Linux sanal makineleri için Azure Disk Şifrelemesi hakkında SSS

Linux VM'leri için Azure Disk Şifrelemesi, işletim sistemi diskinin* ve veri disklerinin tam disk şifrelemesini sağlamak için Linux'un dm-crypt özelliğini kullanır. Ayrıca EncryptFormatAll özelliğini kullanırken geçici diskin şifrelenmesini sağlar. İçerik, VM'den Depolama arka ucuna şifrelenmiş olarak akar. Böylece, müşteri tarafından yönetilen bir anahtarla uçtan uca şifreleme sağlar.

Bkz . Desteklenen VM'ler ve işletim sistemleri.

Linux VM'leri için Azure Disk Şifrelemesi tüm Azure genel bölgelerinde genel kullanılabilirlik aşamasındadır.

Azure Disk Şifrelemesi GA, Azure Resource Manager şablonlarını, Azure PowerShell'i ve Azure CLI'yı destekler. Farklı kullanıcı deneyimleri size esneklik sağlar. VM'leriniz için disk şifrelemesini etkinleştirmek için üç farklı seçeneğiniz vardır. Azure Disk Şifrelemesi'da sağlanan kullanıcı deneyimi ve adım adım yönergeler hakkında daha fazla bilgi için bkz. Linux için Azure Disk Şifrelemesi senaryoları.

VM disklerini Azure Disk Şifrelemesi ile şifrelemek için ücret alınmaz, ancak Azure Key Vault kullanımıyla ilişkili ücretler vardır. Azure Key Vault maliyetleri hakkında daha fazla bilgi için Key Vault fiyatlandırma sayfasına bakın.

Başlamak için Azure Disk Şifrelemesi genel bakışını okuyun.

Azure Disk Şifrelemesi genel bakış makalesinde, Azure Disk Şifrelemesi destekleyen VM boyutları ve VM işletim sistemleri listelenir.

Evet, hem önyükleme hem de veri birimlerini şifreleyebilir veya önce işletim sistemi birimini şifrelemek zorunda kalmadan veri birimini şifreleyebilirsiniz.

İşletim sistemi birimini şifreledikten sonra işletim sistemi biriminde şifrelemeyi devre dışı bırakmak desteklenmez. Ölçek kümesindeki Linux VM'ler için yalnızca veri birimi şifrelenebilir.

Hayır, Azure Disk Şifrelemesi yalnızca bağlı birimleri şifreler.

Depolama sunucu tarafı şifrelemesi, Azure Depolama Azure yönetilen disklerini şifreler. Yönetilen diskler, platform tarafından yönetilen anahtarla (10 Haziran 2017 itibarıyla) sunucu tarafı şifrelemesiyle varsayılan olarak şifrelenir. Müşteri tarafından yönetilen bir anahtar belirterek yönetilen disklerin şifrelemesini kendi anahtarlarınızla yönetebilirsiniz. Daha fazla bilgi için bkz. Azure yönetilen disklerinin sunucu tarafı şifrelemesi.

Azure Disk Şifrelemesi, müşteri tarafından yönetilen bir anahtar kullanarak işletim sistemi diski, veri diskleri ve geçici disk için uçtan uca şifreleme sağlar.

• Gereksinimleriniz yukarıdaki ve uçtan uca şifrelemenin tümünü şifrelemeyi kapsıyorsa Azure Disk Şifrelemesi kullanın.
• Gereksinimleriniz yalnızca bekleyen verileri müşteri tarafından yönetilen anahtarla şifrelemeyi kapsıyorsa, müşteri tarafından yönetilen anahtarlarla Sunucu tarafı şifrelemeyi kullanın. Bir diski hem Azure Disk Şifrelemesi hem de müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi Depolama şifreleyemezsiniz.
• Linux dağıtımınız Azure Disk Şifrelemesi için desteklenen işletim sistemleri altında listelenmiyorsa veya kısıtlamalarda belirtilen bir senaryo kullanıyorsanız, müşteri tarafından yönetilen anahtarlarla Sunucu tarafı şifrelemeyi göz önünde bulundurun.
• Kuruluşunuzun ilkesi bekleyen içeriği Azure tarafından yönetilen bir anahtarla şifrelemenize izin veriyorsa hiçbir eylem gerekmez; içerik varsayılan olarak şifrelenir. Yönetilen diskler için, depolamanın içindeki içerik varsayılan olarak platform tarafından yönetilen anahtarla Sunucu tarafı şifrelemesi ile şifrelenir. Anahtar, Azure Depolama hizmeti tarafından yönetilir.

