我想为我的 azure vm 实现端到端加密。根据文档 encryption at host
,是在主机上进行静态数据加密的解决方案。另一种选择是可能的Azure Disk Encryption
。
解决方案是互斥的:
无法在启用了主机加密的磁盘上启用 Azure 磁盘加密。
问题是这两种解决方案之间有什么相似之处和不同之处,以及使用其中一种而不是另一种的论点是什么。
我想为我的 azure vm 实现端到端加密。根据文档 encryption at host
,是在主机上进行静态数据加密的解决方案。另一种选择是可能的Azure Disk Encryption
。
解决方案是互斥的:
无法在启用了主机加密的磁盘上启用 Azure 磁盘加密。
问题是这两种解决方案之间有什么相似之处和不同之处,以及使用其中一种而不是另一种的论点是什么。
两种技术的操作存在显着差异。两者不能同时在相同的资源/VM 上使用。
Azure 磁盘加密:
简而言之,这是连接到 VM 的磁盘上的静态加密。操作系统和数据。它与 Windows 和 Linux 计算机上的 BitLocker 一起使用,并将加密密钥和机密存储在 Azure Key Vault 中。
对受支持的 VM SKU 也有限制。还有其他限制要审查。
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/disk-encryption-overview https://docs.microsoft.com/en-us/azure/virtual-machines/linux/disk -加密概述
主机加密:
加密开始并发生在主机 VM 本身处理的数据上。然后将加密的处理数据发送回存储位置——磁盘、表、blob——然后以加密格式存储。因此,在 VM 及其磁盘或其他存储对应物之间处理和共享的数据是加密的,包括传输中的数据。
https://docs.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal
请注意支持的 VM 大小列表。基于主机的加密确实存在大量限制。
由于在 VM 上进行了加密,因此预计会发生计算命中,并且在实施时应予以考虑。
您的订阅还需要通过 Azure 门户请求启用此功能。说明位于先决条件下提供的链接中。