Довольно частный вопросов заказчиков об облачном сервисе Azure Iaas: можно ли зашифровать диски виртуальных машин и гарантировать что они всегда были зашифрованы? Ответ: Да. Служба Azure Storage Service Encryption (SSE) позволяет настроить автоматическое шифрование данных, которые передаются учетной записи хранения и расшифровать их при обратном получении. Тем самым пользователи Azure будут защищены от угрозы компрометации данных при несанкционированном доступе к дискам ВМ.
Поддерживается шифрование данных с помощью алгоритма AES с длиной ключа 256 бит, а сам процесс шифрования и управления ключами полностью прозрачен для пользователя.
Основные особенности шифрования Storage Service Encryption в Azure
- SSE поддерживается только для учетных записей хранения типа Resource Manager
- Можно зашифровать только новые данные (имеющиеся данные зашифровать нельзя)
- SSE поддерживается как для хранилищ Standard так и Premium
- Ключи шифрования управляются MSFT. В ближайших релизах планируется добавить возможность управления ключами и добавления собственных ключей пользователями
Чтобы включить шифрование дисков – достаточно просто включить опцию Storage Service Encryption в настройках новой учетной записи хранения.
Если нужно включить шифрование для имеющейся учетной записи хранения, откройте ее настройки и в разделе Encryption включите опцию Storage Service Encryption.
Если нужно зашифровать имеющиеся данные – единственный способ сделать это – перенести их на новый аккаунт хранения, и после включения шифрования вернуть обратно. В процесс записи данные будут зашифрованы.
