Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует несколько типов шифрования для управляемых дисков, включая шифрование дисков Azure (ADE), Server-Side шифрование (SSE) и шифрование на узле.
Хранилище дисков Azure Server-Side Шифрование (также называемое шифрованием в состоянии покоя и шифрованием Azure Storage) всегда включено и автоматически шифрует данные, хранящиеся на управляемых дисках Azure (ОС и данные диски) во время сохранения в кластерах хранения. При настройке с набором шифрования дисков (DES) он также поддерживает ключи, управляемые клиентом. Он не шифрует временные диски или кэши дисков. Полные сведения см. в разделе " Шифрование дисков Azure на стороне сервера".
Шифрование на узле — это параметр виртуальной машины, который повышает шифрование хранилища дисков Azure Disk Storage Server-Side, чтобы обеспечить шифрование всех временных дисков и кэшей дисков в состоянии покоя и шифрование их передачи до кластеров хранения. Полные сведения см. в разделе "Шифрование на узле — сквозное шифрование" для данных виртуальной машины.
Шифрование дисков Azure помогает защитить и защитить данные в соответствии с вашими обязательствами по безопасности и соответствию требованиям организации. ADE шифрует диски операционной системы и данных виртуальных машин Azure внутри ваших виртуальных машин с помощью функции DM-Crypt в Linux или функции BitLocker в Windows. ADE интегрирована с Azure Key Vault, чтобы управлять ключами шифрования дисков и секретами, с возможностью шифрования с помощью ключа шифрования ключей (KEK). Для получения полной информации смотрите «Шифрование дисков Azure для виртуальных машин Linux» или «Шифрование дисков Azure для виртуальных машин Windows».
Шифрование конфиденциального диска привязывает ключи шифрования дисков к доверенному платформенному модулю (TPM) виртуальной машины и делает защищенное содержимое диска доступным только для этой виртуальной машины. Состояние доверенного платформенного модуля и виртуальной машины всегда шифруется в заверенном коде с помощью ключей, выпущенных безопасным протоколом, который обходит гипервизор и операционную систему хоста. В настоящее время доступно только для диска ОС; Поддержка временных дисков доступна в предварительной версии. Шифрование на узле может использоваться для других дисков на конфиденциальной виртуальной машине в дополнение к шифрованию конфиденциальных дисков. Полные сведения см. в разделе DCasv5 и ECasv5 серии конфиденциальных виртуальных машин.
Шифрование является частью многоуровневого подхода к безопасности и должно использоваться с другими рекомендациями по защите виртуальных машин и их дисков. Полные сведения см. в рекомендациях по безопасности виртуальных машин в Azure и ограничении доступа к управляемым дискам импорта и экспорта.
Сравнение
Ниже приведено сравнение SSE хранилища дисков, ADE, шифрования на узле и конфиденциального шифрования дисков.
| Шифрование Server-Side хранилища дисков Azure | Шифрование на узле | Дисковое шифрование Azure | Шифрование конфиденциальных дисков (только для диска ОС) | |
|---|---|---|---|---|
| Шифрование неактивных данных (диски ОС и данных) | ✅ | ✅ | ✅ | ✅ |
| Шифрование временного диска | ❌ | ✅ Поддерживается только ключом, управляемым платформой | ✅ | ✅ В предварительной версии |
| Шифрование кэшей | ❌ | ✅ | ✅ | ✅ |
| Потоки данных, зашифрованные между вычислениями и хранилищем | ❌ | ✅ | ✅ | ✅ |
| Управление ключами клиента | ✅ При настройке с помощью DES | ✅ При настройке с помощью DES | ✅ При настройке с помощью KEK | ✅ При настройке с помощью DES |
| Поддержка HSM | Azure Key Vault Premium и управляемый HSM | Azure Key Vault Premium и управляемый HSM | Azure Key Vault Premium | Azure Key Vault Premium и управляемый HSM |
| Не использует ЦП виртуальной машины | ✅ | ✅ | ❌ | ❌ |
| Работает для пользовательских изображений | ✅ | ✅ | ❌ Не работает для пользовательских образов Linux | ✅ |
| Расширенная защита ключей | ❌ | ❌ | ❌ | ✅ |
| Состояние шифрования дисков Microsoft Defender для облака* | Нездоровый | Здоровый | Здоровый | Неприменимо |
Это важно
Для шифрования конфиденциальных дисков Microsoft Defender для облака в настоящее время не имеет рекомендации, которые применимы.
* Microsoft Defender для облака содержит следующие рекомендации по шифрованию дисков:
- Виртуальные машины и масштабируемые наборы виртуальных машин должны иметь шифрование на узле (только обнаруживает шифрование на узле)
- Виртуальные машины должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища (обнаруживается только шифрование дисков Azure)
- Виртуальные машины Windows должны включить шифрование дисков Azure или EncryptionAtHost (обнаруживает шифрование дисков Azure и EncryptionAtHost)
- Виртуальные машины Linux должны включить шифрование дисков Azure или EncryptionAtHost (обнаруживает шифрование дисков Azure и EncryptionAtHost)