Поделиться через

Настройка ключей, управляемых клиентом, для шифрования томов Azure NetApp Files

Управляемые клиентом ключи для шифрования томов Azure NetApp Files позволяют использовать собственные ключи, а не ключ, управляемый платформой при создании нового тома. С помощью ключей, управляемых клиентом, можно полностью управлять связью между жизненным циклом ключа, разрешениями на использование ключей и операциями аудита с ключами.

На следующей схеме показано, как управляемые клиентом ключи работают с Azure NetApp Files:

Концептуальная схема ключей, управляемых клиентом.

  1. Azure NetApp Files предоставляет разрешения на ключи шифрования управляемой идентичности. Управляемое удостоверение — это управляемое удостоверение, назначаемое пользователем, которое вы создаете и управляете или назначаемое системой управляемое удостоверение, связанное с учетной записью NetApp.

  2. Вы настраиваете шифрование с помощью ключа, управляемого клиентом, для учетной записи NetApp.

  3. Вы используете управляемое удостоверение, которому администратор Azure Key Vault предоставил разрешения на шаге 1 для проверки подлинности доступа к Azure Key Vault с помощью идентификатора Microsoft Entra.

  4. Azure NetApp Files упаковывает ключ шифрования учетной записи с помощью ключа, управляемого клиентом, в Azure Key Vault.

    Управляемые клиентом ключи не влияют на производительность Azure NetApp Files. Единственное отличие от ключей, управляемых платформой, заключается в том, как управляется ключ.

  5. Для операций чтения и записи Azure NetApp Files отправляет запросы в Azure Key Vault, чтобы расшифровать ключ шифрования учетной записи для выполнения операций шифрования и расшифровки.

Ключи, управляемые клиентами для разных арендаторов, доступны во всех поддерживаемых регионах Azure NetApp Files.

Рекомендации

  • Чтобы создать том с помощью ключей, управляемых клиентом, необходимо выбрать стандартные сетевые функции. Вы не можете использовать тома с ключами, управляемыми клиентом, с томами, настроенными с использованием базовых сетевых функций. Следуйте инструкциям, чтобы задать параметр "Сетевые функции " на странице создания тома.
  • Для повышения безопасности можно выбрать параметр "Отключить общедоступный доступ " в параметрах сети хранилища ключей. При выборе этого параметра необходимо также выбрать разрешить доверенным службам Майкрософт обойти этот брандмауэр, чтобы разрешить службе Azure NetApp Files доступ к ключу шифрования.
  • Ключи, управляемые клиентом, поддерживают автоматическое продление сертификата управляемого удостоверения системы (MSI). Если сертификат действителен, его не нужно обновлять вручную.
  • Если Azure NetApp Files не удается создать том ключа, управляемый клиентом, отображаются сообщения об ошибках. Дополнительные сведения см. в разделе "Сообщения об ошибках" и "Устранение неполадок".
  • Не вносите никаких изменений в базовое хранилище ключей Azure или частную конечную точку Azure после создания тома ключей, управляемых клиентом. Внесение изменений может сделать тома недоступными. Если необходимо внести изменения, ознакомьтесь с обновлением IP-адреса частной конечной точки для ключей, управляемых клиентом.
  • Azure NetApp Files поддерживает возможность перехода существующих томов из управляемых платформой ключей (PMK) в ключи, управляемые клиентом(CMK), без миграции данных. Это обеспечивает гибкость жизненного цикла ключа шифрования (продление, смена) и дополнительную безопасность для регулируемых отраслевых требований.
  • Если служба Azure Key Vault становится недоступной, Azure NetApp Files теряет доступ к ключам шифрования и возможность читать или записывать данные в тома, использующие ключи, управляемые клиентом. Чтобы получить к затронутым томам доступ и вручную восстановить их, создайте запрос в службу поддержки.
  • Azure NetApp Files поддерживает управляемые клиентом ключи на томах репликации исходных данных и данных с межрегиональными или межзональными отношениями репликации.
  • Применение групп безопасности сети Azure (NSG) на подсети частного соединения для Azure Key Vault поддерживается для управляемых клиентами ключей Azure NetApp Files. Группы безопасности сети (NSG) не влияют на подключение к частным ссылкам, если политика сети для частной конечной точки включена на подсети.
  • Операция упаковки или распаковки не поддерживается. Управляемые клиентом ключи используют шифрование и расшифровку. Дополнительные сведения см. в разделе "Алгоритмы RSA".

Требования

Перед созданием вашего первого тома данных с ключом, управляемым клиентом, необходимо выполнить следующую настройку:

  • Azure Key Vault, содержащий по крайней мере один ключ.
    • В хранилище ключей должны быть включены мягкое удаление и защита от очистки.
    • Ключ должен иметь тип RSA.
  • Хранилище ключей должно иметь частную конечную точку Azure.
    • Частная конечная точка должна находиться в другой подсети, не той, что делегирована Azure NetApp Files. Подсеть должна находиться в той же виртуальной сети, что и та, которой делегировано использование Azure NetApp.

