Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Er zijn verschillende typen versleuteling beschikbaar voor uw beheerde schijven, waaronder Azure Disk Encryption (ADE), Server-Side Encryption (SSE) en versleuteling op de host.
Versleuteling aan de serverzijde van Azure Disk Storage (ook wel versleuteling-at-rest of Azure Storage-versleuteling genoemd) wordt altijd ingeschakeld en versleutelt automatisch gegevens die zijn opgeslagen op beheerde Azure-schijven (besturingssysteem en gegevensschijven) wanneer ze op de opslagclusters blijven staan. Wanneer deze is geconfigureerd met een Schijfversleutelingsset (DES), worden ook door de klant beheerde sleutels ondersteund. Er worden geen tijdelijke schijven of schijfcaches versleuteld. Zie Versleuteling aan de serverzijde van Azure Disk Storage voor meer informatie.
Versleuteling op host is een optie voor virtuele machines waarmee Azure Disk Storage-versleuteling aan de serverzijde wordt verbeterd om ervoor te zorgen dat alle tijdelijke schijven en schijfcaches in rust worden versleuteld en worden versleuteld naar de opslagclusters. Zie Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens voor meer informatie.
Vertrouwelijke schijfversleuteling verbindt schijfversleutelingssleutels met de TPM van de virtuele machine en maakt de beveiligde schijfinhoud alleen toegankelijk voor de virtuele machine. De TPM- en VM-gaststatus wordt altijd versleuteld in geteste code met behulp van sleutels die zijn vrijgegeven door een beveiligd protocol dat de hypervisor en het hostbesturingssysteem omzeilt. Momenteel alleen beschikbaar voor de besturingssysteemschijf; ondersteuning voor tijdelijke schijven is in preview. Versleuteling op de host kan worden gebruikt voor andere schijven op een vertrouwelijke VM, naast Confidential Disk Encryption. Zie vertrouwelijke VM's uit de DCasv5- en ECasv5-serie voor meer informatie.
Met Azure Disk Encryption kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. ADE versleutelt het besturingssysteem en de gegevensschijven van virtuele Azure-machines (VM's) binnen uw VM's met behulp van de DM-Crypt-functie van Linux of de BitLocker-functie van Windows. ADE is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen te beheren, met de optie om te versleutelen met een sleutelversleutelingssleutel (KEK). Zie Azure Disk Encryption voor Linux-VM's of Azure Disk Encryption voor Windows-VM's voor meer informatie.
Belangrijk
Azure Disk Encryption voor virtuele machines en virtuele-machineschaalsets wordt op 15 september 2028 buiten gebruik gesteld. Nieuwe klanten moeten versleuteling op host gebruiken voor alle nieuwe VM's. Bestaande klanten moeten van plan zijn om huidige met ADE ingeschakelde VM's te migreren naar versleuteling op de host vóór de buitengebruikstelling om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host.
Versleuteling maakt deel uit van een gelaagde benadering van beveiliging en moet worden gebruikt met andere aanbevelingen voor het beveiligen van virtuele machines en hun schijven. Zie Beveiligingsaanaanvelingen voor virtuele machines in Azure en import-/exporttoegang tot beheerde schijven beperken voor meer informatie.
Vergelijking
Hier volgt een vergelijking van Schijfopslag-SSE, ADE, versleuteling op host en Vertrouwelijke schijfversleuteling.
| Versleuteling aan de serverzijde van Azure Disk Storage | Versleuteling op de host | Azure Disk Encryption | Vertrouwelijke schijfversleuteling (alleen voor de besturingssysteemschijf) | |
|---|---|---|---|---|
| Versleuteling in rust (besturingssysteem en gegevensschijven) | ✅ | ✅ | ✅ | ✅ |
| Tijdelijke schijfversleuteling | ❌ | ✅ Alleen ondersteund met door platform beheerde sleutel | ✅ | ✅ In Preview |
| Versleuteling van caches | ❌ | ✅ | ✅ | ✅ |
| Gegevensstromen die zijn versleuteld tussen Compute en Storage | ❌ | ✅ | ✅ | ✅ |
| Klantbeheer van sleutels | ✅ Wanneer geconfigureerd met DES | ✅ Wanneer geconfigureerd met DES | ✅ Wanneer deze is ingesteld met KEK | ✅ Wanneer geconfigureerd met DES |
| HSM-ondersteuning | Azure Key Vault Premium en beheerde HSM | Azure Key Vault Premium en beheerde HSM | Azure Key Vault Premium | Azure Key Vault Premium en beheerde HSM |
| Maakt geen gebruik van de CPU van uw VIRTUELE machine | ✅ | ✅ | ❌ | ❌ |
| Werkt voor aangepaste afbeeldingen | ✅ | ✅ | ❌ Werkt niet voor aangepaste Linux-installatiekopieën | ✅ |
| Verbeterde sleutelbeveiliging | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender voor Cloud schijfversleutelingsstatus* | Ongezond | Gezond | Gezond | Niet van toepassing |
Belangrijk
Voor vertrouwelijke schijfversleuteling heeft Microsoft Defender voor Cloud momenteel geen aanbeveling die van toepassing is.
* Microsoft Defender voor Cloud heeft de volgende aanbevelingen voor schijfversleuteling:
- Virtuele machines en schaalsets voor virtuele machines moeten versleuteling op de host hebben ingeschakeld (alleen versleuteling op de host gedetecteerd)
- Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen (alleen Azure Disk Encryption detecteert)
- Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen (detecteert zowel Azure Disk Encryption als EncryptionAtHost)
- Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen (detecteert zowel Azure Disk Encryption als EncryptionAtHost)
Volgende stappen
- Azure Disk Encryption voor Linux-VM's
- Azure Disk Encryption voor virtuele Windows-machines
- Versleuteling van Azure Disk Storage aan serverzijde
- Versleuteling op host
- Migreren van Azure Disk Encryption naar versleuteling aan serverzijde
- Vertrouwelijke VM's uit de DCasv5- en ECasv5-serie
- Basisprincipes van Azure-beveiliging - Overzicht van Azure-versleuteling