Поделиться через

Использование портала Azure для включения сквозного шифрования с помощью шифрования на узле

  • Статья

Область применения: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows

При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. Основные сведения о шифровании на узле, а также о других типах шифрования управляемых дисков см. в разделе Шифрование на узле — сквозное шифрование данных на виртуальной машине.

Временные диски и временные диски ОС шифруются неактивных с помощью ключей, управляемых клиентом или платформой, в зависимости от типа шифрования дисков для диска ОС. Кэши дисков данных и дисков ОС шифруются при хранении с использованием ключей, управляемых платформой или клиентом, в зависимости от выбранного типа шифрования диска. Например, если диск зашифрован ключами, управляемыми клиентом, то и кэш для диска шифруется с использованием ключей, управляемых клиентом, а если диск шифруется ключами, управляемыми платформой, то кэш диска шифруется с использованием ключей, управляемых платформой.

Ограничения

  • Поддерживается для 4k размера дисков категории "Ультра" и SSD уровня "Премиум" версии 2.
  • Поддерживается только для 512e размера дисков категории "Ультра" и SSD уровня "Премиум" версии 2, если они были созданы после 5/13.2023.
    • Для дисков, созданных до этой даты, снимайте диск и создайте новый диск с помощью моментального снимка.
  • Невозможно включить на виртуальных машинах или масштабируемых наборах виртуальных машин, которые в настоящее время или когда-либо были включены Шифрование дисков Azure.
  • Шифрование дисков Azure нельзя включить на дисках с включенным шифрованием на узле.
  • Шифрование можно включить в существующих масштабируемых наборах виртуальных машин. Однако автоматически выполняется шифрование только новых виртуальных машин, созданных после включения шифрования.
  • Для шифрования существующие виртуальные машины необходимо освободить и перераспределить.

Поддерживаемые размеры виртуальных машин

Устаревшие размеры виртуальных машин не поддерживаются. Список поддерживаемых размеров виртуальных машин можно найти с помощью модуля Azure PowerShell или Azure CLI.

Необходимые компоненты

Прежде чем использовать шифрование на узле для виртуальной машины или масштабируемого набора виртуальных машин, необходимо включить функцию подписки. Для этого сделайте следующее:

  1. Портал Azure: выберите значок Cloud Shell на портале Azure:

    Снимок экрана: значок запуска Cloud Shell из портал Azure.

  2. Выполните следующую команду, чтобы задать контекст текущей подписке

    Set-AzContext -SubscriptionId "<yourSubIDHere>"

  3. Выполните следующую команду, чтобы зарегистрировать функцию для подписки

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  4. Убедитесь, что состояние регистрации зарегистрировано (регистрация может занять несколько минут) с помощью следующей команды, прежде чем попробовать эту функцию.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Развертывание виртуальной машины с помощью ключей, управляемых платформой

  1. Войдите на портал Azure.

  2. Найдите Виртуальные машины и нажмите кнопку +Создать, чтобы создать виртуальную машину.

  3. Выберите соответствующий регион и поддерживаемый размер виртуальной машины.

  4. Введите другие значения на панели "Базовый " , как вам нравится, и перейдите к области дисков .

  5. В области Диски выберите Encryption at host (Шифрование на узле).

  6. Укажите оставшиеся параметры по своему усмотрению.

    Снимок экрана: область

  7. Для остальной части процесса развертывания виртуальной машины сделайте выбор, соответствующий вашей среде, и завершите развертывание.

Теперь вы развернули виртуальную машину с включенным шифрованием на узле, а кэш диска шифруется с помощью ключей, управляемых платформой.

Развертывание виртуальной машины с помощью ключей, управляемых клиентом

Кроме того, можно использовать ключи, управляемые клиентом, для шифрования кэшей дисков.

Создание Azure Key Vault и набора шифрования дисков

После включения функции необходимо настроить Azure Key Vault и набор шифрования дисков, если вы еще не сделали этого.

Настройка управляемых клиентом ключей для дисков требует создания ресурсов в определенном порядке, если вы делаете это в первый раз. Сначала необходимо создать и настроить Azure Key Vault.

Настройка хранилища ключей Azure

  1. Войдите на портал Azure.

  2. Найдите и выберите Хранилища ключей.

    Снимок экрана: портал Azure с развернутым диалоговым окном поиска.

    Внимание

    Для успешности развертывания набор шифрования дисков, виртуальная машина, диски и моментальные снимки должны находиться в одном регионе и подписке. Хранилища Azure Key Vault можно использовать из другой подписки, но они должны находиться в том же регионе и арендаторе, что и набор шифрования дисков.

