Questo articolo offre risposte alle domande frequenti su Crittografia dischi di Azure per le macchine virtuali Linux. Per altre informazioni su questo servizio, vedere Panoramica di Crittografia dischi di Azure.
Che cos'è Crittografia dischi di Azure per le macchine virtuali Linux?
Crittografia dischi di Azure per le macchine virtuali Linux usa la funzionalità dm-crypt di Linux per fornire la crittografia completa del disco del sistema operativo* e dei dischi dati. Fornisce inoltre la crittografia del disco temporaneo quando si usa la funzionalità EncryptFormatAll. Il contenuto passa crittografato dalla macchina virtuale al back-end di archiviazione con una chiave gestita dal cliente.
Dove si trova Crittografia dischi di Azure nella disponibilità generale (GA)?
Crittografia dischi di Azure per le macchine virtuali Linux è disponibile a livello generale in tutte le aree pubbliche di Azure.
Quali esperienze utente sono disponibili con Crittografia dischi di Azure?
La Crittografia dischi di Azure nella versione generale supporta i modelli di Azure Resource Manager, Azure PowerShell e l'interfaccia della riga di comando di Azure. Le diverse esperienze utente offrono flessibilità. Sono disponibili tre diverse opzioni per abilitare la crittografia del disco per le macchine virtuali. Per altre informazioni sull'esperienza utente e indicazioni dettagliate disponibili in Crittografia dischi di Azure, vedere Scenari di Crittografia dischi di Azure per Linux.
Quanto costa Crittografia dischi di Azure?
Non è previsto alcun addebito per la crittografia dei dischi delle macchine virtuali con Crittografia dischi di Azure, ma sono previsti addebiti associati all'uso di Azure Key Vault. Per altre informazioni sui costi di Azure Key Vault, vedere la pagina dei prezzi di Key Vault .
Come è possibile iniziare a usare Crittografia dischi di Azure?
Per iniziare, leggere la panoramica di Crittografia dischi di Azure.
Quali dimensioni e sistemi operativi delle macchine virtuali supportano Crittografia dischi di Azure?
L'articolo Panoramica di Crittografia dischi di Azure elenca le dimensioni delle macchine virtuali e i sistemi operativi delle stesse che supportano la Crittografia dischi di Azure.
È possibile crittografare sia i volumi di avvio che i volumi di dati con Crittografia dischi di Azure?
Sì, è possibile crittografare sia i volumi di avvio che i volumi di dati oppure crittografare il volume di dati senza dover prima crittografare il volume del sistema operativo.
Dopo aver crittografato il volume del sistema operativo, la disabilitazione della crittografia nel volume del sistema operativo non è supportata. Per le macchine virtuali Linux in un set di scalabilità, è possibile crittografare solo il volume di dati.
È possibile crittografare un volume smontato con Crittografia dischi di Azure?
No, Crittografia dischi di Azure crittografa solo i volumi montati.
Che cos'è la crittografia lato server di archiviazione?
La crittografia lato server per l'archiviazione crittografa i dischi gestiti di Azure in Azure Storage. I dischi gestiti vengono crittografati per impostazione predefinita con la crittografia lato server con una chiave gestita dalla piattaforma (a partire dal 10 giugno 2017). È possibile gestire la crittografia dei dischi gestiti con chiavi personalizzate specificando una chiave gestita dal cliente. Per ulteriori informazioni, vedere: Crittografia lato server dei dischi gestiti di Azure.
In che modo Crittografia dischi di Azure è diverso da altre soluzioni di crittografia dischi e quando è consigliabile usare ogni soluzione?
Come si aggiornano i segreti o le chiavi di crittografia?
Per aggiornare i segreti, è sufficiente chiamare lo stesso comando usato originariamente per abilitare la crittografia del disco, specificando un Key Vault diverso. Per ruotare la chiave di crittografia della chiave, chiamare lo stesso comando usato originariamente per abilitare la crittografia del disco, specificando la nuova crittografia della chiave.
Avviso
- Se in precedenza è stata usata Crittografia dischi di Azure con l'app Microsoft Entra specificando le credenziali di Microsoft Entra per crittografare questa macchina virtuale, è necessario continuare a usare questa opzione per crittografare la macchina virtuale. Non è possibile usare Crittografia dischi di Azure in questa macchina virtuale crittografata perché questo non è uno scenario supportato, ovvero il passaggio dall'applicazione Microsoft Entra per questa macchina virtuale crittografata non è ancora supportato.
Come si aggiunge o si rimuove una chiave di crittografia della chiave se non è stata usata in origine?
Per aggiungere una chiave di crittografia principale, eseguire nuovamente il comando enable passando il parametro della chiave di crittografia principale. Per rimuovere una chiave principale di crittografia, eseguire nuovamente il comando enable senza il parametro della chiave principale di crittografia.
La crittografia dischi di Azure consente di usare la propria chiave (BYOK)?
Sì, puoi fornire le tue chiavi di crittografia. Queste chiavi vengono protette in Azure Key Vault, ovvero l'archivio chiavi per Crittografia dischi di Azure. Per altre informazioni sugli scenari di supporto delle chiavi di crittografia, vedere Creazione e configurazione di un key vault per Azure Disk Encryption.
È possibile utilizzare una chiave di crittografia creata da Azure?
Sì, è possibile usare Azure Key Vault per generare una chiave di crittografia per l'encryption dei dischi di Azure. Queste chiavi vengono protette in Azure Key Vault, ovvero l'archivio chiavi per Crittografia dischi di Azure. Per ulteriori informazioni sulla chiave di crittografia principale, vedere Creazione e configurazione di un insieme di credenziali per la Crittografia Dischi di Azure.
È possibile usare un servizio di gestione delle chiavi locale o un modulo di protezione hardware per proteggere le chiavi di crittografia?
Non è possibile usare il servizio di gestione delle chiavi locale o il modulo di protezione hardware per proteggere le chiavi di crittografia con Crittografia dischi di Azure. È possibile usare il servizio Azure Key Vault solo per proteggere le chiavi di crittografia. Per altre informazioni sugli scenari di supporto della chiave di cifratura delle chiavi, vedere Creazione e configurazione di un Key Vault di Azure per la Crittografia dischi di Azure.
Quali sono i prerequisiti per configurare Crittografia dischi di Azure?
Esistono prerequisiti per Crittografia dischi di Azure. Vedere l'articolo Creare e configurare un insieme di credenziali per la crittografia dei dischi di Azure per creare un nuovo insieme di credenziali o configurarne uno esistente per consentire l'accesso alla crittografia dei dischi, abilitare la crittografia e proteggere segreti e chiavi. Per altre informazioni sugli scenari di supporto della chiave di crittografia principale, vedere Creazione e configurazione di un key vault per Crittografia dischi di Azure.
Quali sono i prerequisiti per configurare Crittografia dischi di Azure con un'app Microsoft Entra (versione precedente)?
Esistono prerequisiti per Crittografia dischi di Azure. Per informazioni su come creare un'applicazione Microsoft Entra, creare un nuovo insieme di credenziali delle chiavi oppure configurare un insieme di credenziali delle chiavi esistente per abilitare la crittografia e proteggere segreti e chiavi, consultare il contenuto di Crittografia dischi di Azure con Microsoft Entra ID. Per ulteriori informazioni sugli scenari di supporto della chiave di crittografia principale, vedere Creazione e configurazione di un insieme di credenziali per Crittografia dischi di Azure con Microsoft Entra ID.
È ancora supportata la crittografia dei dischi di Azure che usa un'app Microsoft Entra (versione precedente)?
Sì. La crittografia del disco con un'app Microsoft Entra è ancora supportata. Tuttavia, quando si crittografa nuove macchine virtuali, è consigliabile usare il nuovo metodo anziché crittografare con un'app Microsoft Entra.
È possibile eseguire la migrazione di macchine virtuali crittografate con un'app Microsoft Entra alla crittografia senza un'app Microsoft Entra?
Attualmente, non esiste un percorso di migrazione diretto per i computer crittografati con un'app Microsoft Entra per la crittografia senza un'app Microsoft Entra. Inoltre, non esiste un percorso diretto dalla crittografia senza un'app Microsoft Entra alla crittografia con un'app AD.
Quale versione di Azure PowerShell supporta Crittografia dischi di Azure?
Usare la versione più recente di Azure PowerShell SDK per configurare Crittografia dischi di Azure. Scaricare la versione più recente di Azure PowerShell. La crittografia dei dischi di Azure non è supportata da Azure SDK versione 1.1.0.
Annotazioni
L'estensione di anteprima della crittografia del disco Linux di Azure "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" è deprecata. Questa estensione è stata pubblicata per la versione di anteprima di Azure Disk Encryption. Non è consigliabile usare la versione di anteprima dell'estensione nella distribuzione di test o produzione.
