我想为我的 azure 虚拟机实现端到端加密。根据文档,
encryption at hostAzure Disk Encryption解决方案是互斥的:
无法在已启用主机加密的磁盘上启用 Azure 磁盘加密。
问题是两种解决方案之间有何异同,以及使用其中一种而不是另一种的论据是什么。
两种技术的操作存在显着差异。两者不能在同一资源/虚拟机上同时使用。
Azure 磁盘加密:
简而言之,这是连接到虚拟机的磁盘上的静态加密。操作系统和数据。它与 Windows 和 Linux 计算机上的 BitLocker 配合使用,并将加密密钥和机密存储在 Azure Key Vault 中。
支持的 VM SKU 也有限制。还有额外的限制需要审核。
https://learn.microsoft.com/en-us/azure/virtual-machines/windows/disk-encryption-overview https://learn.microsoft.com/en-us/azure/virtual-machines/linux/disk-encryption-overview
主机加密:
加密开始并发生在主机虚拟机本身处理的数据上。然后,加密处理后的数据被发送回存储位置(磁盘、表、blob),然后以其加密格式存储。因此,在虚拟机及其磁盘或其他存储对应项之间处理和共享的数据(包括传输中的数据)都是加密的。
https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal
注意支持的虚拟机大小列表。基于主机的加密仍然存在很大的限制。
您的订阅还需要通过 Azure 门户请求来启用此功能。说明位于先决条件下提供的链接中。
这里有很好的比较: https://learn.microsoft.com/en-us/azure/virtual-machines/disk-encryption-overview
Azure 磁盘存储服务器端加密(也称为静态加密或 Azure 存储加密)始终处于启用状态,并在保留在存储群集上时自动加密存储在 Azure 托管磁盘(操作系统和数据磁盘)上的数据。配置磁盘加密集 (DES) 后,它还支持客户管理的密钥。它不会加密临时磁盘或磁盘缓存。有关完整详细信息,请参阅 Azure 磁盘存储的服务器端加密。
主机加密是一个虚拟机选项,可增强 Azure 磁盘存储服务器端加密,以确保所有临时磁盘和磁盘缓存在静态时进行加密,并在流向存储群集时进行加密。有关完整详细信息,请参阅主机加密 - VM 数据的端到端加密。
Azure 磁盘加密有助于保护和保护您的数据,以满足您组织的安全性和合规性承诺。 ADE 使用 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能对 VM 内的 Azure 虚拟机 (VM) 的操作系统和数据磁盘进行加密。 ADE 与 Azure Key Vault 集成,可帮助你控制和管理磁盘加密密钥和机密,并可选择使用密钥加密密钥 (KEK) 进行加密。有关完整详细信息,请参阅适用于 Linux VM 的 Azure 磁盘加密或适用于 Windows VM 的 Azure 磁盘加密。
机密磁盘加密将磁盘加密密钥绑定到虚拟机的 TPM,并使受保护的磁盘内容只能由虚拟机访问。 TPM 和 VM 来宾状态始终使用绕过虚拟机管理程序和主机操作系统的安全协议发布的密钥以经过验证的代码进行加密。目前仅适用于操作系统磁盘。除了机密磁盘加密之外,主机加密还可用于机密 VM 上的其他磁盘。有关完整详细信息,请参阅 DCasv5 和 ECasv5 系列机密虚拟机。