Поделиться через

Шифрование Хранилище дисков Azure на стороне сервера

Применимо к: ✔️ виртуальным машинам Linux ✔️ виртуальным машинам Windows ✔️ гибким масштабируемым наборам ✔️ универсальным масштабируемым наборам

Большинство управляемых дисков Azure шифруются с помощью шифрования служба хранилища Azure, который использует шифрование на стороне сервера (SSE) для защиты данных и для обеспечения соответствия требованиям организации. служба хранилища Azure по умолчанию автоматически шифрует ваши данные, хранящиеся на управляемых дисках Azure (дисках ОС и данных), при их сохранении в облаке. Однако диски с включенным шифрованием на узле не шифруются с помощью служба хранилища Azure. Для дисков с включенным шифрованием на узле сервер, на котором размещена виртуальная машина, предоставляет шифрование данных, а зашифрованные потоки данных передаются в служба хранилища Azure.

Данные в управляемых дисках Azure шифруются прозрачно с помощью 256-разрядного шифрования AES, одного из самых надежных блочных шифров и соответствует стандарту FIPS 140-2. Дополнительные сведения о криптографических модулях, лежащих в основе управляемых дисков Azure, см. в статье Cryptography API: Next Generation

служба хранилища Azure шифрование не влияет на производительность управляемых дисков и не требует дополнительных затрат. Дополнительные сведения о шифровании служба хранилища Azure см. в разделе шифрование служба хранилища Azure.

Внимание

Временные диски не считаются управляемыми дисками и к ним не применяется SSE, если вы не настроили шифрование на узле.

Azure виртуальные машины версии 5 и выше (например, Dsv5 или Dsv6) автоматически шифруют временные диски и (при использовании) свои эфемерные диски ОС с шифрованием данных в состоянии покоя.

Об управлении ключами шифрования

Вы можете использовать ключи, управляемые платформой, для шифрования управляемого диска или управлять шифрованием с помощью собственных ключей. Если вы решили управлять шифрованием с помощью собственных ключей, можно указать управляемый клиентом ключ для шифрования и расшифровки всех данных на управляемых дисках.

В следующих разделах подробно описаны все варианты управления ключами.

Ключи, управляемые платформой

По умолчанию управляемые диски используют управляемые платформой ключи шифрования. Все управляемые диски, снимки, образы и данные, записываемые на существующие управляемые диски, автоматически шифруются в состоянии покоя с использованием ключей, управляемых платформой. Управляемые платформой ключи управляются Майкрософт.

Ключи, управляемые клиентом

Вы можете управлять шифрованием на уровне каждого управляемого диска с помощью собственных ключей. Указанный ключ, управляемый клиентом, используется для защиты и контроля доступа к ключу, который шифрует ваши данные. Ключи, управляемые клиентом, обеспечивают большую гибкость в управлении доступом.

Для хранения ключей, управляемых клиентом, необходимо использовать одно из следующих хранилищ ключей Azure:

Вы можете импортировать ключи RSA в Key Vault или создать новые ключи RSA в Azure Key Vault. Управляемые диски Azure обрабатывают шифрование и расшифровку полностью прозрачным способом с помощью конвертного шифрования. Он шифрует данные с помощью ключа шифрования данных на основе AES 256 (DEK), который, в свою очередь, защищен с помощью ключей. Служба хранилища создает ключи шифрования данных и шифрует их с помощью управляемых клиентом ключей, используя шифрование RSA. Конвертное шифрование позволяет вам периодически менять ключи в соответствии с вашими политиками соответствия, не влияя на виртуальные машины. При смене ключей служба хранилища повторно упаковывает ключи шифрования данных с новой версией ключа, управляемой клиентом. Базовые данные диска не шифруются повторно. Старые и новые версии ключей должны оставаться включёнными до завершения перепаковывания.

Управляемые диски, а также Key Vault или управляемый HSM должны находиться в одном регионе Azure, но они могут находиться в разных подписках. Кроме того, они должны находиться в том же клиенте Microsoft Entra, если вы не используете Управляемые диски, зашифрованные с помощью ключей, управляемых заказчиком.

Полный контроль над ключами

Необходимо предоставить доступ к управляемым дискам в Key Vault или управляемом HSM, чтобы использовать ключи для шифрования и расшифровки DEK. Это обеспечивает вам полный контроль над своими данными и ключами. Вы можете отключить ключи или отозвать доступ к управляемым дискам в любое время. Вы также можете проверить использование ключа шифрования с помощью мониторинга Azure Key Vault, чтобы обеспечить доступ к ключам только управляемым дискам или другим доверенным Azure службам.

Внимание

Если ключ отключен, удален или истек, все виртуальные машины с дисками ОС или данных с помощью этого ключа автоматически завершаются. После автоматического завершения работы виртуальные машины не будут загружаться, пока ключ не будет включен снова или вы назначите новый ключ.

Как правило, операции ввода-вывода диска (операции чтения или записи) начинают испытывать сбои через час после того, как ключ будет отключен, удален или его срок действия истечет.

На следующей схеме показано, как управляемые диски используют Microsoft Entra ID и Azure Key Vault для выполнения запросов с помощью ключа, управляемого клиентом:

Диаграмма управляемого диска и процесса управляемых клиентом ключей. Администратор создает Azure Key Vault, а затем создает набор шифрования дисков и настраивает его. Набор связан с виртуальной машиной, что позволяет диску использовать Microsoft Entra ID для проверки подлинности.

Ниже приведено более подробное описание схемы.

  1. Администратор Azure Key Vault создает ресурсы хранилища ключей.
  2. Администратор Key Vault импортирует свои ключи RSA или создаёт новые ключи RSA в Key Vault.
  3. Этот администратор создает экземпляр ресурса набора шифрования дисков, указав идентификатор Azure Key Vault и URL-адрес ключа. Набор шифрования дисков — это новый ресурс, который появился для упрощения управления ключами для управляемых дисков.
  4. При создании набора шифрования дисков в Microsoft Entra ID создается управляемое удостоверение, назначаемое системой и связанное с набором шифрования дисков.
  5. Затем администратор хранилища ключей Azure предоставляет управляемому удостоверению разрешение на выполнение операций в хранилище ключей.
  6. Пользователь виртуальной машины создает диски, связывая их с набором шифрования дисков. Пользователь виртуальной машины может также включить шифрование на стороне сервера с помощью управляемых клиентом ключей для существующих ресурсов, связав их с набором шифрования дисков.
  7. Управляемые диски используют управляемое удостоверение для отправки запросов в Azure Key Vault.
  8. Для чтения или записи данных управляемые диски отправляют запросы в Azure Key Vault для обертывания и разворачивания ключа шифрования данных, чтобы выполнить шифрование и дешифрацию данных.

Сведения о отмене доступа к управляемым клиентом ключам см. в статье Azure Key Vault PowerShell и Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в учетной записи хранения, так как ключ шифрования недоступен служба хранилища Azure.

Автоматическая ротация ключей, управляемых клиентом

Как правило, если вы используете ключи, управляемые клиентом, следует включить автоматическую смену ключей до последней версии ключа. Автоматическая смена ключей помогает обеспечить безопасность ключей. Диск ссылается на ключ с помощью набора шифрования диска. При включении автоматического обновления для набора шифрования дисков система автоматически обновит все управляемые диски, моментальные снимки и изображения, которые ссылаются на набор шифрования диска, чтобы использовать новую версию ключа в течение одного часа. Сведения о том, как включить управляемые клиентом ключи с автоматическим поворотом ключей, см. в статье Настроивание Azure Key Vault и DiskEncryptionSet с автоматическим поворотом ключей.

Примечание.

Виртуальные машины не перезагружается во время автоматической смены ключей.

