Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger

Es stehen mehrere Verschlüsselungstypen für Ihre verwalteten Datenträger zur Verfügung, einschließlich Azure Disk Encryption (ADE), serverseitiger Verschlüsselung (SSE) und Verschlüsselung auf dem Host.

  • Azure Disk Storage serverseitige Verschlüsselung (auch als Ruheverschlüsselung oder Azure Storage Verschlüsselung bezeichnet) ist immer aktiviert. Es verschlüsselt automatisch Daten, die auf von Azure verwalteten Datenträgern (Betriebssystem- und Datenträgern) gespeichert sind, wenn die Daten auf den Speicherclustern gespeichert werden. Wenn Sie ihn mit einem Datenträgerverschlüsselungssatz (DISK Encryption Set, DES) konfigurieren, unterstützt es auch vom Kunden verwaltete Schlüssel. Temporäre Datenträger oder Datenträgercaches werden nicht verschlüsselt. Ausführliche Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage.

  • Verschlüsselung auf Host ist eine Option für virtuelle Maschinen, die die serverseitige Verschlüsselung von Azure Disk Storage verbessert. Mit dieser Option wird sichergestellt, dass alle temporären Datenträger und Datenträgercaches sowohl im gespeicherten Zustand als auch bei der Übertragung zu den Speicherclustern verschlüsselt sind. Weitere Informationen finden Sie unter Verschlüsselung auf dem Host: End-to-End-Verschlüsselung für Ihre VM-Daten.

  • Die vertrauliche Festplattenverschlüsselung bindet Festplattenverschlüsselungsschlüssel an das TPM der virtuellen Maschine und macht den geschützten Festplatteninhalt nur für die VM zugänglich. Der TPM- und der VM-Gastzustand werden im attestierten Code stets verschlüsselt, wobei Schlüssel verwendet werden, die durch ein sicheres Protokoll bereitgestellt werden, das den Hypervisor und das Hostbetriebssystem umgeht. Die Verschlüsselung vertraulicher Betriebssystemdatenträger schützt den Betriebssystemdatenträger. Sie können die Verschlüsselung vertraulicher temporärer Datenträger auch über einen Opt-In-Prozess aktivieren. Sie können verschlüsselung auf host für andere Datenträger auf einem vertraulichen virtuellen Computer zusätzlich zur verschlüsselung vertraulicher Datenträger verwenden. Ausführliche Informationen finden Sie unter Vertrauliche VMs der DCasv5- und ECasv5-Serie.

  • Azure Disk Encryption unterstützt Sie beim Schutz Ihrer Daten gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation. ADE verschlüsselt das Betriebssystem und die Datenträger von virtuellen Azure-Computern (VMs) innerhalb Ihrer VMs mithilfe der DM-Crypt-Funktion von Linux oder der BitLocker-Funktion von Windows. ADE ist in Azure Key Vault integriert, um die Datenträgerverschlüsselungsschlüssel und geheimen Schlüssel zu steuern und zu verwalten, mit der Möglichkeit, mithilfe eines Schlüsselverschlüsselungsschlüssels (KEK) zu verschlüsseln. Ausführliche Informationen finden Sie unter Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für virtuelle Windows-Computer.

    Wichtig

    Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.

    Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .

Verschlüsselung ist Teil eines mehrschichtigen Sicherheitsansatzes. Verwenden Sie sie mit anderen Empfehlungen, um virtuelle Computer und ihre Datenträger zu sichern. Ausführliche Informationen finden Sie unter Compute-Sicherheitsempfehlungen und Einschränken des Import-/Exportzugriffs auf verwaltete Datenträger.

Vergleich

In der folgenden Tabelle werden Disk Storage SSE, ADE, Verschlüsselung auf Host und vertrauliche Datenträgerverschlüsselung verglichen.

  Azure Disk Storage serverseitige Verschlüsselung Verschlüsselung auf dem Host Azure-Datenträgerverschlüsselung Verschlüsselung vertraulicher Datenträger (nur für den Betriebssystemdatenträger)
Verschlüsselung ruhender Daten (Betriebssystemdatenträger und Datenträger mit Daten)
Verschlüsselung temporärer Datenträger ✅ Nur mit plattformverwalteten Schlüsseln unterstützt Opt-In
Verschlüsselung von Caches
Zwischen Compute und Speicher verschlüsselte Datenflüsse
Kundenseitige Kontrolle von Schlüsseln ✅ Bei der Konfiguration mit DES ✅ Bei der Konfiguration mit DES ✅ Bei der Konfiguration mit einem KEK ✅ Bei der Konfiguration mit DES
HSM-Unterstützung Azure Key Vault Premium und verwaltetes HSM Azure Key Vault Premium und verwaltetes HSM Azure Key Vault Premium Azure Key Vault Premium und verwaltetes HSM
Verwendet nicht die CPU Ihres virtuellen Computers
Unterstützung benutzerdefinierter Images ❌ Funktioniert nicht für benutzerdefinierte Linux-Images
Erweiterter Schlüsselschutz
Datenträgerverschlüsselungsstatus von Microsoft Defender for Cloud* Fehlerhaft Gesund Gesund Nicht verfügbar

Wichtig

Für die Verschlüsselung vertraulicher Datenträger hat Microsoft Defender for Cloud derzeit keine entsprechende Empfehlung.

* Microsoft Defender for Cloud enthält die folgenden Empfehlungen für Datenträgerverschlüsselung:

Nächste Schritte