Azure 磁碟儲存體 的伺服器端加密

適用於： ✔️ Linux 虛擬機 ✔️ Windows 虛擬機 ✔️ 彈性擴展集 ✔️ 統一擴展集

大多數 Azure 管理磁碟都採用 Azure 儲存體 加密，該加密利用伺服器端加密（SSE）來保護您的資料，並協助您達成組織的安全與合規承諾。 當保存在雲端時，Azure 儲存體加密會自動加密儲存在 Azure 受控磁碟 (OS 與資料磁碟) 上的資料。 然而，啟用主機加密的磁碟並不會透過 Azure 儲存體 加密。 對於啟用主機加密的磁碟，虛擬機的伺服器會提供資料加密，而加密資料會流入 Azure 儲存體。

Azure管理磁碟中的資料以256位元AES加密透明加密，這是目前最強的區塊加密之一，且符合FIPS 140-2標準。 欲了解更多關於Azure受管理磁碟底層密碼模組的資訊，請參見 Cryptography API： Next Generation

Azure 儲存體 加密不會影響管理磁碟的效能，也不會額外付費。 欲了解更多關於Azure 儲存體加密的資訊，請參見 Azure 儲存體 encryption。

重要事項

暫存磁碟不是受控磁碟，且除非您在主機啟用加密，其將不會由 SSE 加密。

Azure VM 第 5 版和更新版本 (例如 Dsv5 或 Dsv6) 會使用待用加密，自動加密其暫存磁碟，以及其暫時的作業系統磁碟 (如果正在使用)。

關於加密金鑰管理

您可以依賴由平台管理的金鑰來加密受控磁碟，也可以使用您自己的金鑰來管理加密。 如果選擇使用自己的金鑰來管理加密，您可以指定「客戶管理的金鑰」，用於加密和解密受控磁碟中的所有資料。

下列各節將詳細說明金鑰管理的每個選項。

平台管理的金鑰

根據預設，受控磁碟會使用平台管理的加密金鑰。 所有新的受控磁碟、快照集、映像和寫入至現有受控磁碟的資料都會使用平台管理的金鑰自動加密待用資料。 平台管理的金鑰由 Microsoft 管理。

客戶管理的金鑰

您可以選擇使用自己的金鑰來管理每個受控磁碟層級的加密。 當您指定客戶自控金鑰時，該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰可提供更大的彈性來管理存取控制。

您必須使用以下 Azure 金鑰儲存庫之一來存放您的客戶管理金鑰：

• Azure Key Vault（推薦Premium Tier，以獲得HSM後盾的金鑰保護）
• Azure Key Vault 管理硬體安全模組（HSM）

你可以將你的 RSA 金鑰匯入金鑰保存庫，或在 Azure Key Vault 中產生新的 RSA 金鑰。 Azure 管理磁碟以完全透明的方式處理加密與解密，採用信封加密。 其會使用以 AES 256 為基礎的資料加密金鑰 (DEK) 來加密資料，而這是使用您的金鑰來保護。 儲存體服務會產生資料加密金鑰，並使用 RSA 加密，透過客戶管理的金鑰進行加密。 信封加密可讓您根據您的相容性原則，定期輪替 (變更) 您的金鑰，而不會影響您的 VM。 當你輪換金鑰時，儲存服務會重新封裝資料加密金鑰，使用新的客戶管理金鑰版本。 底層磁碟資料本身並未重新加密。 舊金鑰與新金鑰版本都必須持續啟用，直到重新封裝完成。

管理磁碟和 金鑰保存庫 或 Managed HSM 必須在同一 Azure 區域，但它們可以屬於不同的訂閱。 同時也必須位於相同的 Microsoft Entra 租用戶中，除非您使用加密受控磁碟搭配跨租用戶的客戶自控金鑰。

完全控制金鑰

你必須授權存取 金鑰保存庫 或 Managed HSM 中的受管磁碟，才能使用你的金鑰來加密和解密 DEK。 這可讓您完全控制您的資料和金鑰。 您可以隨時停用金鑰或撤銷對受控磁碟的存取權。 你也可以透過 Azure Key Vault 監控來稽核加密金鑰的使用情況，確保只有受管理磁碟或其他受信任的 Azure 服務能存取你的金鑰。

重要事項

金鑰停用、刪除或過期時，凡有 OS 或資料磁碟使用該金鑰的 VM 都會自動關機。 自動關機之後，VM 將不會開機，直到再次啟用金鑰，或您指派新的金鑰為止。

一般而言，磁碟 I/O (讀取或寫入作業) 在金鑰停用、刪除或過期一小時後開始出現失敗的狀況。

下圖展示了受管理磁碟如何使用 Microsoft Entra ID 和 Azure Key Vault 來使用客戶管理的金鑰發出請求：

下列清單詳細說明圖表：

1. Azure Key Vault 管理員負責建立 Key Vault 資源。
2. key vault 管理員要麼將他們的 RSA 金鑰匯入 金鑰保存庫，要麼在 金鑰保存庫 中產生新的 RSA 金鑰。
3. 該管理者會建立一個磁碟加密集資源的執行個體，並指定一個 Azure Key Vault ID 和金鑰 URL。 磁碟加密集是為了簡化受控磁碟的金鑰管理而導入的新資源。
4. 在建立磁碟加密集時，Microsoft Entra ID 中會建立一個系統指派的受控身分識別 ，並與該磁碟家密集建立關聯。
5. Azure 金鑰庫管理員接著授予受管理身份權限，允許他們在金鑰庫中執行操作。
6. VM 使用者可以藉由將磁碟與磁碟加密集建立關聯，以建立磁碟。 VM 使用者也可以藉由將客戶管理的金鑰與磁碟加密集建立關聯，針對現有資源使用客戶管理的金鑰，啟用伺服器端加密。
7. 受管理磁碟會使用受管理身份向 Azure Key Vault 發送請求。
8. 在讀取或寫入資料時，管理磁碟會向 Azure Key Vault 發送請求，包封和解包資料加密金鑰，以進行資料的加密與解密。

若要撤銷客戶管理金鑰的存取權，請參見 Azure Key Vault PowerShell 及 Azure Key Vault CLI。 撤銷存取權實際上會阻擋對儲存帳號中所有資料的存取，因為 Azure 儲存體 無法存取加密金鑰。

客戶自控金鑰的自動金鑰輪替

一般而言，如果您使用客戶自控金鑰，您應該啟用自動將金鑰輪替為最新金鑰版本。 自動金鑰輪替有助於確保您的金鑰安全。 磁碟會透過其磁碟加密集來參考金鑰。 當為磁碟加密集啟用自動輪替時，系統會自動更新所有受控磁碟、快照集和參考磁碟加密的映像，以在一小時內使用新版本的金鑰。 欲了解如何啟用客戶管理的金鑰並自動輪替，請參閱 設置具有自動輪替功能的 Azure Key Vault 和 DiskEncryptionSet。

附註

虛擬機器 在自動金鑰輪替時不會被重新啟動。

如果您無法啟用自動金鑰輪替，可以使用其他方法在金鑰到期前警示您。 如此一來，您便可以確定在到期前輪替金鑰，保持業務持續性。 你可以用 Azure 原則 或 Azure 事件方格 來發送金鑰即將過期的通知。

限制

目前，客戶管理的金鑰具有下列限制：

• 如果已對具有增量快照集的磁碟啟用此功能，就無法在該磁碟或其快照集上停用此功能。 若要解決此問題，請將所有資料複製到未使用客戶自控金鑰的另一個完全不同受控磁碟。 你可以用 Azure CLI 或 Azure PowerShell 模組來達成。
• 磁碟及其所有相關聯的增量快照集必須具有相同的磁碟加密集。
• 僅支援大小為 2048 位元、3072 位元和 4096 位元的軟體和 HSM RSA 金鑰，不支援其他金鑰或大小。
  • HSM 金鑰需要 高級 層的 Azure 金鑰庫。
• 僅適用於 Ultra 磁碟和進階 SSD v2 磁碟：
  • （預覽）使用者指派的受控識別適用於使用客戶自控密鑰加密的 Ultra 磁碟和進階 SSD v2 磁碟。
• 幾乎所有與客戶管理金鑰相關的資源 (磁碟加密集、VM、磁碟和快照集) 必須位於相同的訂閱和區域中。
  • Azure Key Vault 可以從不同的訂閱中使用，但必須與你的磁碟加密組在同一區域。 不同 Microsoft Entra 租戶中的 Azure Key Vault 支援管理磁碟。 詳情請參見 「以跨租戶客戶管理金鑰加密管理磁碟」。
• 使用客戶自控密鑰加密的磁碟，只有在連結至的 VM 已解除分配時，才能移至另一個資源群組。
• 使用客戶自控金鑰加密的磁碟、快照集和映像，無法在訂用帳戶之間移動。
• 目前或過去使用 Azure 磁碟加密 加密的受管理磁碟，無法使用客戶管理的金鑰加密。
• 每個區域的每個訂用帳戶最多只能建立 5000 個磁碟加密集。
• 如需將客戶自控金鑰與共用映像資源庫搭配使用的詳細資訊，請參閱預覽：使用客戶自控金鑰加密映像。

支援區域

客戶自控金鑰可在受控磁碟的所有區域中使用。

重要事項

客戶管理的金鑰依賴於 Azure 資源的受管理身份，這是 Microsoft Entra ID 的一項功能。 當您設定客戶管理的金鑰時，受控識別會在幕後自動指派給您的資源。 如果你之後將訂閱、資源群組或受管理磁碟從一個 Microsoft Entra 目錄移到另一個，與受管磁碟相關的管理身份不會轉移到新租戶，因此客戶管理的金鑰可能不再有效。 更多資訊請參見 在Microsoft Entra目錄間轉移訂閱。