Если вы не можете включить автоматическую смену ключей, можно использовать другие методы, чтобы предупредить вас до истечения срока действия ключей. Таким образом, вы можете сменить ключи до истечения срока действия и сохранить непрерывность бизнес-процессов. Вы можете использовать Политика Azure или Сетка событий Azure для отправки уведомления при истечении срока действия ключа.

Ограничения

В настоящее время ключи, управляемые клиентом, имеют следующие ограничения.

  • Если эта функция включена для диска с добавочными моментальными снимками, его нельзя отключить на этом диске или его моментальных снимках. Чтобы обойти эту проблему, скопируйте все данные на совершенно другой управляемый диск, который не использует ключи, управляемые клиентом. Это можно сделать с помощью модуля Azure CLI или модуля Azure PowerShell.
  • Диск и все связанные с ним добавочные моментальные снимки должны иметь один и тот же набор шифрования дисков.
  • Поддерживаются только программные и HSM-ключи RSA размером 2048, 3072 и 4096 бит, никакие другие ключи или размеры не поддерживаются.
    • ключи HSM требуют уровня премиум в Azure-хранилище ключей.
  • Только для дисков категории "Ультра" и SSD уровня "Премиум" версии 2:
    • (предварительная версия) Управляемые удостоверения, назначаемые пользователем, доступны для дисков Категории "Ультра" и SSD уровня "Премиум" версии 2, зашифрованных с помощью ключей, управляемых клиентом.
  • Большинство ресурсов, связанных с вашими ключами, управляемыми клиентом (наборы шифрования дисков, виртуальные машины, диски и моментальные снимки), должны находиться в одной подписке и регионе.
  • Диски, зашифрованные с помощью управляемых клиентом ключей, могут перемещаться в другую группу ресурсов, только если виртуальная машина, к которой они подключены, деактивирована.
  • Диски, моментальные снимки и изображения, зашифрованные с помощью ключей, управляемых клиентом, нельзя перемещать между подписками.
  • Управляемые диски в настоящее время или ранее зашифрованные с помощью Шифрование дисков Azure не могут быть зашифрованы с помощью ключей, управляемых клиентом.
  • Можно создать до 5000 наборов шифрования дисков в рамках подписки на регион.
  • Сведения об использовании ключей, управляемых клиентом, с общими коллекциями образов см. в статье "Предварительная версия: использование управляемых клиентом ключей для шифрования изображений".

Поддерживаемые регионы

Ключи, управляемые клиентом, доступны во всех регионах, где предоставляются управляемые диски.

Внимание

Ключи, управляемые клиентом, зависят от управляемых удостоверений для ресурсов Azure, что является функцией Microsoft Entra ID. При настройке управляемых пользователем ключей управляемое удостоверение автоматически назначается вашим ресурсам в фоновом режиме. Если впоследствии вы перемещаете подписку, группу ресурсов или управляемый диск из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с управляемыми дисками, не передается в новый клиент, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в разделе Передача подписки между каталогами Microsoft Entra.

Чтобы включить ключи, управляемые клиентом, для управляемых дисков, ознакомьтесь с нашими статьями о том, как это сделать с использованием модуля Azure PowerShell, Azure CLI или портала Azure.

См. статью "Создание управляемого диска из моментального снимка" с помощью ИНТЕРФЕЙСА командной строки для примера кода.

Шифрование на уровне узла — сквозное шифрование данных виртуальной машины

При включении шифрования на узле это шифрование начинается на самом узле виртуальной машины, Azure сервер, на котором выделена виртуальная машина. На этом узле виртуальной машины хранятся данные для временных дисков, кэшей дисков данных и дисков ОС. После включения шифрования на узле все эти данные шифруются в состоянии покоя и в зашифрованном виде передаются в сервис хранения, где они сохраняются. По сути, шифрование на узле обеспечивает сквозное шифрование данных. Шифрование на узле не использует ЦП виртуальной машины и не влияет на производительность виртуальной машины.

