Windows VM’ler İçin Azure Disk Şifrelemesi
Azure Disk Şifrelemesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Azure sanal makinelerinin (VM’ler) işletim sistemi ve veri diskleri için toplu şifreleme sağlamak üzere Windows’un Bitlocker özelliğini kullanır ve disk şifreleme anahtarlarını ve sırlarını kontrol etmenize ve yönetmenize yardımcı olmak için Azure Key Vault ile entegredir.
Microsoft Defender for Cloud kullanıyorsanız, şifrelenmemiş sanal makineleriniz varsa uyarı alırsınız. Uyarılar Yüksek Önem Derecesi olarak gösterilir ve bu sanal makinelerin şifrelenmesi önerilir.
Desteklenen VM’ler
- Windows VM’leri çeşitli boyutlarda mevcuttur. Azure Disk Şifrelemesi, Temel, A serisi VM’lerde veya 2 GB’tan az belleğe sahip sanal makinelerde kullanılamaz.
- Azure Disk Şifrelemesi, premium depolamaya sahip VM’ler için de mevcuttur.
- Azure Disk Şifrelemesi, 2. Nesil VM’lerde ve Lsv2 serisi VM’lerde mevcut değildir.
- Windows client: Windows 8 ve sonrası
- Windows Server: Windows Server 2008 R2 ve sonrası
Azure Disk Şifrelemesini etkinleştirmek için VM’lerin aşağıdaki ağ uç noktası yapılandırma gereksinimlerini karşılaması gerekir:
- Key Vault’a bağlanacak bir token almak için Windows VM’in bir Azure Active Directory uç noktasına [login.microsoftonline.com] bağlanabilmesi gerekir.
- Şifreleme anahtarlarını key vault’a yazmak için Windows VM’in key vault enpoint’e bağlanabilmesi gerekir.
- Windows VM, Azure storage endpoint barındıran bir Azure depolama endpoint’e ve VHD dosyalarını barındıran bir Azure depolama hesabına bağlanabilmelidir.
- Güvenlik ilkeniz Azure VM’lerinden İnternet’e erişimi sınırlıyorsa, önceki URI’yi çözümleyebilir ve IP’lere giden bağlantıya izin vermek için belirli bir kural yapılandırabilirsiniz.
Azure Disk Şifreleme, Windows VM’leri için BitLocker harici anahtar koruyucuyu kullanır. Etki alanına katılmış sanal makineler için, TPM koruyucularını zorunlu kılan herhangi bir grup ilkesini zorlamayın.
Özel grup ilkesine sahip etki alanına katılmış sanal makinelerdeki BitLocker ilkesi aşağıdaki ayarı içermelidir:
BitLocker kurtarma bilgilerinin kullanıcı depolamasını yapılandır -> 256 bit kurtarma anahtarına izin ver. BitLocker için özel grup ilkesi ayarları uyumsuz olduğunda Azure Disk Şifrelemesi başarısız olur. Doğru ilke ayarına sahip olmayan makinelerde yeni ilkeyi uygulayın, yeni ilkeyi güncellemeye zorlayın (gpupdate.exe /force) ve ardından yeniden başlatma gerekebilir.
Etki alanı düzeyinde grup ilkesi, BitLocker tarafından kullanılan AES-CBC algoritmasını engellerse Azure Disk Şifrelemesi başarısız olur.
Azure Disk Şifreleme, disk şifreleme anahtarlarını ve gizli dizileri denetlemek ve yönetmek için bir Azure Key Vault gerektirir. Key Vault ve VM’leriniz aynı Azure bölgesinde ve abonelikte bulunmalıdır.