Gizli dizileri döndürmek için, disk şifrelemesini etkinleştirmek için başlangıçta kullandığınız komutu çağırın ve farklı bir Key Vault belirtin. Anahtar şifreleme anahtarını döndürmek için, yeni anahtar şifrelemesini belirterek disk şifrelemesini etkinleştirmek için başlangıçta kullandığınız komutu çağırın.

Anahtar şifreleme anahtarı eklemek için anahtar şifreleme anahtarı parametresini geçirerek enable komutunu yeniden çağırın. Anahtar şifreleme anahtarını kaldırmak için anahtar şifreleme anahtarı parametresi olmadan enable komutunu yeniden çağırın.

Evet, kendi anahtar şifreleme anahtarlarınızı sağlayabilirsiniz. Bu anahtarlar, Azure Disk Şifrelemesi için anahtar deposu olan Azure Key Vault'ta koruma altına alır. Anahtar şifreleme anahtarları destek senaryoları hakkında daha fazla bilgi için bkz. Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.

Evet, Azure disk şifrelemesi kullanımı için bir anahtar şifreleme anahtarı oluşturmak için Azure Key Vault kullanabilirsiniz. Bu anahtarlar, Azure Disk Şifrelemesi için anahtar deposu olan Azure Key Vault'ta koruma altına alır. Anahtar şifreleme anahtarı hakkında daha fazla bilgi için bkz. Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.

Şifreleme anahtarlarını Azure Disk Şifrelemesi ile korumak için şirket içi anahtar yönetimi hizmetini veya HSM'yi kullanamazsınız. Şifreleme anahtarlarını korumak için yalnızca Azure Key Vault hizmetini kullanabilirsiniz. Anahtar şifreleme anahtarı destek senaryoları hakkında daha fazla bilgi için bkz. Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.

Azure Disk Şifrelemesi için önkoşullar vardır. Yeni bir anahtar kasası oluşturmak veya şifrelemeyi etkinleştirmek ve gizli dizileri ve anahtarları korumak üzere disk şifreleme erişimi için mevcut bir anahtar kasası ayarlamak için Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma makalesine bakın. Anahtar şifreleme anahtarı destek senaryoları hakkında daha fazla bilgi için bkz. Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.

Azure Disk Şifrelemesi için önkoşullar vardır. Bir Microsoft Entra uygulaması oluşturmak, yeni bir anahtar kasası oluşturmak veya şifrelemeyi etkinleştirmek ve gizli dizileri ve anahtarları korumak için disk şifreleme erişimi için mevcut bir anahtar kasası ayarlamak için Microsoft Entra ID içeriğiyle Azure Disk Şifrelemesi bakın. Anahtar şifreleme anahtarı destek senaryoları hakkında daha fazla bilgi için bkz. Microsoft Entra Id ile Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.

Evet. Microsoft Entra uygulaması kullanılarak disk şifrelemesi hala desteklenmektedir. Ancak, yeni VM'leri şifrelerken Microsoft Entra uygulamasıyla şifrelemek yerine yeni yöntemi kullanmanız önerilir.

Şu anda, Microsoft Entra uygulamasıyla şifrelenen makineler için Microsoft Entra uygulaması olmadan şifrelemeye doğrudan geçiş yolu yoktur. Ayrıca, Microsoft Entra uygulaması olmadan şifrelemeden AD uygulamasıyla şifrelemeye doğrudan bir yol yoktur.

Azure Disk Şifrelemesi yapılandırmak için Azure PowerShell SDK'sının en son sürümünü kullanın. Azure PowerShell'in en son sürümünü indirin. Azure Disk Şifrelemesi, Azure SDK sürüm 1.1.0 tarafından desteklenmez.