При включении сквозного шифрования временные диски и эфемерные диски ОС шифруются на уровне хранения с использованием ключей, управляемых платформой. Кэши дисков данных и ОС шифруются при хранении с использованием ключей, управляемых клиентом или платформой, в зависимости от выбранного типа шифрования диска. Например, если диск зашифрован ключами, управляемыми клиентом, то и кэш для диска шифруется с использованием ключей, управляемых клиентом, а если диск шифруется ключами, управляемыми платформой, то кэш диска шифруется с использованием ключей, управляемых платформой.

Ограничения

  • Нельзя включить на виртуальных машинах или масштабируемых комплектах виртуальных машин, которые в настоящее время или когда-либо были оснащены Шифрование дисков Azure.
  • Шифрование дисков Azure нельзя включить на дисках с включенным шифрованием на узле.
  • Шифрование можно включить в существующих масштабируемых наборах виртуальных машин. Однако автоматически выполняется шифрование только новых виртуальных машин, созданных после включения шифрования.
  • Для шифрования существующие виртуальные машины необходимо освободить и перераспределить.

Следующие ограничения применяются только к дискам категории "Ультра" и SSD уровня "Премиум" версии 2.

  • Диски, использующие размер сектора 512e, должны быть созданы после 5/13.2023.

Поддерживаемые размеры виртуальных машин

Полный список поддерживаемых размеров виртуальных машин можно получить программным способом. Чтобы узнать, как получить их программным способом, ознакомьтесь с разделом поиска поддерживаемых размеров виртуальных машин модуля Azure PowerShell или Azure CLI.

Чтобы включить сквозное шифрование с помощью шифрования на узле, ознакомьтесь с нашими статьями о том, как включить его с помощью модуля Azure PowerShell, Azure CLI или портала Azure.

Двойное шифрование неактивных данных

Клиенты с высоким уровнем безопасности, которые обеспокоены риском, связанным с любым определенным алгоритмом шифрования, реализацией или ключом, теперь могут выбрать дополнительный уровень шифрования с помощью другого алгоритма или режима шифрования на уровне инфраструктуры с помощью ключей управляемого шифрования платформы. Этот новый слой можно применить к сохраненным дискам ОС и дискам данных, моментальным снимкам и образам. В этом случае любой из этих объектов будет шифроваться при хранении с помощью двойного шифрования.

Ограничения

Двойное шифрование неактивных дисков в настоящее время не поддерживается с дисками Категории "Ультра" или SSD уровня "Премиум" версии 2.

Чтобы включить двойное шифрование неактивных данных для управляемых дисков, см. раздел "Включить двойное шифрование неактивных данных для управляемых дисков".

Шифрование на узле и шифрование дисков Azure

Шифрование дисков Azure использует либо функцию DM-Crypt Linux, либо функцию BitLocker Windows для шифрования управляемых дисков с помощью ключей, управляемых клиентом, внутри гостевой виртуальной машины. Шифрование на стороне сервера с шифрованием на хосте обеспечивает улучшения по сравнению с ADE. При шифровании на узле данные для временного диска и кэша дисков операционной системы и данных хранятся на этом узле виртуальной машины. После включения шифрования на узле все эти данные шифруются в состоянии покоя и в зашифрованном виде передаются в сервис хранения, где они сохраняются. По сути, шифрование на узле обеспечивает сквозное шифрование данных. Шифрование на узле не использует ЦП виртуальной машины и не влияет на производительность виртуальной машины.

Внимание

Ключи, управляемые клиентом, зависят от управляемых удостоверений для ресурсов Azure, что является функцией Microsoft Entra ID. При настройке управляемых пользователем ключей управляемое удостоверение автоматически назначается вашим ресурсам в фоновом режиме. Если впоследствии вы перемещаете подписку, группу ресурсов или управляемый диск из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с управляемыми дисками, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не будут работать. Дополнительные сведения см. в разделе Передача подписки между каталогами Microsoft Entra.

Следующие шаги

  • Last updated on