Дополнительные сведения о Azure Key Vault и частной конечной точке Azure см. в следующем разделе:

Настройка учетной записи NetApp для использования ключей, управляемых клиентом

  1. На портале Azure и в разделе Azure NetApp Files выберите "Шифрование".

    Страница шифрования позволяет управлять параметрами шифрования для учетной записи NetApp. Он включает возможность настроить учетную запись NetApp для использования собственного ключа шифрования, который хранится в Azure Key Vault. Этот параметр предоставляет учетной записи NetApp удостоверение, назначаемое системой, и добавляет политику доступа для этого удостоверения с необходимыми разрешениями для ключа.

    Снимок экрана: меню шифрования.

  2. При настройке учетной записи NetApp для использования ключа, управляемого клиентом, у вас есть два способа указать URI ключа:

    • Параметр "Выбрать из хранилища ключей " позволяет выбрать хранилище ключей и ключ. Снимок экрана интерфейса выбора ключа.

    • Опция ввода URI ключа позволяет ввести URI ключа вручную. Снимок экрана: меню шифрования с полем URI ключа.

  3. Выберите тип удостоверения, который требуется использовать для проверки подлинности в Azure Key Vault. Если ваш Azure Key Vault настроен использовать политику доступа к хранилищу в качестве модели разрешений, оба варианта доступны. В противном случае доступен только назначенный пользователем параметр.

    • Если выбрать Назначено системой, нажмите кнопку «Сохранить». Портал Azure автоматически настраивает учетную запись NetApp, добавляя удостоверение, назначаемое системой, в данную учетную запись. Политика доступа также создается в Azure Key Vault с разрешениями ключей на доступ, шифрование и расшифровку.

    Снимок экрана: меню шифрования с параметрами, назначенными системой.

    • Если вы выбираете пользовательскую идентичность, необходимо выбрать конкретную личность. Выберите удостоверение личности, чтобы открыть контекстную панель, где вы можете выбрать управляемое удостоверение, назначенное пользователем.

    Снимок экрана: подменю, назначаемое пользователем.

    Если вы настроили политику доступа к Хранилищу ключей Azure, портал Azure автоматически настраивает учетную запись NetApp, выполняя следующие действия: назначенное пользователем удостоверение добавляется в вашу учетную запись NetApp. Политика доступа создана в вашем Azure Key Vault с разрешениями "Получить", "Зашифровать", "Расшифровать".

    Если вы настроили Azure Key Vault для использования управления доступом на основе ролей Azure, необходимо убедиться, что выбранное удостоверение, назначаемое пользователем, имеет назначение роли в хранилище ключей с разрешениями для действий:

  4. Нажмите кнопку "Сохранить ", а затем просмотрите уведомление, сообщающее о состоянии операции. Если операция не выполнена, отобразится сообщение об ошибке. Сведения об устранении ошибки см. в сообщениях об ошибках и устранении неполадок.

Управление доступом на основе ролей

С помощью Azure Key Vault можно использовать управление доступом на основе ролей Azure. Чтобы настроить ключи, управляемые клиентом, с помощью портала Azure, необходимо указать удостоверение, назначенное пользователем.

  1. В учетной записи Azure перейдите к хранилищам ключей и политикам Access.

  2. Чтобы создать политику доступа, в разделе "Модель разрешений" выберите управление доступом на основе ролей Azure. Снимок экрана: меню конфигурации доступа.

  3. При создании назначаемой пользователем роли существует три разрешения, необходимые для ключей, управляемых клиентом:

    1. Microsoft.KeyVault/vaults/keys/read
    2. Microsoft.KeyVault/vaults/keys/encrypt/action
    3. Microsoft.KeyVault/vaults/keys/decrypt/action

    Хотя существуют предопределенные роли, которые включают эти разрешения, эти роли предоставляют больше привилегий, чем требуется. Рекомендуется создать пользовательскую роль только с минимальными необходимыми разрешениями. Дополнительные сведения см. в статье о пользовательских ролях Azure.

    {
    "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
    "properties": {
        "roleName": "NetApp account",
        "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
        "assignableScopes": [
            "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
        ],
        "permissions": [
          {
            "actions": [],
            "notActions": [],
            "dataActions": [
                "Microsoft.KeyVault/vaults/keys/read",
                "Microsoft.KeyVault/vaults/keys/encrypt/action",
                "Microsoft.KeyVault/vaults/keys/decrypt/action"
            ],
            "notDataActions": []
            }
        ]
      }
}

  4. После создания и обеспечения доступности пользовательской роли для использования с хранилищем ключей вы применяете ее к удостоверению, назначенному пользователю.

Снимок экрана: проверка и назначение меню управления доступом на основе ролей.

Создание тома Azure NetApp Files с использованием ключей, управляемых клиентом

  1. В Azure NetApp Files выберите тома и добавьте том.