Linux IaaS VM'nizde şifrelemeyi etkinleştirmek üzere Linux VM için Azure disk şifreleme uzantısı dağıtmanız gereken Azure Resource Manager (ARM) gibi dağıtım senaryoları için Azure disk şifrelemesi üretim tarafından desteklenen "Microsoft.Azure.Security.AzureDiskEncryptionForLinux" uzantısını kullanmanız gerekir.

Özel Linux görüntünüze Azure Disk Şifrelemesi uygulayamazsınız. Yalnızca daha önce belirtilen desteklenen dağıtımlar için linux görüntüleri galerisi desteklenir. Özel Linux görüntüleri şu anda desteklenmiyor.

Evet, Red Hat Linux VM'sinde yum güncelleştirmesi gerçekleştirebilirsiniz. Daha fazla bilgi için bkz. Yalıtılmış bir ağda Azure Disk Şifrelemesi.

Linux'ta en iyi sonuçları elde etmek için aşağıdaki iş akışının kullanılması önerilir:

• Gerekli işletim sistemi dağıtımına ve sürümüne karşılık gelen değiştirilmemiş stok galerisi görüntüsünden başlayın
• Şifrelenecek tüm bağlı sürücüleri yedekleyin. Bu yedekleme, bir hata varsa, örneğin şifreleme tamamlanmadan önce VM yeniden başlatılırsa kurtarma sağlar.
• Şifreleme (VM özelliklerine ve bağlı veri disklerinin boyutuna bağlı olarak birkaç saat hatta gün sürebilir)
• Gerektiği gibi özelleştirin ve görüntüye yazılım ekleyin.

Bu iş akışı mümkün değilse, platform depolama hesabı katmanında Depolama Hizmet Şifrelemesi'ne (SSE) güvenmek, dm-crypt kullanarak tam disk şifrelemesine alternatif olabilir.

"Bek birimi", Şifrelenmiş Azure VM'leri için şifreleme anahtarlarını güvenli bir şekilde depolayan yerel bir veri birimidir.

Azure Disk Şifrelemesi, 256 bit birim ana anahtarıyla aes-xts-plain64'ün şifre çözme varsayılanını kullanır.

Hayır, veriler Azure Disk Şifrelemesi kullanılarak şifrelenmiş olan veri sürücülerinden silinmez. EncryptFormatAll'ın işletim sistemi sürücüsünü yeniden şifrelemediğinden benzer şekilde, zaten şifrelenmiş olan veri sürücüsünü yeniden şifrelemez. Daha fazla bilgi için bkz . EncryptFormatAll ölçütleri.

XFS işletim sistemi disklerinin şifrelenmesi desteklenir.

XFS veri disklerinin şifrelenmesi yalnızca EncryptFormatAll parametresi kullanıldığında desteklenir. Bu işlem birimi yeniden biçimlendirerek daha önce orada bulunan tüm verileri silecektir. Daha fazla bilgi için bkz . EncryptFormatAll ölçütleri.

ADE şifreli işletim sistemi diskinin yeniden boyutlandırılma işlemi şu anda desteklenmiyor.

Azure Backup, şifrelenmiş VM'leri aynı abonelik ve bölge içinde yedeklemek ve geri yüklemek için bir mekanizma sağlar. Yönergeler için bkz . Azure Backup ile şifrelenmiş sanal makineleri yedekleme ve geri yükleme. Şifrelenmiş vm'nin farklı bir bölgeye geri yüklenmesi şu anda desteklenmiyor.

Azure Disk Şifrelemesi için Microsoft Soru-Cevap soru sayfasında soru sorabilir veya geri bildirim sağlayabilirsiniz.

Sonraki adımlar

Bu belgede, Azure Disk Şifrelemesi ile ilgili en sık sorulan sorular hakkında daha fazla bilgi edindiyseniz. Bu hizmet hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• Azure Disk Şifrelemesine Genel Bakış
• Azure Güvenlik Merkezi disk şifrelemesi uygulama
• Azure bekleyen verileri şifreleme