Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Виртуальные машины Windows ✔️ Гибкие масштабируемые наборы
Шифрование дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Она использует функцию BitLocker в Windows для обеспечения шифрования томов для дисков ОС и данных виртуальных машин Azure и интегрирована с Azure Key Vault , чтобы управлять ключами и секретами шифрования дисков.
Шифрование дисков Azure является устойчивым к зонам, так же, как и виртуальные машины. Дополнительные сведения см. в службах Azure, поддерживающих зоны доступности.
Если вы используете Microsoft Defender для Облака, вы получите оповещение, если у вас есть виртуальные машины, которые не шифруются. Оповещения отображаются как высокий уровень серьезности, и рекомендация заключается в шифровании этих виртуальных машин.
Предупреждение
- Если вы уже использовали шифрование дисков Azure c Microsoft Entra ID для шифрования виртуальной машины, продолжайте и далее пользоваться этим способом шифрования виртуальной машины. См. детали в разделе Шифрование дисков Azure с использованием приложения Microsoft Entra ID (предыдущий выпуск).
- Некоторые рекомендации могут увеличить использование данных, сети или вычислительных ресурсов, что приведет к дополнительным затратам на лицензию или подписку. Для создания ресурсов в Azure в поддерживаемых регионах должна быть действительная активная подписка Azure.
- Не используйте BitLocker для ручной расшифровки виртуальной машины или диска, зашифрованного с помощью шифрования дисков Azure.
Основные сведения о шифровании дисков Azure для Windows см. в кратком руководстве по созданию и шифрованию виртуальной машины Windows с помощью Azure CLI или кратком руководстве по созданию и шифрованию виртуальной машины Windows с помощью Azure PowerShell.
Поддерживаемые виртуальные машины и операционные системы
Поддерживаемые виртуальные машины
Виртуальные машины Windows доступны в диапазоне размеров. Шифрование дисков Azure поддерживается на виртуальных машинах поколения 1 и поколения 2. Шифрование дисков Azure также доступно для виртуальных машин с хранилищем класса Premium.
Шифрование дисков Azure недоступно на виртуальных машинах серии A, виртуальных машинах серии A, виртуальных машинах серии 6 или на виртуальных машинах с объемом памяти менее 2 ГБ. Дополнительные исключения см. в разделе "Шифрование дисков Azure: ограничения".
Поддерживаемые операционные системы
Все версии Windows, которые поддерживают BitLocker и настроены в соответствии с требованиями BitLocker. Дополнительные сведения см. в обзоре BitLocker.
Замечание
Windows Server 2022 и Windows 11 не поддерживают битовый ключ RSA 2048. Дополнительные сведения см. в разделе часто задаваемые вопросы: какой размер следует использовать для ключа шифрования ключей?
Windows Server 2012 R2 Core и Windows Server 2016 Core требуют установки компонента bdehdcfg на виртуальной машине для шифрования.
Windows Server 2008 R2 требует установки .NET Framework 4.5 для шифрования; установите его из Центра обновления Windows с необязательным обновлением Microsoft .NET Framework 4.5.2 для систем на основе Windows Server 2008 R2 x64 (KB2901983).
Требования к сети
Чтобы включить шифрование дисков Azure, виртуальные машины должны соответствовать следующим требованиям к конфигурации конечной точки сети:
- Виртуальная машина Windows должна быть в состоянии подключиться к конечной точке хранилища Azure, в которую размещается репозиторий расширений Azure, и учетную запись хранения Azure, в которую размещаются VHD-файлы.
- Если политика безопасности ограничивает доступ из виртуальных машин Azure к Интернету, можно разрешить предыдущий URI и настроить конкретное правило для разрешения исходящих подключений к IP-адресам. Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
Требования к групповой политике
Шифрование дисков Azure использует предохранитель внешнего ключа BitLocker для виртуальных машин Windows. Для виртуальных машин, присоединенных к домену, не навязывайте групповые политики, которые применяют средства защиты TPM. Сведения о групповой политике "Разрешить BitLocker без совместимого доверенного платформенного модуля" см. в справочнике по групповой политике BitLocker.
Политика BitLocker на присоединенных к домену виртуальных машинах с настраиваемой групповой политикой должна включать следующий параметр: Configure user storage of BitLocker recovery information (Настроить сведения о восстановлении BitLocker в пользовательском хранилище данных) > >Allow 256-bit recovery key (Разрешить 256-разрядный ключ восстановления). Шифрование дисков Azure даст сбой, если параметры настраиваемой групповой политики для BitLocker несовместимы. На компьютерах, у которых нет правильной настройки политики, примените новую политику и принудите новую политику обновить (gpupdate.exe /force). Может потребоваться перезагрузка.
Функции групповой политики администрирования и мониторинга Microsoft BitLocker (MBAM) несовместимы с шифрованием дисков Azure.
Предупреждение
Шифрование дисков Azure не хранит ключи восстановления. Если интерактивный вход: включен параметр безопасности блокировки учетной записи компьютера , компьютеры можно восстановить только путем предоставления ключа восстановления через последовательную консоль. Инструкции по обеспечению включения соответствующих политик восстановления можно найти в плане руководства по восстановлению BitLocker.
Шифрование дисков Azure не удастся, если групповая политика домена блокирует алгоритм AES-CBC, который используется BitLocker.
Требования к хранилищу ключей шифрования
Службе шифрования дисков Azure необходимо Azure Key Vault, чтобы управлять секретами и ключами шифрования дисков и контролировать их. Хранилище ключей и виртуальные машины должны находиться в одном регионе и подписке Azure.
Дополнительные сведения см. в статье "Создание и настройка хранилища ключей для шифрования дисков Azure".
Терминология
В следующей таблице определены некоторые распространенные термины, используемые в документации по шифрованию дисков Azure:
| Терминология | Определение |
|---|---|
| Azure Key Vault | Key Vault — это криптографическая служба управления ключами, которая основана на проверенных аппаратных модулях безопасности на основе федеральных стандартов обработки информации (FIPS). Эти стандарты помогают защитить криптографические ключи и конфиденциальные секреты. Дополнительные сведения см. в документации по Azure Key Vault и создании и настройке хранилища ключей для шифрования дисков Azure. |
| Azure CLI (Интерфейс командной строки для Azure) | Azure CLI оптимизирован для управления ресурсами Azure и администрирования из командной строки. |
| BitLocker | BitLocker — это общепризнанная в отрасли технология шифрования томов Windows, которая используется для включения шифрования дисков на виртуальных машинах Windows. |
| Ключ шифрования ключей (KEK) | Асимметричный ключ (RSA 2048), который можно использовать для защиты или упаковки секрета. Вы можете предоставить ключ, защищенный с помощью аппаратного модуля безопасности (HSM), или защищенный программным обеспечением ключ. Дополнительные сведения см. в документации по Azure Key Vault и создании и настройке хранилища ключей для шифрования дисков Azure. |
| Командлеты PowerShell | Дополнительные сведения см. в разделе командлетов Azure PowerShell. |
Дальнейшие шаги
- Краткое руководство. Создание и шифрование виртуальной машины Windows с помощью Azure CLI
- Краткое руководство. Создание и шифрование виртуальной машины Windows с помощью Azure PowerShell
- Сценарии шифрования дисков Azure для виртуальных машин Windows
- Скрипт CLI для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
- Скрипт PowerShell для подготовки необходимых компонентов для службы "Шифрование дисков Azure"
- Создание и настройка хранилища ключей для шифрования дисков Azure