Kryptering på serversidan av Azure-disklagring

Gäller för: ✔️ virtuella Linux-datorer ✔️ virtuella Windows-datorer ✔️ flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

De flesta Azure hanterade diskar krypteras med Azure Storage kryptering, som använder kryptering på serversidan (SSE) för att skydda dina data och för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Storage kryptering krypterar automatiskt dina data som lagras på Azure hanterade diskar (operativsystem och datadiskar) i vila som standard när du sparar dem i molnet. Diskar med kryptering på värden aktiverat krypteras dock inte via Azure Storage. För diskar med kryptering på värden aktiverat tillhandahåller servern som är värd för den virtuella datorn kryptering för dina data, och den krypterade datan flödar sedan till Azure Storage.

Data i Azure hanterade diskar krypteras transparent med 256-bitars AES-kryptering, en av de starkaste blockkrypteringarna som är tillgängliga och är FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger bakom Azure hanterade diskar finns i Cryptography API: Next Generation

Azure Storage kryptering påverkar inte prestandan för hanterade diskar och det kostar inget extra. Mer information om Azure Storage kryptering finns i Azure Storage kryptering.

Viktigt!

Tillfälliga diskar är inte hanterade diskar och krypteras inte av Server Side Encryption (SSE), såvida du inte aktiverar kryptering direkt på värdsystemet.

Azure virtuella datorer som är version 5 och senare (till exempel Dsv5 eller Dsv6) krypterar automatiskt sina tillfälliga diskar och sina efemära OS-diskar (om de används) med kryptering i vila.

Om hantering av krypteringsnycklar

Du kan förlita dig på plattformshanterade nycklar för kryptering av den hanterade disken eller hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera alla data på hanterade diskar.

I följande avsnitt beskrivs var och en av alternativen för nyckelhantering i detalj.

Plattformshanterade nycklar

Som standard använder hanterade diskar plattformshanterade krypteringsnycklar. Alla hanterade diskar, ögonblicksbilder, bilder och data som skrivits till befintliga hanterade diskar krypteras automatiskt i vila med plattformshanterade nycklar. Plattformshanterade nycklar hanteras av Microsoft.

Kundhanterade nycklar

Du kan välja att hantera kryptering på nivån för varje hanterad disk med dina egna nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller.

Du måste använda något av följande Azure nyckellager för att lagra dina kundhanterade nycklar:

Du kan antingen importera your RSA-nycklar till din Key Vault eller generera nya RSA-nycklar i Azure Key Vault.

Azure hanterade diskar hanterar kryptering och dekryptering med hjälp av kuvertkryptering. Hanterade diskar krypterar data med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK) och din kundhanterade nyckel skyddar dessa DEK.

Lagringstjänsten genererar DEK:er och krypterar dessa DEK:er med hjälp av din RSA-nyckel.

Med kuvertkryptering kan du rotera nycklar regelbundet utan att påverka dina virtuella datorer. Under rotationen omsluter Lagringstjänsten DEK:er igen med den nya nyckelversionen och underliggande diskdata krypteras inte om. Behåll både de gamla och de nya nyckelversionerna aktiverade tills omkapslingen är klar.

Hanterade diskar och Key Vault eller hanterad HSM måste finnas i samma Azure region, men de kan finnas i olika prenumerationer. De måste också finnas i samma Microsoft Entra klientorganisation, om du inte använder Kryptera hanterade diskar med kundhanterade nycklar som delas mellan klientorganisationer.

Fullständig kontroll över dina nycklar

Du måste ge åtkomst till hanterade diskar i din Key Vault eller hanterade HSM för att använda dina nycklar för kryptering och dekryptering av DEK. På så sätt kan du få fullständig kontroll över dina data och nycklar. Du kan inaktivera dina nycklar eller återkalla åtkomsten till hanterade diskar när som helst. Du kan också granska krypteringsnyckelanvändningen med Azure Key Vault övervakning för att säkerställa att endast hanterade diskar eller andra betrodda Azure tjänster har åtkomst till dina nycklar.

