Windows VM’leri için Azure Disk Şifrelemesi
Şunlar için geçerlidir: ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri
Azure Disk Şifrelemesi verilerinizi koruyarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Windows'un BitLocker özelliğini kullanarak Azure sanal makinelerinin (VM) işletim sistemi ve veri diskleri için birim şifrelemesi sağlar ve disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir.
Azure Disk Şifrelemesi, Sanal Makineler gibi bölge dayanıklıdır. Ayrıntılar için bkz. Kullanılabilirlik Alanları destekleyen Azure Hizmetleri.
Bulut için Microsoft Defender kullanıyorsanız, şifrelenmemiş VM'leriniz varsa uyarı alırsınız. Uyarılar Yüksek Önem Derecesi olarak gösterilir ve bu VM'lerin şifrelenmesi önerilir.
Uyarı
- Vm'yi şifrelemek için daha önce Microsoft Entra ID ile Azure Disk Şifrelemesi kullandıysanız, VM'nizi şifrelemek için bu seçeneği kullanmaya devam etmeniz gerekir. Ayrıntılar için bkz. Microsoft Entra Id (önceki sürüm) ile Azure Disk Şifrelemesi.
- Bazı öneriler veri, ağ veya işlem kaynağı kullanımını artırarak ek lisans veya abonelik maliyetlerine neden olabilir. Desteklenen bölgelerde Azure'da kaynak oluşturmak için geçerli bir etkin Azure aboneliğiniz olmalıdır.
- Azure Disk Şifrelemesi aracılığıyla şifrelenen bir VM veya diskin şifresini el ile çözmek için BitLocker kullanmayın.
Azure CLI ile Windows VM oluşturma ve şifreleme hızlı başlangıcı veya Azure PowerShell ile Windows VM oluşturma ve şifreleme hızlı başlangıcı ile windows için Azure Disk Şifrelemesi temellerini yalnızca birkaç dakika içinde öğrenebilirsiniz.
Desteklenen VM'ler ve işletim sistemleri
Desteklenen VM'ler
Windows VM'leri çeşitli boyutlarda kullanılabilir. Azure Disk Şifrelemesi 1. Nesil ve 2. Nesil VM'lerde desteklenir. Azure Disk Şifrelemesi, premium depolama alanı olan VM'ler için de kullanılabilir.
Azure Disk ŞifrelemesiTemel, A serisi VM'ler veya 2 GB'tan az belleğe sahip sanal makinelerde. Diğer özel durumlar için bkz. Azure Disk Şifrelemesi: Kısıtlamalar.
Desteklenen işletim sistemleri
- Windows istemcisi: Windows 8 ve üzeri.
- Windows Server: Windows Server 2008 R2 ve üzeri.
- Windows 10 Enterprise çoklu oturum ve üzeri.
Dekont
Windows Server 2022 ve Windows 11, RSA 2048 bit anahtarını desteklemez. Daha fazla bilgi için bkz . SSS: Anahtar şifreleme anahtarım için hangi boyutu kullanmalıyım?
Windows Server 2008 R2, şifreleme için .NET Framework 4.5'in yüklenmesini gerektirir; Windows Server 2008 R2 x64 tabanlı sistemler (KB2901983) için isteğe bağlı Microsoft .NET Framework 4.5.2 güncelleştirmesi ile Windows Update'ten yükleyin.
Windows Server 2012 R2 Core ve Windows Server 2016 Core, şifreleme için bdehdcfg bileşeninin VM'ye yüklenmesini gerektirir.
Ağ gereksinimleri
Azure Disk Şifrelemesi etkinleştirmek için VM'lerin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- Anahtar kasanıza bağlanacak bir belirteç almak için Windows VM'sinin [login.microsoftonline.com] bir Microsoft Entra uç noktasına bağlanabilmesi gerekir.
- Şifreleme anahtarlarını anahtar kasanıza yazmak için Windows VM'sinin anahtar kasası uç noktasına bağlanabilmesi gerekir.
- Windows VM'sinin Azure uzantı deposunu barındıran bir Azure depolama uç noktasına ve VHD dosyalarını barındıran bir Azure depolama hesabına bağlanabilmesi gerekir.
- Güvenlik ilkeniz Azure VM'lerinden İnternet'e erişimi kısıtlıyorsa, önceki URI'yi çözümleyebilir ve IP'lere giden bağlantıya izin verecek belirli bir kuralı yapılandırabilirsiniz. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault.
