Windows 虚拟机的 Azure 磁盘加密 FAQ

本文提供有关适用于 Windows VM 的 Azure 磁盘加密的常见问题解答 (FAQ)。 有关此服务的详细信息,请参阅 Azure 磁盘加密概述

什么是适用于 Windows VM 的 Azure 磁盘加密?

适用于 Windows VM 的 Azure 磁盘加密使用 Windows 的 BitLocker 功能为 OS 磁盘和数据磁盘提供全盘加密。 此外,VolumeType 参数为 All 时,它提供临时磁盘加密。 加密内容从 VM 流向存储后端。 因此,使用客户托管密钥提供端对端加密。

请参阅支持的 VM 和操作系统

哪里有正式发布版 (GA) 的 Azure 磁盘加密?

Azure 磁盘加密已在所有 Azure 公共区域正式发布。

Azure 磁盘加密提供哪些用户体验?

Azure 磁盘加密正式版支持 Azure 资源管理器模板、Azure PowerShell 和 Azure CLI。 不同的用户体验提供了灵活性。 可以通过三个不同的选项为 VM 启用磁盘加密。 有关 Azure 磁盘加密中提供的用户体验详细信息和分步指南,请参阅适用于 Windows 的 Azure 磁盘加密方案

Azure 磁盘加密如何收费?

使用 Azure 磁盘加密来加密 VM 磁盘是免费的,但使用与 Azure Key Vault 相关联的内容则会产生费用。 有关 Azure Key Vault 成本的详细信息,请参阅 Key Vault 定价页面。

如何开始使用 Azure 磁盘加密?

若要开始,请参阅 Azure 磁盘加密概述

哪些 VM 大小和操作系统支持 Azure 磁盘加密?

Azure 磁盘加密概述一文列出了支持 Azure 磁盘加密的 VM 大小VM 操作系统

是否可以使用 Azure 磁盘加密来加密引导卷和数据卷?

可以加密引导卷和数据卷,但不能在未先加密 OS 卷的情况下加密数据。

我可以使用 Azure 磁盘加密来加密未装入的卷吗?

不可以,Azure 磁盘加密只加密已装入的卷。

什么是存储服务器端加密?

存储服务器端加密会在 Azure 存储中加密 Azure 托管磁盘。 默认情况下,托管磁盘使用平台托管密钥通过服务器端加密进行加密(从 2017 年 6 月 10 日开始)。 指定一个由客户托管的密钥,即可实现对使用自己的密钥加密托管磁盘的管理。 有关详细信息,请参阅 Azure 托管磁盘的服务器端加密

Azure 磁盘加密与使用客户托管的密钥的存储服务器端加密有何不同,分别应于何时使用这两种解决方案?

Azure 磁盘加密使用客户托管的密钥提供对 OS 磁盘、数据磁盘和临时磁盘的端对端加密。

  • 如果你的要求包括对上述各项加密和端到端加密,请使用 Azure 磁盘加密。
  • 如果你的要求是使用客户托管的密钥仅对静态数据加密,请采用使用客户托管密钥的服务器端加密。 不能即使用 Azure 磁盘加密又使用采用了客户托管密钥的存储服务器端加密来加密磁盘。
  • 如果使用的是在 Windows 不支持的方案中调出的方案,请考虑使用客户托管密钥的服务器端加密
  • 如果组织的策略允许你使用 Azure 托管密钥加密静态内容,则无需执行任何操作,因为系统默认加密这些内容。 对于托管磁盘而言,默认在服务器端加密中使用平台托管密钥来加密存储内的内容。 该密钥是由 Azure 存储服务托管的。

我如何轮换机密或加密密钥?

若要轮换机密,只需调用你一开始在启用磁盘加密时使用的命令并指定另一 Key Vault 即可。 若要轮换密钥加密密钥,只需调用你一开始在启用磁盘加密时使用的命令并指定新的密钥加密方法即可。

警告

  • 如果之前通过指定 Azure AD 凭据对 Azure AD 应用使用了 Azure 磁盘加密来加密此 VM,则必须继续使用此选项。 目前,如果一个 VM 已使用 Azure 磁盘加密通过 Azure AD 进行加密,则不支持在该 VM 上不通过 AAD 来使用 Azure 磁盘加密。

如果我最初并未使用密钥加密密钥 (KEK),该如何添加或删除 KEK?

若要添加密钥加密密钥,请再次调用 enable 命令,传递密钥加密密钥参数。 若要删除密钥加密密钥,请在没有密钥加密密钥参数的情况下再次调用 enable 命令。

应使用哪种密钥加密密钥 (KEK) 大小?

