Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det finns flera typer av kryptering för dina hanterade diskar, inklusive Azure Disk Encryption (ADE), Server-Side Encryption (SSE) och kryptering på värd.
Azure Disk Storage Server-Side Encryption (kallas även kryptering i vila eller Azure Storage-kryptering) är alltid aktiverat och krypterar automatiskt data som lagras på Azure-hanterade diskar (OS och datadiskar) när de sparas på lagringskluster. När den konfigureras med en diskkrypteringsuppsättning (DES) stöder den även kundhanterade nycklar. Den krypterar inte temporära diskar eller diskcacheminnen. Fullständig information finns i Kryptering på serversidan av Azure Disk Storage.
Kryptering på värden är ett alternativ för virtuell dator som förbättrar Azure Disk Storage Server-Side Encryption för att säkerställa att alla temporära diskar och diskcacheminnen krypteras i vila och överförs krypterade till lagringskluster. För fullständig information, se Kryptering på värd – Kryptering från början till slut för dina VM-data.
Konfidentiell diskkryptering binder diskkrypteringsnycklar till den virtuella datorns TPM och gör det skyddade diskinnehållet endast tillgängligt för den virtuella datorn. Gästtillståndet för TPM och den virtuella datorn krypteras alltid i attesterad kod med hjälp av nycklar som släppts av ett säkert protokoll som kringgår hypervisor- och värdoperativsystemet. För närvarande endast tillgängligt för OS-disken. temp disk support är i förhandsversion. Kryptering på värden kan användas för andra diskar på en konfidentiell virtuell dator utöver konfidentiell diskkryptering. Fullständig information finns i DCasv5- och ECasv5-seriens konfidentiella virtuella datorer.
Azure Disk Encryption hjälper dig att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. ADE krypterar operativsystemet och datadiskarna för virtuella Azure-datorer i dina virtuella datorer med hjälp av DM-Crypt-funktionen i Linux eller BitLocker-funktionen i Windows. ADE är integrerat med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter, med alternativet att kryptera med en nyckelkrypteringsnyckel (KEK). Fullständig information finns i Azure Disk Encryption för virtuella Linux-datorer eller Azure Disk Encryption för virtuella Windows-datorer.
Viktigt!
Azure Disk Encryption för virtuella datorer och VM-skalningsuppsättningar dras tillbaka den 15 september 2028. Nya kunder bör använda kryptering på värdnivå för alla nya virtuella datorer. Befintliga kunder bör planera att migrera nuvarande ADE-aktiverade virtuella datorer till kryptering på värdserver före slutdatumet för att undvika avbrott i tjänsten – se Migrera från Azure Disk Encryption till kryptering på värdserver.
Kryptering är en del av en skiktad metod för säkerhet och bör användas med andra rekommendationer för att skydda virtuella datorer och deras diskar. Fullständig information finns i Säkerhetsrekommendationer för virtuella datorer i Azure och Begränsa import-/exportåtkomst till hanterade diskar.
Jämförelse
Här är en jämförelse av Disk Storage SSE, ADE, kryptering på värd och Konfidentiell diskkryptering.
| Kryptering för Azure Disk Storage Server-Side | Kryptering på värd | Azure Disk Encryption | Konfidentiell diskkryptering (endast för OS-disken) | |
|---|---|---|---|---|
| Kryptering i vila (OPERATIVSYSTEM och datadiskar) | ✅ | ✅ | ✅ | ✅ |
| Temporär diskkryptering | ❌ | ✅ Stöds endast med plattformshanterad nyckel | ✅ | ✅ Förhandsvisning |
| Kryptering av cacheminnen | ❌ | ✅ | ✅ | ✅ |
| Dataflöden krypterade mellan beräkning och lagring | ❌ | ✅ | ✅ | ✅ |
| Kundkontroll av nycklar | ✅ När du har konfigurerat med DES | ✅ När du har konfigurerat med DES | ✅ När du har konfigurerat med KEK | ✅ När du har konfigurerat med DES |
| HSM-stöd | Azure Key Vault Premium och Managed HSM | Azure Key Vault Premium och Managed HSM | Azure Key Vault Premium | Azure Key Vault Premium och Managed HSM |
| Använder inte den virtuella datorns CPU | ✅ | ✅ | ❌ | ❌ |
| Fungerar för anpassade avbildningar | ✅ | ✅ | ❌ Fungerar inte för anpassade Linux-avbildningar | ✅ |
| Förbättrat nyckelskydd | ❌ | ❌ | ❌ | ✅ |
| Diskkrypteringsstatus för Microsoft Defender för molnet* | Ohälsosamt | Felfri | Felfri | Ej tillämpligt |
Viktigt!
För konfidentiell diskkryptering har Microsoft Defender för molnet för närvarande ingen rekommendation som är tillämplig.
* Microsoft Defender för molnet har följande rekommendationer för diskkryptering:
- Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat (endast identifierar kryptering på värden)
- Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser (identifierar endast Azure Disk Encryption)
- Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost (identifierar både Azure Disk Encryption och EncryptionAtHost)
- Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost (identifierar både Azure Disk Encryption och EncryptionAtHost)
Nästa steg
- Azure Disk Encryption för virtuella Linux-datorer
- Azure Disk Encryption för virtuella Windows-maskiner
- Kryptering på serversidan i Azure Disk Storage
- Kryptering på värddator
- Migrera från Azure Disk Encryption till kryptering på serversidan
- Konfidentiella virtuella datorer i DCasv5- och ECasv5-serien
- Grunderna i Azure Security – Översikt över Azure-kryptering