Viktigt!

När en nyckel antingen har inaktiverats, tagits bort eller upphört att gälla stängs alla virtuella datorer med operativsystem eller datadiskar som använder den nyckeln automatiskt. När den automatiserade avstängningen har stängts startar inte de virtuella datorerna förrän nyckeln har aktiverats igen, eller så tilldelar du en ny nyckel.

I allmänhet börjar disk-I/O (läs- eller skrivåtgärder) misslyckas en timme efter att en nyckel antingen har inaktiverats, tagits bort eller upphört att gälla.

Följande diagram visar hur hanterade diskar använder Microsoft Entra ID och Azure Key Vault för att göra begäranden med hjälp av den kundhanterade nyckeln:

Diagram för arbetsflödet för hanterade diskar och kundhanterade nycklar. En administratör skapar en Azure Key Vault, skapar sedan en diskkrypteringsuppsättning och konfigurerar diskkrypteringsuppsättningen. Uppsättningen är associerad med en virtuell dator, vilket gör att disken kan använda Microsoft Entra ID för att autentisera.

I följande lista förklaras diagrammet mer detaljerat:

  1. En Azure Key Vault-administratör skapar nyckelvalvsresurser.
  2. Den key vault administratören importerar antingen sina RSA-nycklar till Key Vault eller genererar nya RSA-nycklar i Key Vault.
  3. Administratören skapar en instans av diskkrypteringsuppsättningsresursen och anger ett Azure Key Vault-ID och en nyckel-URL. Diskkrypteringsuppsättning är en ny resurs som introduceras för att förenkla nyckelhanteringen för hanterade diskar.
  4. När en diskkrypteringsuppsättning skapas skapas en systemtilldelad hanterad identitet i Microsoft Entra ID och associeras med diskkrypteringsuppsättningen.
  5. Administratören för Azure nyckelvalv ger sedan behörighet till den hanterade identiteten att utföra aktiviteter i nyckelvalvet.
  6. En virtuell datoranvändare skapar diskar genom att associera dem med diskkrypteringsuppsättningen. Den virtuella datoranvändaren kan också aktivera kryptering på serversidan med kundhanterade nycklar för befintliga resurser genom att associera dem med diskkrypteringsuppsättningen.
  7. Hanterade diskar använder den hanterade identiteten för att skicka begäranden till Azure Key Vault.
  8. För att läsa eller skriva data skickar hanterade diskar begäranden till Azure Key Vault för att kryptera (omsluta) och dekryptera (packa upp) datakrypteringsnyckeln för att utföra kryptering och dekryptering av data.

Information om hur du återkallar åtkomst till kundhanterade nycklar finns i Azure Key Vault PowerShell och Azure Key Vault CLI. Återkallande av åtkomst blockerar effektivt åtkomst till hanterade diskar som förlitar sig på den nyckeln, eftersom krypteringsnyckeln inte är tillgänglig av Azure Storage.

Automatisk nyckelrotation av kundhanterade nycklar

Om du använder kundhanterade nycklar bör du i allmänhet aktivera automatisk nyckelrotation till den senaste nyckelversionen. Automatisk nyckelrotation hjälper till att säkerställa att dina nycklar är säkra. En disk refererar till en nyckel via dess diskkrypteringsuppsättning. När du aktiverar automatisk rotation för en diskkrypteringsuppsättning uppdaterar systemet automatiskt alla hanterade diskar, ögonblicksbilder och bilder som refererar till diskkrypteringsuppsättningen för att använda den nya versionen av nyckeln inom en timme. Information om hur du aktiverar kundhanterade nycklar med automatisk nyckelrotation finns i Set up an Azure Key Vault and DiskEncryptionSet with automatic key rotation.

Kommentar

Virtual Machines startas inte om under automatisk nyckelrotation.