Windows Server 2022 包含 BitLocker 的较新版本,当前不适用于 RSA 2048 位密钥加密密钥。 在解决此问题之前,请使用 RSA 3072 或 RSA 4096 位密钥,如支持的操作系统所述。

对于早期版本的 Windows,可以改用 RSA 2048 密钥加密密钥。

Azure 磁盘加密是否支持自带秘钥 (BYOK)?

是的,可以提供自己的密钥加密密钥。 这些密钥在 Azure Key Vault(Azure 磁盘加密的密钥存储)中受保护。 有关密钥加密密钥支持方案的详细信息,请参阅创建和配置用于 Azure 磁盘加密的 Key Vault

是否可以使用 Azure 创建的密钥加密密钥?

是的,可以使用 Azure Key Vault 来生成密钥加密密钥供 Azure 磁盘加密使用。 这些密钥在 Azure Key Vault(Azure 磁盘加密的密钥存储)中受保护。 有关密钥加密密钥的详细信息,请参阅创建和配置用于 Azure 磁盘加密的 Key Vault

是否可以使用本地密钥管理服务来保护加密密钥?

无法使用本地密钥管理服务来配合 Azure 磁盘加密保护加密密钥。 只能使用 Azure Key Vault 服务来保护加密密钥。 有关密钥加密密钥支持方案的详细信息,请参阅创建和配置用于 Azure 磁盘加密的 Key Vault

配置 Azure 磁盘加密的先决条件是什么?

Azure 磁盘加密具有先决条件。 若要创建新的 Key Vault 或设置现有 Key Vault 进行磁盘加密访问,以启用加密并保护机密和密钥,请参阅创建和配置用于 Azure 磁盘加密的 Key Vault一文。 有关密钥加密密钥支持方案的详细信息,请参阅创建和配置用于 Azure 磁盘加密的 Key Vault

使用 Azure AD 应用(早期版本)配置 Azure 磁盘加密的先决条件是什么?

Azure 磁盘加密具有先决条件。 请参阅使用 Azure AD 的 Azure 磁盘加密内容,创建 Azure Active Directory 应用程序、创建新的 Key Vault 或设置现有 Key Vault 进行磁盘加密访问,以启用加密并保护机密和密钥。 有关密钥加密密钥支持方案的详细信息,请参阅创建和配置可将 Azure 磁盘加密和 Azure AD 配合使用的 Key Vault

是否仍然支持使用 Azure AD 应用(早期版本)进行 Azure 磁盘加密?

是的。 仍然支持使用 Azure AD 应用进行磁盘加密。 不过,当加密新的 VM 时,建议使用新方法而不是使用 Azure AD 应用进行加密。

是否可以在不使用 Azure AD 应用的情况下将通过 Azure AD 应用加密的 VM 迁移到此加密?

当前,对于通过 Azure AD 应用加密的计算机,没有直接迁移路径可用来在不使用 Azure AD 应用的情况下迁移到此加密。 此外,也没有直接路径用来将未使用 Azure AD 应用的加密迁移到使用 AD 应用的加密。

Azure 磁盘加密支持哪些 Azure PowerShell 版本?

使用最新版的 Azure PowerShell SDK 来配置 Azure 磁盘加密。 下载最新版本的 Azure PowerShell。 Azure SDK 版本 1.1.0 不支持 Azure 磁盘加密。

磁盘“Bek 卷”或“/mnt/azure_bek_disk”是什么?

“Bek 卷”是一个本地数据卷,可以安全地存储用于已加密 Azure VM 的加密密钥。

注意

请勿删除或编辑此磁盘中的任何内容。 请勿卸载磁盘,因为 IaaS VM 上的任何加密操作都需要有加密密钥才能执行。

Azure 磁盘加密使用何种加密方法?

Azure 磁盘加密在 BitLocker 中根据 Windows 版本选择加密方法,如下所示:

Windows 版本 版本 加密方法
Windows Server 2012 以及 Windows 10 或更高版本 >=1511 256 位 XTS-AES
Windows Server 2012 以及 Windows 8、8.1、10 < 1511 256 位 AES*
Windows Server 2008R2 使用扩散器的 256 位 AES

* Windows 2012 及更高版本中不支持使用扩散器的 256 位 AES。

若要确定 Windows OS 版本,请在虚拟机中运行“winver”工具。

我可以备份和还原已加密的 VM 吗?

Azure 备份提供一个机制,可以用来备份和还原同一订阅与区域中的已加密 VM。 相关说明,请参阅通过 Azure 备份来备份和还原加密的虚拟机。 目前不支持将已加密的 VM 还原到另一区域。

可以在何处提问或提供反馈?

你可以在 Microsoft Q&A 的 Azure 磁盘加密问题页提问或提供反馈。

后续步骤

本文档详细描述了有关 Azure 磁盘加密的最常见问题。 有关此服务的详细信息,请参阅以下文章: