我想为我的 azure vm 实施端到端加密。根据the documentationencryption at host 是在主机上静态数据加密的解决方案。另一个选项可能是Azure Disk Encryption。
解决方案是互斥的:
无法在启用了主机加密的磁盘上启用 Azure 磁盘加密。
问题是这两种解决方案之间有什么相似之处和不同之处,以及使用一种解决方案而不是另一种解决方案的论据是什么。
【问题讨论】:
标签: azure encryption azure-virtual-machine azure-managed-disk
两种技术的操作存在显着差异。两者不能同时在相同的资源/VM 上使用。
Azure 磁盘加密:
简而言之,这是连接到虚拟机的磁盘上的静态加密。操作系统和数据。它与 Windows 和 Linux 计算机上的 BitLocker 一起使用,并将加密密钥和机密存储在 Azure Key Vault 中。
对受支持的 VM SKU 也有限制。还有其他限制需要查看。
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/disk-encryption-overview https://docs.microsoft.com/en-us/azure/virtual-machines/linux/disk-encryption-overview
主机加密:
加密开始并发生在主机虚拟机本身处理的数据上。然后将加密的处理数据发送回存储位置——磁盘、表、blob——然后以加密格式存储。因此,VM 与其磁盘或其他存储对应物之间处理和共享的数据是加密的,包括传输中的数据。
https://docs.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal
请注意支持的 VM 大小列表。基于主机的加密仍然存在大量限制。
由于在 VM 上进行加密,预计会发生计算命中,在实施时应予以考虑。
您的订阅还需要通过 Azure 门户请求启用此功能。说明位于先决条件下提供的链接中。
【讨论】: