Azure 数据资源管理器群集将 Azure 存储用于永久性存储(其中静态数据已加密),并将虚拟机存储用于计算结束时删除的缓存数据。 可以对这两种类型的数据使用加密来保护数据,使组织能够信守在安全性与合规性方面作出的承诺。
使用加密保护 Azure 存储数据
创建群集时,其数据存储在 Azure 存储中,并在服务级别自动加密。 Azure 存储与 Azure Key Vault 集成,用于存储和管理确保对所有群集数据进行加密的密钥。 服务级别加密支持将 Microsoft 管理的密钥或客户管理的密钥与 Azure Key Vault 配合使用。 默认情况下,Microsoft 托管的密钥用于加密数据。
可以选择在基础结构级别启用双重加密。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥分别在服务级别和基础架构级别对存储帐户中的数据进行加密。 Azure 存储数据的双重加密可以在其中一种加密算法或密钥可能泄露的情况下提供保护。 在此方案中,额外的一层加密会继续保护你的数据。 基础结构级别的加密依赖于 Microsoft 管理的密钥并始终使用单独的密钥。
如果需要可确保数据安全的更高级保证,请使用以下选项来配置静态数据:
使用加密保护虚拟机存储
创建群集时,默认情况下不会加密其虚拟机缓存存储。 可以启用磁盘加密来加密存储在数据卷上的热缓存以及属于群集的虚拟机的操作系统磁盘。 使用 Microsoft 管理的密钥对数据进行静态加密。
使用启用磁盘加密中的步骤来保护群集虚拟机中存储的数据。
Azure 数据资源管理器将数据存储在区域中
每个 Azure 数据资源管理器群集都在单个区域中的专用资源上运行。 所有数据都存储在该区域中。