Поделиться через

Шифрование дисков с помощью ключей, управляемых клиентом, в Azure DevTest Labs

В этой статье показано, как владелец лаборатории может настроить шифрование с помощью ключа, управляемого клиентом.

Шифрование на стороне сервера (SSE) защищает данные и помогает соблюсти корпоративные обязательства по обеспечению безопасности и соответствия. SSE автоматически шифрует данные, хранящиеся на управляемых дисках в Azure (ОС и дисках данных), по умолчанию при сохранении в облаке. Дополнительные сведения о шифровании дисков в Azure см. в разделе " Шифрование на стороне сервера".

В Azure DevTest Labs все диски ОС и диски данных, созданные в лаборатории, шифруются с помощью ключей, управляемых платформой. Однако в качестве владельца лаборатории вы можете управлять шифрованием дисков виртуальной машины лаборатории с помощью собственных ключей. Если вы решили управлять шифрованием с помощью собственных ключей, можно указать управляемый клиентом ключ для шифрования данных на дисках лаборатории. Дополнительные сведения о SSE с ключами, управляемыми клиентом, и других типах шифрования управляемых дисков, см. в статье "Ключи, управляемые клиентом". Также см. ограничения с использованием ключей, управляемых клиентом.

Примечание.

Параметр шифрования дисков применяется к вновь созданным дискам в лаборатории. При изменении набора шифрования дисков старые диски в лаборатории продолжают шифроваться с помощью предыдущего набора шифрования дисков.

Предпосылки

  • Если у вас нет набора шифрования дисков, выполните действия, описанные в этой статье, чтобы настроить хранилище ключей и набор шифрования дисков. Обратите внимание на следующие требования к набору шифрования дисков:

    • Набор параметров шифрования диска должен находиться в том же регионе и подписке, что и в вашей лаборатории.
    • Владелец лаборатории должен иметь по крайней мере доступ на уровне чтения к набору шифрования дисков, который будет использоваться для шифрования дисков лаборатории.

  • Для лабораторий, созданных до 1 августа 2020 г., владелец лаборатории должен убедиться, что удостоверение, назначаемое системой лаборатории, включено. Для этого владелец лаборатории может перейти в лабораторию, выбрать конфигурацию и политики, выбрать удостоверение в меню слева, изменить состояние на включено, а затем выбрать Сохранить. Для лабораторий, созданных после 1 августа 2020 г., системное удостоверение по умолчанию включается.

    Снимок экрана, который показывает шаги по включению назначаемой системой личности.

  • Чтобы лаборатория обрабатывала шифрование для всех дисков лаборатории, владелец лаборатории должен явно предоставить роль читателя удостоверений, назначаемого системой лаборатории, в наборе шифрования дисков и роли участника виртуальной машины в базовой подписке Azure. Владелец лаборатории может сделать это, выполнив следующие действия:

    1. Убедитесь, что вы являетесь членом роли администратора доступа пользователей на уровне подписки Azure, чтобы управлять доступом пользователей к ресурсам Azure.

    2. На странице набора шифрования дисков назначьте лаборатории хотя бы роль Читателя, для которой будет использоваться набор шифрования дисков.

      Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    3. Перейдите на страницу подписки на портале Azure.

    4. Назначьте роль "Сотрудник виртуальной машины" лаборатории (системно назначенное удостоверение для лаборатории).

Шифрование дисков ОС лаборатории с помощью ключа, управляемого клиентом

  1. На странице обзора лаборатории на портале Azure выберите "Конфигурация и политики " в левой области.

  2. На левой панели страницы "Конфигурация и политики" выберите диски (предварительная версия) в разделе "Шифрование ". По умолчанию для параметра Тип шифрования задано значение Шифрование неактивных данных с помощью управляемого платформой ключа.

    Снимок экрана: панель

  3. В поле "Тип шифрования" выберите "Шифрование данных в состоянии покоя" с помощью ключа, управляемого клиентом.

  4. В поле набора шифрования дисков выберите созданный ранее набор шифрования дисков. Это тот же набор шифрования дисков, к которому может получить доступ назначенное системой удостоверение лаборатории.

  5. Нажмите кнопку "Сохранить " в верхней части области.

    Снимок экрана: шаги, которые необходимо выполнить в разделе

  6. Появится окно сообщения со следующим сообщением: этот параметр будет применяться к вновь созданным компьютерам в лаборатории. Старый диск ОС останется зашифрованным с помощью старого набора шифрования дисков. Нажмите ОК.

    После этой конфигурации диски лаборатории шифруются с помощью ключа, управляемого клиентом, предоставленного в наборе шифрования дисков.

Проверка шифрования дисков

  1. Перейдите к виртуальной машине лаборатории, созданной после включения шифрования дисков с помощью ключа, управляемого клиентом, в лаборатории.

    Снимок экрана: виртуальная машина с включенным шифрованием дисков.

  2. Выберите группу ресурсов виртуальной машины и выберите диск ОС.

    Снимок экрана: виртуальная машина в своей группе ресурсов.

  3. В области слева в разделе "Параметры" выберите "Шифрование". Проверьте, что для шифрования используется ключ, управляемый клиентом, с выбранным вами набором шифрования дисков.

    Снимок экрана: тип шифрования виртуальной машины.

Связанный контент

  • Last updated on