Om du inte kan aktivera automatisk nyckelrotation kan du använda andra metoder för att varna dig innan nycklarna upphör att gälla. På så sätt kan du se till att rotera dina nycklar innan de upphör att gälla och behålla affärskontinuiteten. Du kan använda antingen en Azure Policy eller Azure Event Grid för att skicka ett meddelande när en nyckel snart upphör att gälla.

Begränsningar för kundhanterad nyckel

Kundhanterade nycklar har följande begränsningar. Var särskilt uppmärksam på identitets- och regionkraven före distributionen:

  • Hanterade diskar och nyckelarkivet måste finnas i samma region.
  • Kundhanterade nycklar är beroende av hanterade identiteter, så klientflyttningar kan bryta nyckelåtkomsten.
  • Kontrollera följande lista för att verifiera scenarier och funktionsgränser som stöds.
  • Om den här funktionen är aktiverad för en disk med inkrementella ögonblicksbilder kan den inte inaktiveras på den disken eller dess ögonblicksbilder. För att undvika detta kopierar du alla data till en helt annan hanterad disk som inte använder kundhanterade nycklar. Du kan göra det antingen med modulen Azure CLI eller modulen Azure PowerShell.
  • En disk och alla dess associerade inkrementella ögonblicksbilder måste ha samma diskkrypteringsuppsättning.
  • Endast programvara och HSM RSA-nycklar i storlekarna 2 048-bitars, 3 072- och 4 096-bitars stöds, inga andra nycklar eller storlekar.
    • HSM-nycklar kräver Premium-nivån för Azure Key Vault.
  • Endast för Ultra Disks- och Premium SSD v2-diskar:
    • (Förhandsversion) Användartilldelade hanterade identiteter är tillgängliga för Ultra Disks- och Premium SSD v2-diskar som krypterats med kundhanterade nycklar.
  • De flesta resurser som är relaterade till dina kundhanterade nycklar (diskkrypteringsuppsättningar, virtuella datorer, diskar och ögonblicksbilder) måste finnas i samma prenumeration och region.
  • Diskar som krypterats med kundhanterade nycklar kan bara flyttas till en annan resursgrupp om den virtuella dator som de är anslutna till frigörs.
  • Diskar, ögonblicksbilder och bilder som krypterats med kundhanterade nycklar kan inte flyttas mellan prenumerationer.
  • Hanterade diskar som för närvarande eller tidigare krypterats med Azure Disk Encryption kan inte krypteras med hjälp av kundhanterade nycklar.
  • Det går bara att skapa upp till 5 000 diskkrypteringsuppsättningar per region per prenumeration.
  • Information om hur du använder kundhanterade nycklar med delade bildgallerier finns i Förhandsversion: Använda kundhanterade nycklar för kryptering av bilder.

Regioner som stöds

Kundhanterade nycklar är tillgängliga i alla regioner där hanterade diskar är tillgängliga.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure resurser, en funktion i Microsoft Entra ID. När du konfigurerar kundhanterade nycklar tilldelar systemet automatiskt en hanterad identitet till dina resurser. Om du flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kan sluta fungera. Mer information finns i Överföra en prenumeration mellan Microsoft Entra kataloger.

Information om hur du aktiverar kundhanterade nycklar för hanterade diskar finns i följande artiklar om hur du aktiverar den med antingen Azure PowerShell-modulen, Azure CLI eller Azure-portalen.

Se Skapa en hanterad disk från en ögonblicksbild med CLI för ett kodexempel.

Kryptering på värd – End-to-end-kryptering för dina VM-data

När du aktiverar kryptering på värden startar krypteringen på själva den virtuella datorns värd, den Azure server som den virtuella datorn allokeras till. Data för dina tillfälliga disk- och OS/datadiskcacheminnen lagras på den virtuella datorvärden. När du har aktiverat kryptering på värdnivå krypteras alla dessa data när den är i vila och överförs krypterad till lagringstjänsten, där de sparas. Kryptering på värdnivå krypterar dina data från början till slut. Kryptering hos värden använder inte din virtuella dators processor och påverkar inte din virtuella dators prestanda.