Grup İlkesi gereksinimleri
Azure Disk Şifrelemesi, Windows VM'leri için BitLocker dış anahtar koruyucusunu kullanır. Etki alanına katılmış VM'ler için TPM koruyucularını zorunlu kılan hiçbir grup ilkesi göndermeyin. "Uyumlu bir TPM olmadan BitLocker'a izin ver" grup ilkesi hakkında bilgi için bkz . BitLocker Grup İlkesi Başvurusu.
Özel grup ilkesine sahip etki alanına katılmış sanal makinelerde BitLocker ilkesi şu ayarı içermelidir: BitLocker kurtarma bilgilerinin kullanıcı depolama alanını yapılandırma -> 256 bit kurtarma anahtarına izin ver. BitLocker için özel grup ilkesi ayarları uyumsuz olduğunda Azure Disk Şifrelemesi başarısız olur. Doğru ilke ayarına sahip olmayan makinelerde, yeni ilkeyi uygulayın ve yeni ilkeyi güncelleştirmeye zorlayın (gpupdate.exe /force). Yeniden başlatma gerekebilir.
Microsoft BitLocker Yönetici istration and Monitoring (MBAM) grup ilkesi özellikleri Azure Disk Şifrelemesi ile uyumlu değildir.
Uyarı
Azure Disk Şifrelemesi kurtarma anahtarlarını depolamaz. Etkileşimli oturum açma: Makine hesabı kilitleme eşiği güvenlik ayarı etkinse, makineler yalnızca seri konsol aracılığıyla bir kurtarma anahtarı sağlanarak kurtarılabilir. Uygun kurtarma ilkelerinin etkinleştirildiğinden emin olma yönergeleri Bitlocker kurtarma kılavuzu planında bulunabilir.
Etki alanı düzeyi grup ilkesi BitLocker tarafından kullanılan AES-CBC algoritmasını engellerse Azure Disk Şifrelemesi başarısız olur.
Şifreleme anahtarı depolama gereksinimleri
Azure Disk Şifrelemesi, disk şifreleme anahtarlarını ve gizli dizilerini denetlemek ve yönetmek için bir Azure Key Vault gerektirir. Anahtar kasanız ve VM'leriniz aynı Azure bölgesinde ve aboneliğinde bulunmalıdır.
Ayrıntılar için bkz. Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma.
Terimler
Aşağıdaki tabloda, Azure disk şifreleme belgelerinde kullanılan bazı yaygın terimler tanımlanmaktadır:
| Terimler | Açıklama |
|---|---|
| Azure Key Vault | Key Vault, Federal Bilgi İşleme Standartları (FIPS) tarafından doğrulanmış donanım güvenlik modüllerini temel alan bir şifreleme, anahtar yönetimi hizmetidir. Bu standartlar, şifreleme anahtarlarınızı ve hassas gizli dizilerinizi korumaya yardımcı olur. Daha fazla bilgi için Bkz. Azure Key Vault belgeleri ve Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma. |
| Azure CLI | Azure CLI , Azure kaynaklarını komut satırından yönetmek ve yönetmek için iyileştirilmiştir. |
| BitLocker | BitLocker , Windows VM'lerinde disk şifrelemesini etkinleştirmek için kullanılan, sektörde tanınan bir Windows birim şifreleme teknolojisidir. |
| Anahtar şifreleme anahtarı (KEK) | Gizli diziyi korumak veya sarmak için kullanabileceğiniz asimetrik anahtar (RSA 2048). Donanım güvenlik modülü (HSM) korumalı anahtar veya yazılım korumalı anahtar sağlayabilirsiniz. Daha fazla bilgi için Bkz. Azure Key Vault belgeleri ve Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma. |
| PowerShell cmdlet'leri | Daha fazla bilgi için bkz . Azure PowerShell cmdlet'leri. |
Sonraki adımlar
- Hızlı Başlangıç - Azure CLI ile Windows VM oluşturma ve şifreleme
- Hızlı Başlangıç - Azure PowerShell ile Windows VM oluşturma ve şifreleme
- Windows VM'lerinde Azure Disk Şifrelemesi senaryoları
- Azure Disk Şifrelemesi önkoşulları CLI betiği
- Azure Disk Şifrelemesi önkoşulları PowerShell betiği
- Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma