Aracılığıyla paylaş


Yönetilen disk şifreleme seçeneklerine genel bakış

Yönetilen diskleriniz için Azure Disk Şifrelemesi (ADE), Sunucu Tarafı Şifrelemesi (SSE) ve konakta şifreleme gibi çeşitli şifreleme türleri vardır.

  • Azure Disk Depolama Sunucu Tarafı Şifrelemesi (bekleyen şifreleme veya Azure Depolama şifrelemesi olarak da adlandırılır) her zaman etkindir ve Depolama Kümelerinde kalıcı hale getirilirken Azure yönetilen disklerinde (işletim sistemi ve veri diskleri) depolanan verileri otomatik olarak şifreler. Disk Şifreleme Kümesi (DES) ile yapılandırıldığında müşteri tarafından yönetilen anahtarları da destekler. Geçici diskleri veya disk önbelleklerini şifrelemez. Tüm ayrıntılar için bkz . Azure Disk Depolama'nın sunucu tarafı şifrelemesi.

  • Konakta şifreleme, tüm geçici disklerin ve disk önbelleklerinin bekleme sırasında şifrelendiğinden ve Depolama kümelerine akışının şifrelendiğinden emin olmak için Azure Disk Depolama Sunucu Tarafı Şifrelemesini geliştiren bir Sanal Makine seçeneğidir. Tüm ayrıntılar için bkz . Konakta şifreleme - VM verileriniz için uçtan uca şifreleme.

  • Azure Disk Şifrelemesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizi korumaya ve korumaya yardımcı olur. ADE, Linux'un DM-Crypt özelliğini veya Windows'un BitLocker özelliğini kullanarak VM'lerinizdeki Azure sanal makinelerinin (VM) işletim sistemini ve veri disklerini şifreler. ADE, anahtar şifreleme anahtarı (KEK) ile şifreleme seçeneğiyle disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Tüm ayrıntılar için bkz. Linux VM'leri için Azure Disk Şifrelemesi veya Windows VM'leri için Azure Disk Şifrelemesi.

  • Gizli disk şifrelemesi , disk şifreleme anahtarlarını sanal makinenin TPM'sine bağlar ve korumalı disk içeriğini yalnızca VM için erişilebilir hale getirir. TPM ve VM konuk durumu, hiper yönetici ve konak işletim sistemini atlayan güvenli bir protokol tarafından yayımlanan anahtarlar kullanılarak her zaman doğrulanmış kodda şifrelenir. Şu anda yalnızca işletim sistemi diski için kullanılabilir; geçici disk desteği önizleme aşamasındadır. Konaktaki şifreleme, Gizli Disk Şifrelemesi'ne ek olarak Gizli VM'deki diğer diskler için de kullanılabilir. Tüm ayrıntılar için bkz . DCasv5 ve ECasv5 serisi gizli VM'ler.

Şifreleme, katmanlı bir güvenlik yaklaşımının parçasıdır ve Sanal Makineler ve disklerinin güvenliğini sağlamak için diğer önerilerle kullanılmalıdır. Tüm ayrıntılar için bkz . Azure'da sanal makineler için güvenlik önerileri ve Yönetilen disklere içeri/dışarı aktarma erişimini kısıtlama.

Karşılaştırma

Burada Disk Depolama SSE'sinin, ADE'nin, konakta şifrelemenin ve Gizli disk şifrelemesinin karşılaştırması yer alır.

  Azure Disk Depolama Sunucu Tarafı Şifrelemesi Konakta Şifreleme Azure Disk Şifrelemesi Gizli disk şifrelemesi (Yalnızca işletim sistemi diski için)
Bekleyen şifreleme (işletim sistemi ve veri diskleri)
Geçici disk şifrelemesi ✅ Yalnızca platform tarafından yönetilen anahtarla desteklenir Önizleme Aşamasında
Önbellekleri şifreleme
İşlem ve Depolama arasında şifrelenmiş veri akışları
Anahtarlar için müşteri denetimi ✅ DES ile yapılandırıldığında ✅ DES ile yapılandırıldığında ✅ KEK ile yapılandırıldığında ✅ DES ile yapılandırıldığında
HSM Desteği Azure Key Vault Premium ve Yönetilen HSM Azure Key Vault Premium ve Yönetilen HSM Azure Key Vault Premium Azure Key Vault Premium ve Yönetilen HSM
VM'nizin CPU'sunu kullanmaz
Özel görüntüler için çalışır ❌ Özel Linux görüntüleri için çalışmıyor
Gelişmiş Anahtar Koruması
disk şifreleme durumunu Bulut için Microsoft Defender* Uygun Değil Sağlam Sağlam Uygulanamaz

Önemli

Gizli disk şifrelemesi için Bulut için Microsoft Defender şu anda geçerli bir öneri yoktur.

* Bulut için Microsoft Defender aşağıdaki disk şifreleme önerilerine sahiptir:

Sonraki adımlar