Общие сведения о параметрах шифрования управляемых дисков
Существует несколько типов шифрования для управляемых дисков, включая Шифрование дисков Azure (ADE), шифрование на стороне сервера (SSE) и шифрование на узле.
Шифрование на стороне сервера хранилища дисков Azure (также называемое шифрованием неактивных или служба хранилища Azure шифрования) всегда включено и автоматически шифрует данные, хранящиеся на управляемых дисках Azure (ОС и дисках данных) при сохранении в кластерах хранилища. Если шифрование настроено с помощью набора шифрования дисков (DES), оно также поддерживает ключи, управляемые клиентом. Он не шифрует временные диски или кэши дисков. Дополнительные сведения см. в статье Шифрование Хранилища дисков Azure на стороне сервера.
Шифрование на узле — это параметр виртуальной машины, который улучшает шифрование на стороне сервера хранилища дисков Azure, чтобы гарантировать, что все временные диски и кэши дисков шифруются неактивно и шифруются в кластерах хранилища. Дополнительные сведения см. в разделе Шифрование на уровне узла — сквозное шифрование данных виртуальной машины.
Шифрование дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. ADE обеспечивает шифрование томов для ОС и дисков данных виртуальных машин (ВМ) Azure внутри ваших виртуальных машин с помощью функции DM-Crypt в Linux или функции BitLocker в Windows. ADE интегрирована с Azure Key Vault, чтобы управлять ключами шифрования дисков и секретами, с возможностью шифрования с помощью ключа шифрования ключей (KEK). См. сведения в статьях Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows.
Конфиденциальное шифрование дискапривязывает ключи шифрования дисков к доверенному платформенному модулю (TPM) виртуальной машины и делает содержимое защищенного диска доступным только для виртуальной машины. Состояние доверенного платформенного модуля и виртуальной машины всегда шифруется в протестированном коде с помощью ключей, выпущенных безопасным протоколом, который обходит гипервизор и операционную систему узла. В настоящее время доступно только для диска ОС; Поддержка временных дисков доступна в предварительной версии. Шифрование на узле может использоваться для других дисков на конфиденциальной виртуальной машине в дополнение к конфиденциальному шифрованию дисков. Полные сведения см. в статье О конфиденциальных виртуальных машинах серии DCasv5 и ECasv5.
Шифрование является частью многоуровневого подхода к безопасности и должно использоваться в сочетании с другими рекомендациями для защиты виртуальных машин и их дисков. Дополнительные сведения см. в разделах Рекомендации по безопасности для виртуальных машин в Azure и Ограничение доступа на импорт и экспорт управляемых дисков с помощью.
Сравнение
Ниже приведено сравнение шифрования Хранилища дисков на стороне сервера, ADE, шифрования на узле и шифрования конфиденциальных дисков.
| Шифрование на стороне сервера хранилища дисков Azure | Шифрование на узле | Дисковое шифрование Azure | Шифрование конфиденциальных дисков (только для диска ОС) | |
|---|---|---|---|---|
| Шифрование неактивных данных (диски ОС и данных) | ✅ | ✅ | ✅ | ✅ |
| Шифрование временного диска | ❌ | ✅ Поддерживается только управляемым ключом платформы | ✅ | ✅В режиме предварительной версии |
| Шифрование кэшей | ❌ | ✅ | ✅ | ✅ |
| Потоки данных, зашифрованные между средами вычислений и хранения | ❌ | ✅ | ✅ | ✅ |
| Клиентское управление ключами | ✅ При настройке с помощью DES | ✅ При настройке с помощью DES | ✅ При настройке с помощью KEK | ✅ При настройке с помощью DES |
| Поддержка HSM | Azure Key Vault Premium и управляемый HSM | Azure Key Vault Premium и управляемый HSM | Azure Key Vault уровня "Премиум" | Azure Key Vault Premium и управляемый HSM |
| ЦП вашей виртуальной машины не используется | ✅ | ✅ | ❌ | ❌ |
| Поддержка пользовательских образов | ✅ | ✅ | ❌ Не работает для пользовательских образов Linux | ✅ |
| Расширенная защита ключей | ❌ | ❌ | ❌ | ✅ |
| состояние шифрования диска Microsoft Defender для облака* | Unhealthy | Работоспособно | Работоспособно | Нет данных |
Внимание
Для шифрования конфиденциальных дисков Microsoft Defender для облака в настоящее время не имеет рекомендации, которые применимы.
* Microsoft Defender для облака содержит следующие рекомендации по шифрованию дисков:
- Виртуальные машины и масштабируемые наборы виртуальных машин должны иметь шифрование на узле (только обнаруживает шифрование на узле )
- Виртуальные машины должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища (только обнаруживает Шифрование дисков Azure)
- Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost (обнаруживает как Шифрование дисков Azure, так и EncryptionAtHost)
- Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost (обнаруживает как Шифрование дисков Azure, так и EncryptionAtHost)
Следующие шаги
- Шифрование дисков Azure для виртуальных машин под управлением Linux
- Шифрование дисков Azure для виртуальных машин Windows
- Шифрование управляемых дисков Azure на стороне сервера
- Шифрование на узле
- Конфиденциальные виртуальные машины серий DCasv5 и ECasv5
- Основы безопасности Azure. Общие сведения о шифровании Azure