要啟用客戶管理的金鑰以啟用受管理磁碟，請參閱我們的文章，說明如何使用 Azure PowerShell 模組、Azure CLI 或 Azure 入口。

如需程式碼範例，請參閱使用 CLI 從快照集建立受控磁碟。

主機加密 - VM 資料的端對端加密

當你在主機啟用加密時，加密會從虛擬機主機本身開始，也就是你虛擬機所分配的 Azure 伺服器。 暫存磁碟和 OS/資料磁碟上快取的資料會儲存在該 VM 主機上。 在主機上啟用加密之後，所有資料都會在待用時加密，並流向作為保存位置的儲存體服務。 基本上，主機的加密會從端對端加密您的資料。 主機上的加密不會使用 VM 的 CPU，而且不會影響 VM 的效能。

在啟用端對端加密時，暫存磁碟和暫時性 OS 磁碟會使用平台代控金鑰進行待用加密。 視選取的磁碟加密類型而定，OS 和資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 例如，如果磁碟是使用客戶自控金鑰加密，則磁碟的快取會使用客戶自控金鑰加密，而如果磁碟使用平台代控金鑰加密，則磁碟的快取就會使用平台代控金鑰加密。

限制

• 無法在目前或曾經啟用 Azure 磁碟加密 的虛擬機（VM）或虛擬機器縮放集上啟用。
• Azure 磁碟加密 無法在啟用主機加密的磁碟上啟用。
• 您可以在現有的虛擬機器擴展集上啟用加密。 不過，只有在啟用加密之後建立的新 VM 才會自動加密。
• 現有的 VM 必須解除配置和重新配置，才能加密。

下列限制僅適用於 Ultra 磁碟和進階 SSD v2：

• 使用 512e 扇區大小的磁碟必須在 2023/5/13 之後建立。
  • 如果您的磁碟是在此日期之前建立的，請 建立磁碟的快照集，並使用快照集建立新的磁碟。

支援的 VM 大小

可透過程式設計方式來提取支援 VM 大小的完整清單。 想了解如何程式化擷取，請參閱 Azure PowerShell module 或 Azure CLI 條目中關於尋找支援虛擬機大小的章節。

若要使用主機加密來啟用端對端加密，請參考我們的文章，了解如何使用 Azure PowerShell 模組、Azure CLI 或 Azure 入口網站 來啟用。

雙重待用加密

要求高安全性，且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶，現在可以選擇使用平台代控的加密金鑰，在基礎結構層使用不同的加密演算法/模式，以獲得額外的加密層。 這個新加密層可以套用至保存的 OS 和資料磁碟、快照集和映像，全都會以雙重加密進行待用加密。

限制

Ultra 磁碟或進階 SSD v2 磁碟目前不支援待用雙重加密。

若要為受控磁碟啟用雙重待用加密，請參閱為受控磁碟啟用雙重待用加密。

主機端加密與 Azure 磁碟加密

Azure 磁碟加密 利用 Linux 的 DM-Crypt 功能，或 Windows 的 BitLocker 功能，在訪客虛擬機中以客戶管理的金鑰加密受管理磁碟。 使用主機加密的伺服器端加密可以提升 ADE 的效能。 使用主機加密時，暫存磁碟和OS/資料磁碟快取的數據會儲存在該 VM 主機上。 在主機上啟用加密之後，所有資料都會在待用時加密，並流向作為保存位置的儲存體服務。 基本上，主機的加密會從端對端加密您的資料。 主機上的加密不會使用 VM 的 CPU，而且不會影響 VM 的效能。

重要事項

客戶管理的金鑰依賴於 Azure 資源的受管理身份，這是 Microsoft Entra ID 的一項功能。 當您設定客戶管理的金鑰時，受控識別會在幕後自動指派給您的資源。 如果你之後將訂閱、資源群組或受管磁碟從一個 Microsoft Entra 目錄移到另一個，與受管磁碟相關的管理身份不會轉移到新租戶，因此客戶管理的金鑰可能不再有效。 更多資訊請參見 在Microsoft Entra目錄間轉移訂閱。

後續步驟

• 啟用端對端加密，使用主機上的 Azure PowerShell 模組、Azure CLI 或 Azure 入口。
• 若要為受控磁碟啟用雙重待用加密，請參閱為受控磁碟啟用雙重待用加密。
• 可透過 Azure PowerShell 模組、Azure CLI 或 Azure 入口啟用客戶管理的磁碟金鑰。
• 從 Azure 磁碟加密 遷移到伺服器端加密
• 探索使用客戶管理金鑰建立加密磁碟的Azure Resource Manager範本
• 什麼是Azure Key Vault？