服务器系统盘符加密,说明 Azure 磁盘加密和服务器端加密
说明 Azure 磁盘加密和服务器端加密
已完成
9 分钟
就 Azure VM 而言,存储级安全性是通过加密 VM 的虚拟磁盘文件提供的。 在考虑启用存储级安全性的选项时,Contoso IT 安全团队通常需要研究两种主要机制:
Azure 磁盘加密
Azure 托管磁盘的服务器端加密
什么是 Azure 磁盘加密?
Azure 磁盘加密是 Azure 平台中的一项内置功能,使你能够加密驻留在 Windows 和 Linux Azure VM 磁盘上的文件系统卷。 Azure 磁盘加密使用现有的基于文件系统的加密技术:
对于 Windows,使用 BitLocker 驱动器加密。
对于 Linux,使用 DM-Crypt。
Azure 磁盘加密使用这些技术加密托管操作系统和数据的卷。
注意
虽然可以查看 Windows 中的 BitLocker 设置,但请注意屏幕截图中的警告消息:出于安全考虑,某些设置由系统管理员管理。 因此,不应直接在 VM 中重新配置 BitLocker 设置。
备注
Key Vault 存储 BitLocker 使用的加密密钥。
Key Vault 以加密形式保存内容。 为加强安全保障,可以选择利用 Key Vault 的密钥加密密钥功能,对卷的加密密钥进行加密。
Azure 磁盘加密可以自动加密:
操作系统磁盘
数据磁盘数
临时磁盘
它还支持托管和非托管磁盘。
重要
Azure 磁盘加密不支持第 2 代 Azure VM 和 Lsv2 系列 Azure VM。
可以在以下三种场景中使用 Azure 磁盘加密:
对从 Azure 市场映像创建的新 Azure VM 启用加密
对已在 Azure 中运行的现有 Azure VM 启用加密
对使用现有加密密钥,从客户加密的 .vhd 文件创建的新 Azure VM 启用加密
Azure 磁盘加密需要其他步骤来为 Azure 平台提供对密钥保管库(机密和加密密钥所在的位置)的访问权限。 特别是必须为该保管库启用访问策略设置“启用对 Azure 磁盘加密的访问以进行卷加密”。
向新 VM 应用加密时,必须:
配置保管库访问策略,使 Microsoft.Compute 资源提供程序和 Azure 资源管理器能够在 VM 部署过程中检索机密。
备注
仅当计划使用资源管理器模板部署 VM 时,此步骤才适用。
在新的或现有的资源管理器 VM 上启用加密。 此步骤的细节取决于要实现三个方案中的哪一个以及使用的部署方法。
要求
如果要实现 Azure 磁盘加密,环境必须满足特定要求。 包括操作系统、VM 代系、网络和组策略方面的要求,以及一些 SKU 要求。
下表介绍了 Azure 磁盘加密的要求。
要求
详细信息
VM 大小
Azure 磁盘加密不适用于基本 A 系列 VM。 也不适用于 Lsv2 系列 VM。
VM 生成
Azure 磁盘加密不适用于第 2 代 VM。
内存
Azure 磁盘加密不适用于内存小于 2 GB 的 VM。
网络
要获取用于连接密钥保管库的令牌,Windows VM 必须能够连接 Azure Active Directory 终结点 login.microsoftonline.com。 若要将加密密钥写入密钥保管库,Windows VM 必须能够连接到密钥保管库终结点。
组策略
Azure 磁盘加密对 Windows VM 使用 BitLocker 外部密钥保护程序。 对于加入域的 VM,不要推送任何强制执行受信任的平台模块 (TPM) 保护程序的组策略对象 (GPO) 设置。 具有自定义 GPO 的加入域的 VM 上的 BitLocker 策略必须包括以下设置:Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key。 BitLocker 的自定义 GPO 设置不兼容时,Azure 磁盘加密失败。 如果域级 GPO 阻止 BitLocker 使用的 AES-CBC 算法,Azure 磁盘加密也会失败。
加密密钥存储
Azure 磁盘加密需要一个密钥保管库,用于控制和管理磁盘加密密钥和机密。 密钥保管库和 VM 必须位于同一 Azure 区域和订阅中。
什么是 Azure 托管磁盘的服务器端加密?
通过使用平台托管的加密密钥,Azure 托管磁盘的服务器端加密会自动将加密应用于:
所有托管磁盘
托管磁盘快照
托管映像
备注
不同于 Azure 磁盘加密,服务器端加密不适用于临时磁盘,并且不支持非托管磁盘。
但是,服务器端加密支持第 2 代 Azure VM 和所有现有的 Azure VM 大小。 实际上,即使未使用 Azure 磁盘加密,所有 Azure VM 托管磁盘也会自动受到保护。
备注
如果决定使用自己的密钥(而不是平台提供的密钥)实现 Azure 托管磁盘,Azure 托管磁盘的服务器端加密与 Azure 磁盘加密将不兼容。
如上所述,Azure 托管磁盘的服务器端加密是自动的。 如果要使用自己的密钥来实现这种加密,必须将密钥添加到位于 Azure VM 磁盘所在的区域和 Azure 订阅中的密钥保管库。 你还需要创建引用密钥保管库中的密钥的磁盘加密集资源,然后在使用托管磁盘部署 Azure VM 时或在配置托管磁盘的加密时指向磁盘加密集。
附加阅读材料
你可以通过查看以下文档来了解详细信息:
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!