Azure: шифрование дисков виртуальных машин

Довольно частный вопросов заказчиков об облачном сервисе Azure Iaas: можно ли зашифровать диски виртуальных машин и гарантировать что они всегда были зашифрованы? Ответ: Да. Служба Azure Storage Service Encryption (SSE) позволяет настроить автоматическое шифрование данных, которые передаются учетной записи хранения и расшифровать их при обратном получении. Тем самым пользователи Azure будут защищены от угрозы компрометации данных при несанкционированном доступе к дискам ВМ.

Поддерживается шифрование данных с помощью алгоритма AES с длиной ключа 256 бит, а сам процесс шифрования и управления ключами полностью прозрачен для пользователя.

Основные особенности шифрования Storage Service Encryption в Azure

  1. SSE поддерживается только для учетных записей хранения типа Resource Manager
  2. Можно зашифровать только новые данные (имеющиеся данные зашифровать нельзя)
  3. SSE поддерживается как для хранилищ Standard так и Premium
  4. Ключи шифрования управляются MSFT. В ближайших релизах планируется добавить возможность управления ключами и добавления собственных ключей пользователями

Чтобы включить шифрование дисков – достаточно просто включить опцию Storage Service Encryption в настройках новой учетной записи хранения.

Включить Storage Service Encryption

Если нужно включить шифрование для имеющейся учетной записи хранения, откройте ее настройки и в разделе Encryption включите опцию Storage Service Encryption.

Включить шфирование дисков в Azure для имеющегося аккаунта хранения

Если нужно зашифровать имеющиеся данные – единственный способ сделать это – перенести их на новый аккаунт хранения, и после включения шифрования вернуть обратно. В процесс записи данные будут зашифрованы.

Опубликовано в Azure

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *