不了解 Azure 磁盘加密的问题
Don't understand an issue with Azure Disk Encryption
我的问题
我试图了解 VM 磁盘加密在 Azure VM 上的工作原理。
我配置了 Key Vault 和磁盘加密集
我做了什么 - 1
我使用磁盘 selecting 加密类型创建了一个 VM = 使用自定义托管密钥进行静态加密。
我 select 我的密钥加密设置。
门户通过在 VM/Disks 中显示 SSE 和 CMK 进行确认。
但是:
Get-AzVMDiskEncryptionStatus 表示 OS 卷和数据卷未加密。
我做了什么 - 2
我创建了另一个虚拟机,但是这次我去 VM/Disks/Additional Settings and select Disk to encrypt。
这次唯一的选择是 Key Vault,而不是磁盘加密集。
I select OS 和数据盘.
传送门说:
这一次,Get-AzVMDiskEncryptionStatus 说:
我的问题
- 这两种方法有什么区别?
- 为什么 Get-AzVMDiskEncryptionStatus return 如此出乎意料的结果?
回答您的问题:
- 有服务器端加密和Azure磁盘加密。您所做的第一个是服务器端加密,第二个是 Azure 磁盘加密。
大多数 Azure 托管磁盘都使用 Azure 存储加密进行加密,它使用服务器端加密 (SSE) 来保护您的数据。默认情况下,Azure 存储加密会自动加密存储在 Azure 托管磁盘(OS 和数据磁盘)上的静态数据,并将其持久保存到云中。 但是,在主机上启用了加密的磁盘不会通过 Azure 存储进行加密。当您在主机上启用加密时,该加密会在 VM 主机本身上启动,即您的 VM 所在的 Azure 服务器分配给。在主机上启用加密后,所有这些数据都会在静态时加密,并加密后流向存储服务,并在其中持久保存。本质上,主机上的加密从端到端加密您的数据。
Azure 磁盘加密利用 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能] 使用客户管理的密钥在 来宾 VM 中加密托管磁盘。使用客户管理的密钥的服务器端加密改进了 ADE,使您能够通过加密存储服务中的数据为您的 VM 使用任何 OS 类型和图像。
有关详细信息,请阅读 here。
- 这是意料之中的。 Get-AzureRmVMDiskEncryptionStatus cmdlet 获取虚拟机的加密状态。它显示 操作系统和数据卷 的加密状态。这不会获得服务器端加密状态。
我的问题
我试图了解 VM 磁盘加密在 Azure VM 上的工作原理。 我配置了 Key Vault 和磁盘加密集
我做了什么 - 1
我使用磁盘 selecting 加密类型创建了一个 VM = 使用自定义托管密钥进行静态加密。
我 select 我的密钥加密设置。
门户通过在 VM/Disks 中显示 SSE 和 CMK 进行确认。
但是:
Get-AzVMDiskEncryptionStatus 表示 OS 卷和数据卷未加密。
我做了什么 - 2
我创建了另一个虚拟机,但是这次我去 VM/Disks/Additional Settings and select Disk to encrypt。 这次唯一的选择是 Key Vault,而不是磁盘加密集。
I select OS 和数据盘.
传送门说:
这一次,Get-AzVMDiskEncryptionStatus 说:
我的问题
- 这两种方法有什么区别?
- 为什么 Get-AzVMDiskEncryptionStatus return 如此出乎意料的结果?
回答您的问题:
- 有服务器端加密和Azure磁盘加密。您所做的第一个是服务器端加密,第二个是 Azure 磁盘加密。
大多数 Azure 托管磁盘都使用 Azure 存储加密进行加密,它使用服务器端加密 (SSE) 来保护您的数据。默认情况下,Azure 存储加密会自动加密存储在 Azure 托管磁盘(OS 和数据磁盘)上的静态数据,并将其持久保存到云中。 但是,在主机上启用了加密的磁盘不会通过 Azure 存储进行加密。当您在主机上启用加密时,该加密会在 VM 主机本身上启动,即您的 VM 所在的 Azure 服务器分配给。在主机上启用加密后,所有这些数据都会在静态时加密,并加密后流向存储服务,并在其中持久保存。本质上,主机上的加密从端到端加密您的数据。
Azure 磁盘加密利用 Linux 的 DM-Crypt 功能或 Windows 的 BitLocker 功能] 使用客户管理的密钥在 来宾 VM 中加密托管磁盘。使用客户管理的密钥的服务器端加密改进了 ADE,使您能够通过加密存储服务中的数据为您的 VM 使用任何 OS 类型和图像。
有关详细信息,请阅读 here。
- 这是意料之中的。 Get-AzureRmVMDiskEncryptionStatus cmdlet 获取虚拟机的加密状态。它显示 操作系统和数据卷 的加密状态。这不会获得服务器端加密状态。