本文提供有关Windows VM Azure Disk Encryption常见问题(常见问题解答)的解答。 有关此服务的详细信息,请参阅 Azure Disk Encryption 概述。
Windows VM 的Azure Disk Encryption是什么?
Windows VM Azure Disk Encryption使用 Windows 的 BitLocker 功能来提供 OS 磁盘和数据磁盘的完整磁盘加密。 此外,VolumeType 参数为 All 时,它提供临时磁盘加密。 加密内容从 VM 流向存储后端。 因此,使用客户托管密钥提供端对端加密。
请参阅支持的 VM 和操作系统。
Azure Disk Encryption在哪些地方已经正式发布?
Azure 磁盘加密在所有 Azure 公共区域全面可用。
Azure Disk Encryption有哪些用户体验?
Azure Disk Encryption GA 支持Azure Resource Manager模板、Azure PowerShell和Azure CLI。 不同的用户体验提供了灵活性。 可以通过三个不同的选项为 VM 启用磁盘加密。 有关 Azure 磁盘加密中提供的用户体验和分步指南的详细信息,请参阅 Windows 的 Azure 磁盘加密方案。
Azure Disk Encryption的费用是多少?
使用 Azure Disk Encryption 加密 VM 磁盘不收费,但使用 Azure Key Vault 时会收取相关费用。 有关Azure Key Vault成本的详细信息,请参阅 Key Vault 定价页。
如何开始使用Azure Disk Encryption?
若要开始,请阅读 Azure Disk Encryption 概述。
哪些 VM 大小和操作系统支持Azure Disk Encryption?
Azure Disk Encryption概述一文列出了支持 Azure Disk Encryption 的 VM 大小和 VM 操作系统。
是否可以使用Azure Disk Encryption加密启动和数据卷?
可以加密引导卷和数据卷,但不能在未先加密 OS 卷的情况下加密数据。
是否可以使用Azure Disk Encryption加密未挂载的卷?
否,Azure Disk Encryption 仅加密装载的卷。
什么是存储服务器端加密?
存储服务器端加密在Azure Storage中加密Azure托管磁盘。 默认情况下,托管磁盘使用平台托管密钥通过服务器端加密进行加密(从 2017 年 6 月 10 日开始)。 指定一个由客户托管的密钥,即可实现对使用自己的密钥加密托管磁盘的管理。 有关详细信息,请参阅Azure托管磁盘的服务器端加密。
Azure Disk Encryption与使用客户管理的密钥的存储服务器端加密有何不同,以及何时应使用每个解决方案?
Azure Disk Encryption为 OS 磁盘、数据磁盘和具有客户管理的密钥的临时磁盘提供端到端加密。
- 如果要求包括加密上述所有加密和端到端加密,请使用Azure Disk Encryption。
- 如果你的要求是使用客户托管的密钥仅对静态数据加密,请采用使用客户托管密钥的服务器端加密。 您不能同时使用 Azure 磁盘加密和使用客户管理的密钥的存储服务器端加密来加密磁盘。
- 如果使用限制中指出的方案,请考虑使用客户管理的密钥进行服务器端加密。
- 如果组织的策略允许使用Azure管理的密钥加密静态内容,则无需执行任何操作 - 默认情况下,内容将加密。 对于托管磁盘而言,默认在服务器端加密中使用平台托管密钥来加密存储内的内容。 密钥由Azure Storage服务管理。
我如何轮换机密或加密密钥?
若要轮换机密,只需调用最初用于启用磁盘加密的相同命令,指定不同的Key Vault。 若要轮换密钥加密密钥,只需调用你一开始在启用磁盘加密时使用的命令并指定新的密钥加密方法即可。
警告
- 如果您之前使用Azure 磁盘加密与 Microsoft Entra 应用,通过指定 Microsoft Entra 凭据来加密此 VM,则必须继续使用此选项。 尚不支持在已经使用Azure Disk Encryption和Microsoft Entra ID加密的VM上,再次在没有Microsoft Entra ID的情况下使用Azure Disk Encryption。
如果我最初并未使用密钥加密密钥 (KEK),该如何添加或删除 KEK?
