托管磁盘加密选项概述

托管磁盘可以使用多种加密类型,包括 Azure 磁盘加密 (ADE)、服务器端加密 (SSE) 和主机加密。

  • Azure 磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 ADE 通过使用 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能,使用 VM 的 CPU 对 VM 内的 Azure 虚拟机 (VM) 的 OS 和数据磁盘进行加密。 ADE 与 Azure Key Vault 集成,用于控制和管理磁盘加密密钥与机密。 有关完整详细信息,请参阅适用于 Linux VM 的 Azure 磁盘加密适用于 Windows VM 的 Azure 磁盘加密

  • 将 Azure 托管磁盘(操作系统和数据磁盘)上存储的数据保存到存储群集上时,服务器端加密(也称为静态加密或 Azure 存储加密)会自动对这些数据进行加密。 有关完整详细信息,请参阅 Azure 磁盘存储的服务器端加密

  • 主机加密可确保将存储在托管 VM 的 VM 主机上的数据静态加密,并以加密形式将其传送到存储群集。 有关完整详细信息,请参阅主机加密 - VM 数据的端到端加密

加密是安全的分层方法的一部分,应与其他建议一起用于保护虚拟机及其磁盘。 有关完整详细信息,请参阅 Azure 中虚拟机的安全建议限制对托管磁盘的导入/导出访问

比较

下面是 SSE、ADE 和主机加密的比较结果。

静态加密(操作系统和数据磁盘) 临时磁盘加密 缓存加密 在计算和存储之间加密的数据流 客户控制密钥 不使用 VM 的 CPU 适用于自定义映像 Microsoft Defender for Cloud 磁盘加密状态
使用平台管理的密钥进行静态加密 (SSE+PMK) 不正常,如果忽略,则不适用
使用客户管理的密钥进行静态加密 (SSE+CMK) 不正常,如果忽略,则不适用
Azure 磁盘加密 ❌ 不适用于自定义 Linux 映像 正常
主机加密 不正常,如果忽略,则不适用

重要

对于主机上的加密,Microsoft Defender for Cloud 不检测加密状态。 正在更新 Microsoft Defender

后续步骤