Tillfälliga diskar och tillfälliga OS-diskar krypteras i vila med plattformshanterade nycklar när du aktiverar kryptering från slutpunkt till slutpunkt. Operativsystemet och datadiskcachen krypteras i vila med antingen kundhanterade eller plattformshanterade nycklar, beroende på den valda diskkrypteringstypen. Om en disk till exempel krypteras med kundhanterade nycklar krypteras cachen för disken med kundhanterade nycklar, och om en disk krypteras med plattformshanterade nycklar krypteras cachen för disken med plattformshanterade nycklar.

Kryptering vid värdbegränsningar

Granska dessa begränsningar innan du aktiverar kryptering på värdnivå för produktionsarbetslaster:

  • Stöd för VM-storlekar varierar mellan regioner och generationer.
  • Krypteringsbeteendet skiljer sig åt för tillfälliga diskar, tillfälliga OS-diskar och cacheminnen.
  • Kontrollera arbetsbelastningskraven innan du tillämpar i stor skala.
  • Det går inte att aktivera på virtuella datorer eller virtuella maskinskalsuppsättningar som för närvarande eller någonsin har haft Azure Disk Encryption aktiverat.
  • Azure Disk Encryption kan inte aktiveras på enheter som har kryptering hos värd aktiverat.
  • Krypteringen kan aktiveras på befintliga virtuella maskinskalningsuppsättningar. Men endast nya virtuella datorer som skapas efter aktivering av krypteringen krypteras automatiskt.
  • Befintliga virtuella datorer måste frigöras och omallokeras för att kunna krypteras.

Följande begränsningar gäller endast för Ultra Disks och Premium SSD v2:

  • Diskar med en sektorstorlek på 512e måste ha skapats efter 2023-05-13.

VM-storlekar som stöds

Den fullständiga listan över vm-storlekar som stöds kan hämtas programmatiskt. Information om hur du hämtar dem programmatiskt finns i avsnittet hitta vm-storlekar som stöds i antingen modulen Azure PowerShell eller Azure CLI.

Om du vill aktivera heltäckande kryptering med hjälp av värdbaserad kryptering finns information i följande artiklar, som beskriver hur du gör detta med antingen Azure PowerShell-modulen, Azure CLI eller Azure-portalen.

Dubbel kryptering i vilande tillstånd

Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan nu välja ett extra krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturlagret med hjälp av plattformshanterade krypteringsnycklar. Det här nya lagret kan tillämpas på bevarade operativsystem och datadiskar, ögonblicksbilder och bilder, som alla krypteras i vila med dubbel kryptering.

Dubbla krypteringsbegränsningar

Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.

Information om hur du aktiverar dubbel kryptering i vila för hanterade diskar finns i Aktivera dubbel kryptering i vila för hanterade diskar.

Kryptering på värd kontra Azure diskkryptering

Azure Disk Encryption utnyttjar antingen funktionen DM-Crypt i Linux eller funktionen BitLocker i Windows för att kryptera hanterade diskar med kundhanterade nycklar i den virtuella gästdatorn. Kryptering på serversidan med värdbaserad kryptering förbättrar ADE. Med kryptering på värd lagras data för dina tillfälliga disk- och OS/datadiskcacher på VM-värd. När du har aktiverat kryptering på värdnivå krypteras alla dessa data när den är i vila och överförs krypterad till lagringstjänsten, där de sparas. Kryptering på värdnivå krypterar dina data från början till slut. Kryptering hos värden använder inte din virtuella dators processor och påverkar inte din virtuella dators prestanda.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure resurser, en funktion i Microsoft Entra ID. När du konfigurerar kundhanterade nycklar tilldelar systemet automatiskt en hanterad identitet till dina resurser. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra katalog till en annan överförs inte den hanterade identiteten som är associerad med hanterade diskar till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra kataloger.

Nästa steg

  • Last updated on