  2. Выполните инструкции по настройке сетевых функций для тома Azure NetApp Files:

  3. Для учетной записи NetApp, настроенной на использование управляемого клиентом ключа, на странице создания тома доступен параметр "Источник ключа шифрования".

    Чтобы зашифровать том с помощью вашего ключа, выберите Customer-Managed ключ в раскрывающемся меню «Источник ключа шифрования».

    При создании тома с помощью ключа, управляемого клиентом, необходимо также выбрать Стандарт для опции сетевых функций. Базовые сетевые функции не поддерживаются.

    Кроме того, необходимо выбрать частную конечную точку хранилища ключей. Раскрывающееся меню отображает частные конечные точки в выбранной виртуальной сети. Если в выбранной виртуальной сети нет частной конечной точки для хранилища ключей, раскрывающийся список пуст, и вы не сможете продолжить. Если вы столкнулись с этим сценарием, ознакомьтесь с частной конечной точкой Azure.

    Снимок экрана меню создания тома.

  4. Продолжайте создание тома. См.:

Переход тома Azure NetApp Files на ключи, управляемые клиентом

Azure NetApp Files поддерживает возможность перемещения существующих томов из системы ключей, управляемых платформой, в систему ключей, управляемых клиентом. После завершения миграции невозможно вернуться к ключам, управляемым платформой.

Объемы перехода

Примечание.

При переходе томов на использование ключей, управляемых пользователем, необходимо выполнить переход для каждой виртуальной сети, где у вашей учетной записи Azure NetApp Files есть тома.

  1. Убедитесь, что учетная запись Azure NetApp Files настроена для использования ключей, которыми управляет клиент.
  2. На портале Azure перейдите к шифрованию.
  3. Перейдите на вкладку "Миграция CMK".
  4. В раскрывающемся меню выберите виртуальную сеть и частную конечную точку хранилища ключей, которую вы хотите использовать.
  5. Azure создает список томов, зашифрованных ключом, управляемым клиентом.
  6. Нажмите кнопку "Подтвердить" , чтобы инициировать миграцию.

Перегенерация ключей для всех томов в учетной записи NetApp

Если вы уже настроили учетную запись NetApp для ключей, управляемых клиентом, и имеете один или несколько томов, зашифрованных с помощью ключей, управляемых клиентом, можно изменить ключ, используемый для шифрования всех томов в учетной записи NetApp. Вы можете выбрать любой ключ, который находится в одном хранилище ключей. Изменение хранилищ ключей не поддерживается.

  1. В учетной записи NetApp перейдите в меню "Шифрование ". В поле ввода текущего ключа выберите ссылку Rekey . Снимок экрана: ключ шифрования.

  2. В меню «Перезапись ключа» выберите один из доступных ключей из раскрывающегося списка. Выбранный ключ должен отличаться от текущего ключа. Снимок экрана меню изменения ключей.

  3. Нажмите кнопку "ОК ", чтобы сохранить. Операция повторного ключа может занять несколько минут.

Переход с назначаемого системой удостоверения на назначаемое пользователем удостоверение

Чтобы переключиться с назначаемого системой удостоверения на назначаемое пользователем удостоверение, необходимо предоставить целевому удостоверению доступ к хранилищу ключей, используемому с разрешениями на чтение и получение, шифрование и расшифровку.

  1. Обновите учетную запись NetApp, отправив запрос PATCH с помощью az rest команды:

    az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json

    Полезная нагрузка должна использовать следующую структуру:

    {
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
     "<identity-resource-id>": {}
    }
  },
  "properties": {
    "encryption": {
      "identity": {
        "userAssignedIdentity": "<identity-resource-id>"
      }
    }
  }
}

  2. Подтвердите, что операция завершилась успешно, с помощью команды az netappfiles account show. Выходные данные включают следующие поля:

        "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
    "identity": {
        "principalId": null,
        "tenantId": null,
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                "clientId": "<client-id>",
                "principalId": "<principalId>",
                "tenantId": <tenantId>"
            }
        }
    },

    Убедитесь в следующем:

    • encryption.identity.principalId соответствует значению в identity.userAssignedIdentities.principalId
    • encryption.identity.userAssignedIdentity соответствует значению в identity.userAssignedIdentities[]
    "encryption": {
    "identity": {
        "principalId": "<principal-id>",
        "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
    },
    "KeySource": "Microsoft.KeyVault",
},

Обновление частной конечной точки

Внесение изменений в частную конечную точку Azure после создания тома с ключом, управляемым клиентом, может сделать недоступным этот том. Если нужно внести изменения, необходимо создать новую конечную точку и обновить том, который будет указывать на новую конечную точку.

  1. Создайте новую конечную точку между виртуальной сетью и Azure Key Vault.
  2. Обновите все тома, которые используют старую конечную точку, чтобы они использовали новую конечную точку. 
    az netappfiles volume update --g $resource-group-name --account-name $netapp-account-name --pool-name $pool-name --name $volume-name --key-vault-private-endpoint-resource-id $newendpoint
  3. Удалите старую частную конечную точку.

Следующие шаги