若要添加密钥加密密钥,请再次调用 enable 命令,传递密钥加密密钥参数。 若要删除密钥加密密钥,请在没有密钥加密密钥参数的情况下再次调用 enable 命令。
我应该为我的密钥加密密钥 (KEK) 使用多大尺寸?
Windows Server 2022和Windows 11包括较新版本的 BitLocker,当前不适用于 RSA 2048 位密钥加密密钥。 在解决之前,请使用 RSA 3072 或 RSA 4096 位密钥,如支持的操作系统所述。
对于早期版本的 Windows,可以改用 RSA 2048 位密钥加密。
Azure Disk Encryption是否允许你自带密钥(BYOK)?
是的,您可以提供自己的密钥加密密钥。 这些密钥在Azure Key Vault中受到保护,这是用于Azure Disk Encryption的密钥存储。 有关密钥加密密钥支持方案的详细信息,请参阅 创建密钥保管库并配置 Azure Disk Encryption。
是否可以使用Azure创建的密钥加密密钥?
是的,您可以使用 Azure Key Vault 生成用于 Azure 磁盘加密的密钥加密密钥。 这些密钥在Azure Key Vault中受到保护,这是用于Azure Disk Encryption的密钥存储。 有关密钥加密密钥的详细信息,请参阅
是否可以使用本地密钥管理服务或 HSM 来保护加密密钥?
不能使用本地部署的密钥管理服务或 HSM 来保障加密密钥的安全通过 Azure 磁盘加密。 只能使用Azure Key Vault服务来保护加密密钥。 有关密钥加密密钥支持方案的详细信息,请参阅 创建密钥保管库并为 Azure Disk Encryption 配置密钥保管库。
配置Azure Disk Encryption的先决条件是什么?
Azure Disk Encryption有先决条件。 请参阅
使用Microsoft Entra应用(以前的版本)配置Azure Disk Encryption的先决条件是什么?
Azure Disk Encryption有先决条件。 请参阅包含 Microsoft Entra ID 内容的
使用Microsoft Entra应用(旧版)的Azure磁盘加密是否仍受支持?
是的。 仍支持使用 Microsoft Entra 应用的磁盘加密。 但是,加密新 VM 时,建议使用新方法,而不是使用 Microsoft Entra 应用进行加密。
是否可以在没有Microsoft Entra应用的情况下将使用 Microsoft Entra 应用加密的 VM 迁移到加密?
目前,使用 Microsoft Entra 应用加密的计算机,没有直接迁移路径到不使用 Microsoft Entra 应用的加密方式。 此外,没有一个不通过 Microsoft Entra 应用进行加密的直接路径可转到通过 AD 应用进行加密。
Azure Disk Encryption支持哪个版本的Azure PowerShell?
使用最新版本的 Azure PowerShell SDK 配置Azure Disk Encryption。 下载最新版本的 Azure PowerShell。 Azure Disk Encryption不支持 Azure SDK 版本 1.1.0。
磁盘“Bek Volume”或“/mnt/azure_bek_disk”是什么?
“Bek 卷”是一个本地数据卷,用于安全地存储加密的 Azure 虚拟机的加密密钥。
注意
请勿删除或编辑此磁盘中的任何内容。 请勿卸载磁盘,因为 IaaS VM 上的任何加密操作都需要有加密密钥才能执行。
Azure Disk Encryption使用哪种加密方法?
Azure Disk Encryption根据 Windows 版本选择 BitLocker 中的加密方法,如下所示:
| Windows版本 | 版本 | 加密方法 |
|---|---|---|
| Windows Server 2012、Windows 10 或更高版本 | >=1511 | 256 位 XTS-AES |
| Windows Server 2012、Windows 8、8.1、10 | < 1511 | 256 位 AES* |
| Windows Server 2008R2 | AES 256 位带扩散器 |
* Windows 2012 及更高版本中不支持具有漫射器的 AES 256 位。
若要确定Windows OS 版本,请在虚拟机中运行“winver”工具。
我可以备份和还原已加密的 VM 吗?
Azure Backup提供了一种机制,用于备份和还原同一订阅和区域中的加密 VM。 有关说明,请参阅
可以在何处提问或提供反馈?
可以在
后续步骤
本文档详细介绍了与Azure Disk Encryption相关的最常见问题。 有关此服务的详细信息,请参阅以下文章: