共用方式為

受控磁碟加密選項概觀

受控磁碟有數種類型的加密,包括 Azure 磁碟加密 (ADE)、伺服器端加密 (SSE),以及主機加密。

  • Azure 磁碟儲存體伺服器端加密 (又稱待用加密或 Azure 儲存體加密) 會一律啟用,並在資料儲存在儲存體叢集時,為存放在 Azure 受控磁碟(OS 和資料磁碟)上的資料自動加密。 使用磁碟加密集 (DES) 進行設定時,也支援客戶自控金鑰。 這不會加密暫存磁碟或磁碟快取。 如需完整詳細資料,請參閱《Azure 磁碟儲存體的伺服器端加密》。

  • [主機加密] 是一種虛擬機器選項,可加強 Azure 磁碟儲存體伺服器端加密,以確保所有暫存磁碟和磁碟快取都會在待用時加密,並且流量會以加密方式送至儲存體叢集。 如需完整詳細資訊,請參閱《主機加密 - VM 資料的端對端加密》。

  • 機密磁碟加密會將磁碟加密金鑰繫結到虛擬機器的 TPM,並只讓該 VM 存取受保護的磁碟內容。 TPM 和 VM 客體狀態永遠都會使用安全通訊協定所發行的金鑰,以經過證明的程式碼加密,且會略過 Hypervisor 和主機作業系統。 目前僅適用於 OS 磁碟;暫存磁碟支援處於預覽狀態。 除了機密磁碟加密,主機加密也可用在機密 VM 中的其他磁碟上。 如需完整的詳細資料,請參閱 DCasv5 和 ECasv5 系列機密 VM

  • Azure 磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 ADE 會透過 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能,將您 VM 中的 Azure 虛擬機器 (VM) OS 和資料磁碟加密。 ADE 會與 Azure Key Vault 整合,協助您控制及管理磁碟加密金鑰和祕密,並提供使用金鑰加密金鑰 (KEK) 進行加密的選項。 如需完整詳細資訊,請參閱《適用於 Linux VM 的 Azure 磁碟加密》或《適用於 Windows VM 的 Azure 磁碟加密》。

    這很重要

    Azure 磁碟加密預定於 2028 年 9 月 15 日退休。 在此之前,您可以繼續使用 Azure 磁碟加密,不會中斷。 2028 年 9 月 15 日,啟用 ADE 的工作負載仍可繼續運行,但加密磁碟在虛擬機重啟後將無法解鎖,導致服務中斷。

    為新的虛擬機器使用主機端加密。 所有啟用 ADE 的虛擬機(包括備份)必須在退休日前遷移至主機加密,以避免服務中斷。 詳情請參見「 從 Azure 磁碟加密遷移到主機加密 」。

加密是多層式安全性方法的一部分,應該與其他建議搭配使用,以保護虛擬機器及其磁碟的安全。 如需完整詳細資料,請參閱《Azure 中虛擬機器的安全性建議》和《限制受控磁碟的匯入/匯出存取》。

比較

以下是磁碟儲存體 SSE、ADE、主機加密和機密磁碟加密的比較。

  Azure 磁碟儲存體伺服器端加密 主機加密 Azure 磁碟加密 機密磁碟加密 (僅適用於 OS 磁碟)
待用加密 (OS 和資料磁蝶)
暫存磁碟加密 ✅ 僅支援平台代控金鑰 處於預覽狀態
快取加密
計算和儲存體之間加密的資料流程
客戶金鑰控制 ✅ 使用 DES 設定時 ✅ 使用 DES 設定時 ✅ 使用 KEK 設定時 ✅ 使用 DES 設定時
HSM 支援 Azure Key Vault Premium 和受控 HSM Azure Key Vault Premium 和受控 HSM Azure Key Vault 進階 Azure Key Vault Premium 和受控 HSM
不使用 VM 的 CPU
支援自訂映像 ❌ 不適用於自訂 Linux 映像
增強的金鑰保護
適用於雲端的 Microsoft Defender 磁碟加密狀態* 不健康 Healthy Healthy 不適用

這很重要

針對機密磁碟加密,適用於雲端的 Microsoft Defender 目前沒有適用的建議。

* 適用於雲端的 Microsoft Defender 具有下列磁碟加密建議:

後續步驟

  • Last updated on