Yönetilen disk şifreleme seçeneklerine genel bakış
Yönetilen diskleriniz için Azure Disk Şifrelemesi (ADE), Sunucu Tarafı Şifrelemesi (SSE) ve konakta şifreleme gibi çeşitli şifreleme türleri vardır.
Azure Disk Depolama Sunucu Tarafı Şifrelemesi (bekleyen şifreleme veya Azure Depolama şifreleme olarak da adlandırılır) her zaman etkinleştirilir ve Depolama Kümelerinde kalıcı hale getirilirken Azure yönetilen disklerinde (işletim sistemi ve veri diskleri) depolanan verileri otomatik olarak şifreler. Disk Şifreleme Kümesi (DES) ile yapılandırıldığında müşteri tarafından yönetilen anahtarları da destekler. Geçici diskleri veya disk önbelleklerini şifrelemez. Tüm ayrıntılar için bkz. Azure Disk Depolama sunucu tarafı şifrelemesi.
Konakta şifreleme, tüm geçici disklerin ve disk önbelleklerinin bekleme sırasında şifrelendiğinden ve Depolama kümelerine akışının şifrelendiğinden emin olmak için Azure Disk Depolama Sunucu Tarafı Şifrelemesini geliştiren bir Sanal Makine seçeneğidir. Tüm ayrıntılar için bkz . Konakta şifreleme - VM verileriniz için uçtan uca şifreleme.
Azure Disk Şifrelemesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizi korumaya ve korumaya yardımcı olur. ADE, Linux'un DM-Crypt özelliğini veya Windows'un BitLocker özelliğini kullanarak VM'lerinizdeki Azure sanal makinelerinin (VM) işletim sistemini ve veri disklerini şifreler. ADE, anahtar şifreleme anahtarı (KEK) ile şifreleme seçeneğiyle disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Tüm ayrıntılar için bkz. Linux VM'leri için Azure Disk Şifrelemesi veya Windows VM'leri için Azure Disk Şifrelemesi.
Gizli disk şifrelemesi , disk şifreleme anahtarlarını sanal makinenin TPM'sine bağlar ve korumalı disk içeriğini yalnızca VM için erişilebilir hale getirir. TPM ve VM konuk durumu, hiper yönetici ve konak işletim sistemini atlayan güvenli bir protokol tarafından yayımlanan anahtarlar kullanılarak her zaman doğrulanmış kodda şifrelenir. Şu anda yalnızca işletim sistemi diskinde kullanılabilir. Konaktaki şifreleme, Gizli Disk Şifrelemesi'ne ek olarak Gizli VM'deki diğer diskler için de kullanılabilir. Tüm ayrıntılar için bkz . DCasv5 ve ECasv5 serisi gizli VM'ler.
Şifreleme, katmanlı bir güvenlik yaklaşımının parçasıdır ve Sanal Makineler ve disklerinin güvenliğini sağlamak için diğer önerilerle kullanılmalıdır. Tüm ayrıntılar için bkz . Azure'da sanal makineler için güvenlik önerileri ve Yönetilen disklere içeri/dışarı aktarma erişimini kısıtlama.
Karşılaştırma
Disk Depolama SSE, ADE, konakta şifreleme ve Gizli disk şifrelemesi karşılaştırması aşağıdadır.
| Azure Disk Depolama Sunucu Tarafı Şifrelemesi | Konakta Şifreleme | Azure Disk Şifrelemesi | Gizli disk şifrelemesi (Yalnızca işletim sistemi diski için) | |
|---|---|---|---|---|
| Bekleyen şifreleme (işletim sistemi ve veri diskleri) | ✅ | ✅ | ✅ | ✅ |
| Geçici disk şifrelemesi | ❌ | ✅ Yalnızca platform tarafından yönetilen anahtarla desteklenir | ✅ | ❌ |
| Önbellekleri şifreleme | ❌ | ✅ | ✅ | ✅ |
| İşlem ile Depolama arasında şifrelenmiş veri akışları | ❌ | ✅ | ✅ | ✅ |
| Anahtarlar için müşteri denetimi | ✅ DES ile yapılandırıldığında | ✅ DES ile yapılandırıldığında | ✅ KEK ile yapılandırıldığında | ✅ DES ile yapılandırıldığında |
| HSM Desteği | Azure Key Vault Premium ve Yönetilen HSM | Azure Key Vault Premium ve Yönetilen HSM | Azure Key Vault Premium | Azure Key Vault Premium ve Yönetilen HSM |
| VM'nizin CPU'sunu kullanmaz | ✅ | ✅ | ❌ | ❌ |
| Özel görüntüler için çalışır | ✅ | ✅ | ❌ Özel Linux görüntüleri için çalışmıyor | ✅ |
| Gelişmiş Anahtar Koruması | ❌ | ❌ | ❌ | ✅ |
| disk şifreleme durumunu Bulut için Microsoft Defender* | Uygun Değil | Sağlam | Sağlam | Uygulanamaz |
Önemli
Gizli disk şifrelemesi için Bulut için Microsoft Defender şu anda geçerli bir öneri yoktur.
* Bulut için Microsoft Defender aşağıdaki disk şifreleme önerilerine sahiptir:
- Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir (Yalnızca Azure Disk Şifrelemesi algılar)
- [Önizleme]: Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'ı etkinleştirmelidir (hem Azure Disk Şifrelemesi hem de EncryptionAtHost'ı algılar)
- [Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'ı etkinleştirmelidir (hem Azure Disk Şifrelemesi hem de EncryptionAtHost'ı algılar)