  3. Выберите + Создать, чтобы создать новое хранилище ключей.

  4. Создание группы ресурсов

  5. Введите имя хранилища ключей, выберите регион и ценовую категорию.

    Примечание.

    При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от удаления гарантирует, что удаленный ключ нельзя удалить навсегда до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

  6. Выберите Просмотреть и создать, проверьте выбранные параметры и нажмите кнопку Создать.

    Снимок экрана: интерфейс создания Azure Key Vault с определенными значениями, которые вы создаете.

  7. Когда развертывание хранилища ключей завершится, выберите его.

  8. Выберите ключи в разделе "Объекты".

  9. Выберите Создать/импортировать.

    Снимок экрана: панель параметров ресурса Key Vault, на котором показана кнопка создания и импорта внутри параметров.

  10. Оставьте для параметра Тип ключа значение RSA, а для параметра Размер ключа RSA — 2048.

  11. Укажите остальные параметры по своему усмотрению и нажмите кнопку Создать.

    Снимок экрана: панель создания ключа, которая отображается после выбора кнопки создания и импорта.

Добавление роли RBAC Azure

Создав хранилище ключей Azure и ключ, необходимо добавить роль RBAC Azure, чтобы использовать хранилище ключей Azure с набором шифрования дисков.

  1. Выберите Управление доступом (IAM) и добавьте роль.
  2. Добавьте роль Администратор хранилища ключей, Владелец или Участник.

Настройка набора шифрования дисков

  1. Найдите и выберите Наборы шифрования дисков.

  2. На панели "Наборы шифрования дисков" нажмите кнопку +Создать.

  3. Выберите группу ресурсов, укажите имя для набора шифрования и выберите тот же регион, что и для хранилища ключей.

  4. Для параметра Тип шифрования выберите значение Шифрование неактивных данных с помощью управляемого клиентом ключа.

    Примечание.

    После создания набора шифрования диска с определенным типом шифрования его нельзя изменить. Если вы хотите использовать другой тип шифрования, необходимо создать новый набор шифрования дисков.

  5. Убедитесь, что выбрано хранилище ключей Azure и ключ .

  6. Выберите хранилище ключей и созданный ранее ключ, а также версию.

  7. Если вы хотите включить автоматическую ротацию ключей, управляемых клиентом, выберите Автоматическая ротация ключей.

  8. Щелкните Просмотр и создание, а затем Создать.

    Снимок экрана панели создания шифрования диска. Отображение подписки, группы ресурсов, имени набора шифрования диска, региона и хранилища ключей + селектор ключей.

  9. Перейдите к набору шифрования дисков после его развертывания и выберите отображаемое оповещение.

    Снимок экрана: выбор оповещения

  10. Это позволит вашему хранилищу ключей предоставить разрешения на доступ к набору шифрования дисков.

    Снимок экрана: подтверждение предоставления разрешений.

Развертывание виртуальной машины

Теперь, когда вы настроили azure Key Vault и набор шифрования дисков, вы можете развернуть виртуальную машину и использовать шифрование на узле.

  1. Войдите на портал Azure.

  2. Выполните поиск Виртуальные машины и выберите + Добавить, чтобы создать виртуальную машину.

  3. Создайте новую виртуальную машину, выберите соответствующий регион и поддерживаемый размер виртуальной машины.

  4. Заполните остальные значения в области Основная, а затем перейдите к области Диски.

  5. В области Диски выберите Encryption at host (Шифрование на узле).

  6. Выберите управление ключами и выберите один из ключей, управляемых клиентом.

  7. Укажите оставшиеся параметры по своему усмотрению.

    Снимок экрана: область

  8. Для остальной части процесса развертывания виртуальной машины сделайте выбор, соответствующий вашей среде, и завершите развертывание.

Теперь вы развернули виртуальную машину с шифрованием на узле с поддержкой ключей, управляемых клиентом.

Отключение шифрования на основе узла

Сначала разблокируйте виртуальную машину, шифрование на узле не может быть отключено, если ваша виртуальная машина не будет освобождена.

  1. На виртуальной машине выберите Диски, а затем — Дополнительные параметры.

    Снимок экрана: область

  2. Выберите Нет в разделе Encryption at host (Шифрование на узле), а затем нажмите кнопку Сохранить.

Следующие шаги

Примеры шаблонов Azure Resource Manager