Condividi tramite

Crittografare i dischi con chiavi gestite dal cliente in Azure DevTest Labs

Questo articolo illustra come un proprietario del lab può configurare la crittografia con una chiave gestita dal cliente.

La crittografia lato server (SSE) protegge i dati e consente di soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. SSE crittografa automaticamente i dati archiviati in dischi gestiti in Azure (sistema operativo e dischi dati) inattivi per impostazione predefinita quando vengono salvati in modo permanente nel cloud. Per altre informazioni sulla crittografia dei dischi in Azure, vedere Crittografia lato server.

In Azure DevTest Labs tutti i dischi del sistema operativo e i dischi dati creati in un lab vengono crittografati tramite chiavi gestite dalla piattaforma. Tuttavia, in qualità di proprietario del lab, è possibile scegliere di gestire la crittografia dei dischi delle macchine virtuali del lab usando le proprie chiavi. Se si sceglie di gestire la crittografia usando chiavi personalizzate, è possibile specificare una chiave gestita dal cliente da usare per crittografare i dati nei dischi lab. Per ulteriori informazioni sulla crittografia del servizio di archiviazione (SSE) con chiavi gestite dal cliente e su altri tipi di crittografia del disco gestito, vedi Chiavi gestite dal cliente. Vedere anche le restrizioni relative all'uso delle chiavi gestite dal cliente.

Note

L'impostazione di crittografia del disco si applica ai dischi appena creati nel lab. Se si modifica il set di crittografia del disco, i dischi meno recenti nel lab continuano a essere crittografati con il set di crittografia del disco precedente.

Prerequisiti

  • Se non si dispone di un set di crittografia del disco, completare la procedura descritta in questo articolo per configurare un Key Vault e un set di crittografia del disco. Si notino i requisiti seguenti per il set di crittografia dischi:

    • Il set di crittografia dischi deve trovarsi nella stessa area e nella stessa sottoscrizione del lab.
    • Il proprietario del lab deve avere almeno l'accesso a livello di lettore al set di crittografia del disco che verrà usato per crittografare i dischi lab.

  • Per i lab creati prima del 1° agosto 2020, il proprietario del lab deve assicurarsi che l'identità assegnata dal sistema lab sia abilitata. A tale scopo, il proprietario del lab può passare al lab, selezionare Configurazione e criteri, selezionare Identità nel menu a sinistra, modificare lo stato dell'identità assegnata dal sistema su e quindi selezionare Salva. Per i lab creati dopo il 1° agosto 2020, l'identità assegnata dal sistema è abilitata per impostazione predefinita.

    Screenshot che mostra i passaggi per abilitare l'identità assegnata dal sistema.

  • Affinché il lab gestisca la crittografia per tutti i dischi del lab, il proprietario del lab deve concedere in modo esplicito il ruolo di lettore identità assegnata dal sistema del lab nel set di crittografia dischi e il ruolo collaboratore macchina virtuale nella sottoscrizione di Azure sottostante. Il proprietario del lab può eseguire questa operazione completando i passaggi seguenti:

    1. Assicurati di essere un membro del ruolo di Amministratore dell’accesso utente a livello di sottoscrizione di Azure, in modo da poter gestire l'accesso degli utenti alle risorse di Azure.

    2. Nella pagina Set di crittografia del disco, assegnare almeno il ruolo di Lettore al laboratorio per cui verrà utilizzato il set di crittografia del disco.

      Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

    3. Passare alla pagina Sottoscrizione nel portale di Azure.

    4. Assegnare il ruolo di Collaboratore della macchina virtuale al laboratorio (identità assegnata dal sistema per il laboratorio).

Crittografare i dischi del sistema operativo del lab con una chiave gestita dal cliente

  1. Nella pagina di panoramica del lab nel portale di Azure selezionare Configurazione e criteri nel riquadro sinistro.

  2. Nel pannello sinistro della pagina Configurazione e criteri, selezionare Dischi (Anteprima) nella sezione Crittografia. Per impostazione predefinita, il tipo di crittografia è impostato su Crittografia dei dati inattivi con una chiave gestita dalla piattaforma.

    Screenshot che mostra il pannello Dischi in Configurazioni e criteri.

  3. Nella casella Tipo di crittografia, selezionare Crittografia a riposo con una chiave gestita dal cliente.

  4. Nella casella Set di crittografia dischi selezionare il set di crittografia del disco creato in precedenza. È lo stesso set di crittografia dischi a cui può accedere l'identità assegnata dal sistema del lab.

  5. Selezionare Salva nella parte superiore del riquadro.

    Screenshot che mostra i passaggi da seguire in Configurazione e politiche.

  6. Viene visualizzata una finestra di messaggio con il messaggio seguente: questa impostazione verrà applicata ai computer appena creati nel lab. Il disco del sistema operativo precedente rimarrà crittografato con il vecchio set di crittografia del disco. Seleziona OK.

    Dopo questa configurazione, i dischi lab vengono crittografati con la chiave gestita dal cliente fornita nel set di crittografia del disco.

Verificare che i dischi siano crittografati

  1. Accedere a una macchina virtuale di laboratorio che hai creato dopo aver abilitato la crittografia del disco con una chiave gestita dal cliente nel laboratorio.

    Screenshot che mostra una macchina virtuale con crittografia del disco abilitata.

  2. Selezionare il gruppo di risorse della macchina virtuale e quindi selezionare il disco del sistema operativo.

    Screenshot che mostra la macchina virtuale nel relativo gruppo di risorse.

  3. Nel riquadro sinistro, in Impostazioni, selezionare Crittografia. Verificare che la crittografia sia impostata sulla chiave gestita dal cliente con il set di crittografia dischi selezionato.

    Screenshot che mostra il tipo di crittografia della macchina virtuale.

Contenuti correlati