Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Yönetilen diskleriniz için Azure Disk Şifrelemesi (ADE), Server-Side Şifreleme (SSE) ve konakta şifreleme gibi çeşitli şifreleme türleri vardır.
Azure Disk Depolama Server-Side Şifrelemesi (bekleyen şifreleme veya Azure Depolama şifrelemesi olarak da adlandırılır) her zaman etkinleştirilir ve Depolama Kümelerinde kalıcı hale getirilirken Azure yönetilen disklerinde (işletim sistemi ve veri diskleri) depolanan verileri otomatik olarak şifreler. Disk Şifreleme Kümesi (DES) ile yapılandırıldığında müşteri tarafından yönetilen anahtarları da destekler. Geçici diskleri veya disk önbelleklerini şifrelemez. Tüm ayrıntılar için bkz. Azure Disk Depolama'nın sunucu tarafı şifrelemesi.
Konakta şifreleme, Azure Disk Depolama Server-Side Şifrelemesini geliştirerek, bekleme anında tüm geçici disklerin ve disk önbelleklerinin şifrelendiğinden ve transfer sırasında Depolama kümelerine şifrelenmiş olarak aktarıldığından emin olan bir Sanal Makine seçeneğidir. Tüm ayrıntılar için bkz Ana bilgisayarda şifreleme - VM verileriniz için uçtan uca şifreleme.
Gizli disk şifrelemesi , disk şifreleme anahtarlarını sanal makinenin TPM'sine bağlar ve korumalı disk içeriğini yalnızca VM için erişilebilir hale getirir. TPM ve VM konuk durumu, hiper yönetici ve konak işletim sistemini atlayan güvenli bir protokol tarafından yayımlanan anahtarlar kullanılarak her zaman doğrulanmış kodda şifrelenir. Şu anda yalnızca işletim sistemi diski için kullanılabilir; geçici disk desteği önizleme aşamasındadır. Ana bilgisayardaki şifreleme, Gizli Disk Şifrelemesi'ne ek olarak Gizli VM üzerindeki diğer diskler için de kullanılabilir. Tüm ayrıntılar için bkz. DCasv5 ve ECasv5 serisi gizli VM'ler.
Azure Disk Şifrelemesi , kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. ADE, Linux'un DM-Crypt özelliğini veya Windows'un BitLocker özelliğini kullanarak VM'lerinizdeki Azure sanal makinelerinin (VM) işletim sistemini ve veri disklerini şifreler. ADE, anahtar şifreleme anahtarı (KEK) ile şifreleme seçeneğiyle disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Tüm ayrıntılar için bkz. Linux VM'leri için Azure Disk Şifrelemesi veya Windows VM'leri için Azure Disk Şifrelemesi.
Önemli
Azure Disk Şifrelemesi 15 Eylül 2028'de kullanımdan kaldırılıyor. Bu tarihe kadar Azure Disk Şifrelemesi'ni kesinti olmadan kullanmaya devam edebilirsiniz. 15 Eylül 2028'de ADE özellikli iş yükleri çalışmaya devam edecek, ancak VM yeniden başlatıldıktan sonra şifrelenmiş disklerin kilidi açılamaz ve hizmet kesintisine neden olur.
Yeni VM'ler için konakta şifreleme kullanın veya gizli bilgi işlem iş yükleri için işletim sistemi disk şifrelemesi ile Gizli VM boyutlarını göz önünde bulundurun. Hizmet kesintisini önlemek için tüm ADE özellikli VM'lerin (yedeklemeler dahil) kullanımdan kaldırma tarihinden önce konakta şifrelemeye geçirilmesi gerekir. Ayrıntılar için bkz. Azure Disk Şifrelemesi'nden konakta şifrelemeye geçiş .
Şifreleme, katmanlı bir güvenlik yaklaşımının bir parçasıdır ve Sanal Makinelerin ve disklerinin güvenliğini sağlamak için diğer önerilerle kullanılmalıdır. Tüm ayrıntılar için bkz . Azure'da sanal makineler için güvenlik önerileri ve Yönetilen disklere içeri/dışarı aktarma erişimini kısıtlama.
Karşılaştırma
Burada Disk Depolama SSE'sinin, ADE'nin, konakta şifrelemenin ve Gizli disk şifrelemesinin karşılaştırması yer alır.
| Azure Disk Depolama Server-Side Şifrelemesi | Konakta Şifreleme | Azure Disk Şifreleme | Gizli disk şifrelemesi (Yalnızca işletim sistemi diski için) | |
|---|---|---|---|---|
| Bekleyen şifreleme (işletim sistemi ve veri diskleri) | ✅ | ✅ | ✅ | ✅ |
| Geçici disk şifrelemesi | ❌ | ✅ Yalnızca platform tarafından yönetilen anahtarla desteklenir | ✅ | ✅ Önizlemede |
| Önbellekleri şifreleme | ❌ | ✅ | ✅ | ✅ |
| İşlem ve Depolama arasında şifrelenmiş veri akışları | ❌ | ✅ | ✅ | ✅ |
| Anahtarlar için müşteri denetimi | ✅ DES ile yapılandırıldığında | ✅ DES ile yapılandırıldığında | ✅ KEK ile yapılandırıldığında | ✅ DES ile yapılandırıldığında |
| HSM Desteği | Azure Key Vault Premium ve Yönetilen HSM | Azure Key Vault Premium ve Yönetilen HSM | Azure Key Vault Premium | Azure Key Vault Premium ve Yönetilen HSM |
| VM'nizin CPU'sunu kullanmaz | ✅ | ✅ | ❌ | ❌ |
| Özel görüntüler için çalışır | ✅ | ✅ | ❌ Özel Linux görüntüleri için çalışmıyor | ✅ |
| Gelişmiş Anahtar Koruması | ❌ | ❌ | ❌ | ✅ |
| Bulut için Microsoft Defender disk şifreleme durumu* | Uygun Değil | Sağlıklı | Sağlıklı | Uygulanamaz |
Önemli
Gizli disk şifrelemesi için Bulut için Microsoft Defender şu anda geçerli bir öneriye sahip değildir.
* Bulut için Microsoft Defender aşağıdaki disk şifreleme önerilerine sahiptir:
- Sanal makineler ve sanal makine ölçek kümeleri için konak üzerinde şifrelemenin etkinleştirilmesi gerekir (Yalnızca Konakta Şifrelemeyi algılar)
- Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir (Yalnızca Azure Disk Şifrelemesi'ni algılar)
- Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir (Hem Azure Disk Şifrelemesi hem de EncryptionAtHost algılar)
- Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir (Hem Azure Disk Şifrelemesi hem de EncryptionAtHost algılar)
Sonraki adımlar
- Linux VM'leri için Azure Disk Şifrelemesi
- Windows VM’leri için Azure Disk Şifrelemesi
- Azure Disk Depolama için sunucu tarafı şifreleme
- Konakta şifreleme
- Azure Disk Şifrelemesi'nden konakta şifrelemeye geçiş
- DCasv5 ve ECasv5 serisi gizli VM'ler
- Azure Güvenlikle İlgili Temel Bilgiler - Azure şifrelemeye genel bakış