindeki verilerde çift şifreleme

Belirli bir şifreleme algoritması, uygulama veya anahtarın gizliliğinin tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler artık platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Bu yeni katman, kalıcı işletim sistemi ve veri disklerine, anlık görüntülere ve imajlara uygulanabilir ve bunların tümü dinlenme halinde çift şifreleme ile şifrelenecektir.

Kısıtlamalar

Bekleme sırasında çift şifreleme şu anda Ultra Diskler veya Premium SSD v2 disklerinde desteklenmemektedir.

Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirmek için bkz Yönetilen disklerde bekleyen çift şifrelemeyi etkinleştirme.

Konakta şifreleme ile Azure disk şifrelemesi karşılaştırması

Azure Disk Şifrelemesi Linux'un DM-Crypt özelliğinden veya yönetilen diskleri konuk VM'de müşteri tarafından yönetilen anahtarlarla şifrelemek için Windows <2>BitLocker özelliğinden yararlanıyor. Ana bilgisayar üzerinde şifreleme ile sunucu tarafı şifreleme, ADE'yi geliştirir. Konakta şifreleme ile, geçici disk ve işletim sistemi/veri diski önbellekleriniz için veriler bu VM ana bilgisayarında depolanır. Sunucuda şifreleme etkinleştirildikten sonra, dinlenme durumundaki tüm bu veriler şifrelenir ve şifreli olarak Depolama hizmetine aktarılır, burada kalıcılığı sağlanır. Temelde, sunucu üzerindeki şifreleme, verilerinizi uçtan uca şifreler. Konakta şifreleme, VM'nizin CPU'sunu kullanmaz ve VM'nizin performansını etkilemez.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID özelliği olan Azure kaynaklar için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Aboneliği, kaynak grubunu veya yönetilen diski daha sonra bir Microsoft Entra dizinden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz. Microsoft Entra dizinleri arasında abonelik aktarma.

Sonraki adımlar

  • Last updated on