1

我想为我的 azure vm 实现端到端加密。根据文档 encryption at host,是在主机上进行静态数据加密的解决方案。另一种选择是可能的Azure Disk Encryption

解决方案是互斥的:

无法在启用了主机加密的磁盘上启用 Azure 磁盘加密。

问题是这两种解决方案之间有什么相似之处和不同之处,以及使用其中一种而不是另一种的论点是什么。

4

1 回答 1

0

两种技术的操作存在显着差异。两者不能同时在相同的资源/VM 上使用。

Azure 磁盘加密:

简而言之,这是连接到 VM 的磁盘上的静态加密。操作系统和数据。它与 Windows 和 Linux 计算机上的 BitLocker 一起使用,并将加密密钥和机密存储在 Azure Key Vault 中。

对受支持的 VM SKU 也有限制。还有其他限制要审查。

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/disk-encryption-overview https://docs.microsoft.com/en-us/azure/virtual-machines/linux/disk -加密概述

主机加密:

加密开始并发生在主机 VM 本身处理的数据上。然后将加密的处理数据发送回存储位置——磁盘、表、blob——然后以加密格式存储。因此,在 VM 及其磁盘或其他存储对应物之间处理和共享的数据是加密的,包括传输中的数据。

https://docs.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal

请注意支持的 VM 大小列表。基于主机的加密确实存在大量限制。

由于在 VM 上进行了加密,因此预计会发生计算命中,并且在实施时应予以考虑。

您的订阅还需要通过 Azure 门户请求启用此功能。说明位于先决条件下提供的链接中。

于 2021-09-21T16:55:40.933 回答