Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es stehen mehrere Verschlüsselungstypen für Ihre verwalteten Datenträger zur Verfügung, einschließlich Azure Disk Encryption (ADE), serverseitiger Verschlüsselung (SSE) und Verschlüsselung auf dem Host.
Azure Disk Storage serverseitige Verschlüsselung (auch als Ruheverschlüsselung oder Azure Storage Verschlüsselung bezeichnet) ist immer aktiviert. Es verschlüsselt automatisch Daten, die auf von Azure verwalteten Datenträgern (Betriebssystem- und Datenträgern) gespeichert sind, wenn die Daten auf den Speicherclustern gespeichert werden. Wenn Sie ihn mit einem Datenträgerverschlüsselungssatz (DISK Encryption Set, DES) konfigurieren, unterstützt es auch vom Kunden verwaltete Schlüssel. Temporäre Datenträger oder Datenträgercaches werden nicht verschlüsselt. Ausführliche Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage.
Verschlüsselung auf Host ist eine Option für virtuelle Maschinen, die die serverseitige Verschlüsselung von Azure Disk Storage verbessert. Mit dieser Option wird sichergestellt, dass alle temporären Datenträger und Datenträgercaches sowohl im gespeicherten Zustand als auch bei der Übertragung zu den Speicherclustern verschlüsselt sind. Weitere Informationen finden Sie unter Verschlüsselung auf dem Host: End-to-End-Verschlüsselung für Ihre VM-Daten.
Die vertrauliche Festplattenverschlüsselung bindet Festplattenverschlüsselungsschlüssel an das TPM der virtuellen Maschine und macht den geschützten Festplatteninhalt nur für die VM zugänglich. Der TPM- und der VM-Gastzustand werden im attestierten Code stets verschlüsselt, wobei Schlüssel verwendet werden, die durch ein sicheres Protokoll bereitgestellt werden, das den Hypervisor und das Hostbetriebssystem umgeht. Die Verschlüsselung vertraulicher Betriebssystemdatenträger schützt den Betriebssystemdatenträger. Sie können die Verschlüsselung vertraulicher temporärer Datenträger auch über einen Opt-In-Prozess aktivieren. Sie können verschlüsselung auf host für andere Datenträger auf einem vertraulichen virtuellen Computer zusätzlich zur verschlüsselung vertraulicher Datenträger verwenden. Ausführliche Informationen finden Sie unter Vertrauliche VMs der DCasv5- und ECasv5-Serie.
Azure Disk Encryption unterstützt Sie beim Schutz Ihrer Daten gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation. ADE verschlüsselt das Betriebssystem und die Datenträger von virtuellen Azure-Computern (VMs) innerhalb Ihrer VMs mithilfe der DM-Crypt-Funktion von Linux oder der BitLocker-Funktion von Windows. ADE ist in Azure Key Vault integriert, um die Datenträgerverschlüsselungsschlüssel und geheimen Schlüssel zu steuern und zu verwalten, mit der Möglichkeit, mithilfe eines Schlüsselverschlüsselungsschlüssels (KEK) zu verschlüsseln. Ausführliche Informationen finden Sie unter Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für virtuelle Windows-Computer.
Wichtig
Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .
Verschlüsselung ist Teil eines mehrschichtigen Sicherheitsansatzes. Verwenden Sie sie mit anderen Empfehlungen, um virtuelle Computer und ihre Datenträger zu sichern. Ausführliche Informationen finden Sie unter Compute-Sicherheitsempfehlungen und Einschränken des Import-/Exportzugriffs auf verwaltete Datenträger.
Vergleich
In der folgenden Tabelle werden Disk Storage SSE, ADE, Verschlüsselung auf Host und vertrauliche Datenträgerverschlüsselung verglichen.
| Azure Disk Storage serverseitige Verschlüsselung | Verschlüsselung auf dem Host | Azure-Datenträgerverschlüsselung | Verschlüsselung vertraulicher Datenträger (nur für den Betriebssystemdatenträger) | |
|---|---|---|---|---|
| Verschlüsselung ruhender Daten (Betriebssystemdatenträger und Datenträger mit Daten) | ✅ | ✅ | ✅ | ✅ |
| Verschlüsselung temporärer Datenträger | ❌ | ✅ Nur mit plattformverwalteten Schlüsseln unterstützt | ✅ | ✅ Opt-In |
| Verschlüsselung von Caches | ❌ | ✅ | ✅ | ✅ |
| Zwischen Compute und Speicher verschlüsselte Datenflüsse | ❌ | ✅ | ✅ | ✅ |
| Kundenseitige Kontrolle von Schlüsseln | ✅ Bei der Konfiguration mit DES | ✅ Bei der Konfiguration mit DES | ✅ Bei der Konfiguration mit einem KEK | ✅ Bei der Konfiguration mit DES |
| HSM-Unterstützung | Azure Key Vault Premium und verwaltetes HSM | Azure Key Vault Premium und verwaltetes HSM | Azure Key Vault Premium | Azure Key Vault Premium und verwaltetes HSM |
| Verwendet nicht die CPU Ihres virtuellen Computers | ✅ | ✅ | ❌ | ❌ |
| Unterstützung benutzerdefinierter Images | ✅ | ✅ | ❌ Funktioniert nicht für benutzerdefinierte Linux-Images | ✅ |
| Erweiterter Schlüsselschutz | ❌ | ❌ | ❌ | ✅ |
| Datenträgerverschlüsselungsstatus von Microsoft Defender for Cloud* | Fehlerhaft | Gesund | Gesund | Nicht verfügbar |
Wichtig
Für die Verschlüsselung vertraulicher Datenträger hat Microsoft Defender for Cloud derzeit keine entsprechende Empfehlung.
* Microsoft Defender for Cloud enthält die folgenden Empfehlungen für Datenträgerverschlüsselung:
- Virtuelle Computer und Skalierungsgruppen für virtuelle Computer sollten verschlüsselungsfähig sein (erkennt nur Verschlüsselung am Host).
- Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln (erkennt nur Azure Disk Encryption).
- Windows virtuellen Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren (erkennt sowohl Azure Disk Encryption als auch EncryptionAtHost).
- Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren (erkennt sowohl Azure Disk Encryption als auch EncryptionAtHost).
Nächste Schritte
- Azure Disk Encryption für Linux-VMs
- Azure Disk Encryption für Windows-VMs
- Serverseitige Verschlüsselung von Azure Disk Storage
- Verschlüsselung auf dem Host
- Migrieren von Azure Disk Encryption zur Verschlüsselung auf dem Host
- Vertrauliche VMs der Serien DCasv5 und ECasv5
- Azure Verschlüsselungsübersicht