Per scenari di distribuzione come Azure Resource Manager (ARM), in cui è necessario distribuire l'estensione di crittografia dischi di Azure per la macchina virtuale Linux per abilitare la crittografia nella macchina virtuale IaaS Linux, è necessario usare l'estensione di produzione di crittografia dischi di Azure supportata "Microsoft.Azure.Security.AzureDiskEncryptionForLinux".
È possibile applicare Crittografia dischi di Azure nell'immagine Linux personalizzata?
Non è possibile applicare Crittografia dischi di Azure nell'immagine Linux personalizzata. Sono supportate solo le immagini Linux della raccolta per le distribuzioni supportate menzionate in precedenza. Le immagini Linux personalizzate non sono attualmente supportate.
È possibile applicare gli aggiornamenti a una macchina virtuale Linux Red Hat che usa l'aggiornamento yum?
Sì, è possibile eseguire un aggiornamento yum in una macchina virtuale Red Hat Linux. Per altre informazioni, vedere Crittografia dischi di Azure in una rete isolata.
Qual è il flusso di lavoro consigliato di Crittografia dischi di Azure per Linux?
Il flusso di lavoro seguente è consigliato per ottenere i migliori risultati in Linux:
- Iniziare dall'immagine di galleria predefinita corrispondente alla distribuzione e alla versione del sistema operativo necessario.
- Eseguire il backup di tutte le unità montate che si desidera crittografare. Questo backup consente il ripristino in caso di errore, ad esempio se la macchina virtuale viene riavviata prima del completamento della crittografia.
- Crittografare (può richiedere diverse ore o persino giorni a seconda delle caratteristiche e delle dimensioni di qualsiasi disco dati collegato)
- Personalizzare e aggiungere software all'immagine in base alle esigenze.
Se questo flusso di lavoro non è possibile, l'uso della crittografia del servizio di archiviazione (SSE) a livello di account di archiviazione della piattaforma può essere un'alternativa alla crittografia completa del disco usando dm-crypt.
Qual è il disco "Volume Bek" o "/mnt/azure_bek_disk"?
Il "volume Bek" è un volume di dati locale che archivia in modo sicuro le chiavi di crittografia per le macchine virtuali di Azure crittografate.
Annotazioni
Non eliminare o modificare alcun contenuto in questo disco. Non smontare il disco perché la presenza della chiave di crittografia è necessaria per qualsiasi operazione di crittografia nella macchina virtuale IaaS.
Quale metodo di crittografia usa Crittografia dischi di Azure?
Crittografia dischi di Azure usa l'impostazione predefinita di decrittografia aes-xts-plain64 con una chiave master del volume a 256 bit.
Se si usa EncryptFormatAll e si specificano tutti i tipi di volume, verranno cancellati i dati nelle unità dati già crittografate?
No, i dati non verranno cancellati dalle unità dati già crittografate con Crittografia dischi di Azure. Analogamente al modo in cui EncryptFormatAll non ha ricrittografato l'unità del sistema operativo, non crittograferà nuovamente l'unità dati già crittografata. Per altre informazioni, vedere i criteri EncryptFormatAll.
Il file system XFS è supportato?
La crittografia dei dischi del sistema operativo XFS è supportata.
La crittografia dei dischi dati XFS è supportata solo quando viene usato il parametro EncryptFormatAll. Questa opzione riformatta il volume, cancellando qualsiasi dato esistente. Per altre informazioni, vedere i criteri EncryptFormatAll.
Il ridimensionamento della partizione del sistema operativo è supportato?
Il ridimensionamento di un disco del sistema operativo crittografato con Azure Disk Encryption non è supportato.
È possibile eseguire il backup e il ripristino di una macchina virtuale crittografata?
Backup di Azure offre un meccanismo per eseguire il backup e il ripristino di macchine virtuali crittografate all'interno della stessa sottoscrizione e area. Per istruzioni, vedere Eseguire il backup e il ripristino di macchine virtuali crittografate con Backup di Azure. Il ripristino di una macchina virtuale crittografata in un'area diversa non è attualmente supportato.
Dove posso andare per porre domande o inviare commenti e suggerimenti?
È possibile porre domande o fornire commenti e suggerimenti nella pagina domande di Microsoft Q&A per Crittografia dischi di Azure.
Passaggi successivi
In questo documento sono state fornite altre informazioni sulle domande più frequenti relative a Crittografia dischi di Azure. Per altre informazioni su questo servizio, vedere gli articoli seguenti: