托管磁盘加密选项概述

托管磁盘可以使用多种类型的加密,包括 Azure 磁盘加密 (ADE)、服务器端加密 (SSE) 和主机加密。

  • 将 Azure 托管磁盘(OS 和数据磁盘)上存储的数据保存到存储群集时,Azure 磁盘存储服务器端加密(也称为静态加密或 Azure 存储加密)始终启用,且会自动对这些数据进行加密。 如果配置了磁盘加密集 (DES),它还支持客户管理的密钥。 它不会加密临时磁盘或磁盘缓存。 有关完整详细信息,请参阅 Azure 磁盘存储的服务器端加密

  • 主机加密是一个虚拟机选项,可增强 Azure 磁盘存储服务器端的加密,以确保所有临时磁盘和磁盘缓存都静态加密并流向存储群集。 有关完整详细信息,请参阅主机加密 - VM 数据的端到端加密

  • Azure 磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 ADE 可通过使用 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能,对 VM 内的 Azure 虚拟机 (VM) 的 OS 和数据磁盘进行加密。 ADE 与 Azure Key Vault 集成,可帮助你控制和管理磁盘加密密钥和机密,并提供使用密钥加密密钥 (KEK) 进行加密的选项。 有关完整详细信息,请参阅适用于 Linux VM 的 Azure 磁盘加密适用于 Windows VM 的 Azure 磁盘加密

加密是安全的分层方法的一部分,应与其他建议一起用于保护虚拟机及其磁盘。 有关完整详细信息,请参阅 Azure 中虚拟机的安全建议限制对托管磁盘的导入/导出访问

比较

下面是磁盘存储 SSE、ADE、主机加密和机密磁盘加密的比较。

  Azure 磁盘存储服务器端加密 主机加密 Azure 磁盘加密 机密磁盘加密(仅适用于 OS 磁盘)
静态加密(操作系统和数据磁盘)
临时磁盘加密 ✅ 仅支持平台托管密钥
缓存加密
在计算和存储之间加密的数据流
客户控制密钥 ✅ 配置有 DES 后 ✅ 配置有 DES 后 ✅ 使用 KEK 进行配置时 ✅ 配置有 DES 后
不使用 VM 的 CPU
适用于自定义映像 ❌ 不适用于自定义 Linux 映像
增强型密钥保护
Microsoft Defender for Cloud 磁盘加密状态* 不正常 正常 正常 不适用

重要

对于机密磁盘加密,Microsoft Defender for Cloud 目前没有适用的建议。

* Microsoft Defender for Cloud 具有以下磁盘加密建议:

后续步骤