Azure Managed Disk Şifrelemesi için Kendi Anahtarlarınızı kullanın!
Microsoft yakın zamanda yapmıl olduğu bir duyuru ile Azure Yönetilen Diskler için müşteri tarafından yönetilen anahtarlarla (CMK) sunucu tarafı şifreleme (SSE) ön izlemesini kullanıma açtı. Azure müşterileri, varsayılan olarak etkinleştirilmiş Azure Yönetilen Diskler için platform tarafından yönetilen anahtarlarla (PMK) sunucu tarafı şifrelemesinden zaten yararlanmaktadır. Müşteriler ayrıca guest sanal makinedeki müşteri tarafından yönetilen anahtarlarla Yönetilen Diskleri şifrelemek için Windows’un BitLocker özelliğinden ve Linux’un DM-Crypt özelliğinden yararlanan Azure disk şifrelemesinden (ADE) yararlanır.
Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifreleme, regülasyon gereksinimlerinizi karşılamak için şifreleme anahtarlarının kontrolünü sağlayarak platform tarafından yönetilen anahtarlarda iyileştirme yapar. Depolama hizmetindeki verileri şifreleyerek sanal makineleriniz için herhangi bir işletim sistemi türünü ve görüntüsünü kullanmanıza olanak sağlayarak Azure disk şifrelemesini geliştirir. Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi, donanım güvenlik modülleri (HSM’ler) tarafından desteklenen RSA şifreleme anahtarları için yüksek düzeyde kullanılabilir ve ölçeklenebilir, güvenli depolama sağlayan Azure Anahtar Kasası (AKV) ile entegredir. RSA anahtarlarınızı Azure Kay Vault’a alabilir veya Azure Ky Vault’ta yeni RSA anahtarları oluşturabilirsiniz.
Azure Depolama, şifreleme ve şifre çözmeyi zarf şifreleme kullanarak tamamen şeffaf bir şekilde işler. Verileri, Azure Key Vault’ta depolanan anahtarlarınız kullanılarak korunan Gelişmiş Şifreleme Standardı (AES) 256 tabanlı veri şifreleme anahtarı kullanarak şifreler. Anahtarlarınız üzerinde tam denetime sahip olursunuz ve Azure Yönetilen Diskler, Azure Key Vault’taki anahtarlara erişmek için Azure Active Directory’nizde sistem tarafından atanan yönetilen kimliği kullanır. Azure Key Vault’ta gerekli izinlere sahip bir kullanıcının, Azure Yönetilen Disklerin anahtarlara erişebilmesi için önce izin vermesi gerekir. Azure Yönetilen Disklerin anahtarlarınızı devre dışı bırakarak veya anahtarlarınız için erişim denetimlerini iptal ederek anahtarlarınıza erişmesini engelleyebilirsiniz. Ayrıca, anahtarlarınıza yalnızca Azure Yönetilen Disklerin veya diğer güvenilir Azure hizmetlerinin eriştiğinden emin olmak için Azure Key Vault izlemesi yoluyla anahtar kullanımını izleyebilirsiniz.
Azure Yönetilen Diskler için müşteri tarafından yönetilen anahtarları etkinleştirmek üzere, önce müşteri tarafından yönetilen bir anahtarı temsil eden DiskEncryptionSet adlı yeni bir kaynak türünün bir örneğini oluşturmanız gerekir. Müşteri tarafından yönetilen anahtarlarla şifrelemek için disklerinizi, anlık görüntülerinizi ve görüntülerinizi bir DiskEncryptionSet ile ilişkilendirmeniz gerekir. Aynı DiskEncryptionSet ile ilişkilendirilebilecek kaynak sayısı konusunda herhangi bir kısıtlama yoktur.
Kullanılabilirlik
Sunucu tarafında şifreleme, müşteri tarafından yönetilen anahtarlar Standart HDD, Standart SSD ve Premium SSD Yönetilen Diskler için kullanılabilir. Artık Batı Orta ABD bölgesinde Azure Compute Rest API 2019-07-01 sürümünü kullanarak aşağıdaki işlemleri gerçekleştirebilirsiniz:
Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesiyle şifrelenmiş OS diski bulunan bir Azure Marketi görüntüsünden sanal makine oluşturun.
Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesiyle şifrelenmiş özel bir görüntü oluşturun.
Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesiyle şifrelenmiş OS diski ile özel bir görüntüden sanal makine oluşturun.
Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesiyle şifrelenmiş veri diskleri oluşturun.
Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesiyle şifrelenmiş anlık görüntüler oluşturun.