Использование портала Azure для включения сквозного шифрования с помощью шифрования на узле

Область применения: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows

При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. Основные сведения о шифровании на узле, а также о других типах шифрования управляемых дисков см. в разделе Шифрование на узле — сквозное шифрование данных на виртуальной машине.

Временные диски и эфемерные диски ОС шифруются в состоянии покоя с помощью ключей, управляемых клиентом или платформой, в зависимости от выбранного вами типа шифрования для диска ОС. Кэши дисков данных и ОС шифруются при хранении с помощью ключей, управление которыми осуществляет либо платформа, либо клиент, в зависимости от выбранного вами типа шифрования диска. Например, если диск зашифрован ключами, управляемыми клиентом, то и кэш для диска шифруется с использованием ключей, управляемых клиентом, а если диск шифруется ключами, управляемыми платформой, то кэш диска шифруется с использованием ключей, управляемых платформой.

• Поддерживается для 4k размера дисков категории "Ультра" и SSD уровня "Премиум" версии 2.
• Поддерживается только для 512e размера дисков категории "Ультра" и SSD уровня "Премиум" версии 2, если они были созданы после 5/13.2023.
  • Для дисков, созданных до этой даты, создайте снимок состояния диска и создайте новый диск с помощью этого снимка.
• Не может быть включено на виртуальных машинах или масштабируемых наборах виртуальных машин, на которых в настоящее время или когда-либо было включено шифрование дисков Azure.
• Шифрование дисков Azure нельзя включить на дисках с включенным шифрованием на узле.
• Шифрование можно включить в существующих масштабируемых наборах виртуальных машин. Однако автоматически выполняется шифрование только новых виртуальных машин, созданных после включения шифрования.
• Для шифрования существующие виртуальные машины необходимо освободить и перераспределить.

Устаревшие размеры виртуальных машин не поддерживаются. Список поддерживаемых размеров виртуальных машин можно найти с помощью модуля Azure PowerShell или Azure CLI.

Прежде чем использовать шифрование на узле для виртуальной машины или масштабируемого набора виртуальных машин, необходимо включить функцию подписки. Для активации функции для вашей подписки выполните следующие действия:

1. Портал Azure: выберите значок Cloud Shell на портале Azure:

   

2. Выполните следующую команду, чтобы задать контекст текущей подписке

   • Azure PowerShell
   • Azure CLI

   Set-AzContext -SubscriptionId "<yourSubIDHere>"
   

3. Выполните следующую команду, чтобы зарегистрировать функцию для подписки

   • Azure PowerShell
   • Azure CLI

   Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
   

4. Убедитесь, что состояние регистрации зарегистрировано (регистрация может занять несколько минут) с помощью следующей команды, прежде чем попробовать эту функцию.

   • Azure PowerShell
   • Azure CLI

   Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
   

1. Войдите на портал Azure.

2. Найдите Виртуальные машины и нажмите кнопку +Создать, чтобы создать виртуальную машину.

3. Выберите соответствующий регион и поддерживаемый размер виртуальной машины.

4. Введите другие значения на панели "Базовая", как вам нравится, и затем перейдите к панели "Диски".

5. В области Диски выберите Encryption at host (Шифрование на узле).

6. Укажите оставшиеся параметры по своему усмотрению.

   

7. Для остальной части процесса развертывания виртуальной машины сделайте выбор, соответствующий вашей среде, и завершите развертывание.

Теперь вы развернули виртуальную машину с включенным шифрованием на узле, а кэш диска шифруется с помощью ключей, управляемых платформой.

Кроме того, можно использовать ключи, управляемые клиентом, для шифрования кэшей дисков.

После включения функции необходимо настроить Azure Key Vault и набор шифрования дисков, если вы еще не сделали этого.

Настройка управляемых клиентом ключей для дисков требует создания ресурсов в определенном порядке, если вы делаете это в первый раз. Сначала необходимо создать и настроить Azure Key Vault.

1. Войдите на портал Azure.

2. Найдите и выберите Хранилища ключей.

   

   Важно!

   Чтобы развертывание прошло успешно, набор шифрования дисков, виртуальная машина, диски и моментальные снимки должны находиться в одном регионе и подписке. Хранилища Azure Key Vault можно использовать из другой подписки, но они должны находиться в том же регионе и тенанте, что и набор шифрования дисков.

3. Выберите + Создать, чтобы создать новое хранилище ключей.

4. Создание группы ресурсов

5. Введите имя хранилища ключей, выберите регион и ценовую категорию.

   Примечание

   При создании экземпляра Key Vault необходимо включить мягкое удаление и защиту от очистки. Мягкое удаление гарантирует, что хранилище ключей Key Vault будет хранить удаленный ключ в течение установленного срока хранения (по умолчанию 90 дней). Защита от удаления гарантирует, что удаленный ключ нельзя удалить навсегда до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

6. Выберите Просмотреть и создать, проверьте выбранные параметры и нажмите кнопку Создать.

   

7. Когда развертывание хранилища ключей завершится, выберите его.

8. Выберите ключи в разделе "Объекты".

9. Выберите Создать/импортировать.

   

10. Оставьте для параметра Тип ключа значение RSA, а для параметра Размер ключа RSA — 2048.

11. Укажите остальные параметры по своему усмотрению и нажмите кнопку Создать.

    

Теперь, когда вы создали ваше хранилище ключей Azure и ключ, необходимо добавить роль RBAC Azure, чтобы вы могли использовать ваше хранилище ключей Azure с набором шифрования дисков.

1. Выберите Управление доступом (IAM) и добавьте роль.
2. Добавьте роль Администратор хранилища ключей, Владелец или Участник.

1. Найдите и выберите Наборы шифрования дисков.

2. На панели "Наборы шифрования дисков" нажмите кнопку +Создать.

3. Выберите группу ресурсов, укажите имя для набора шифрования и выберите тот же регион, что и для хранилища ключей.

4. Для параметра Тип шифрования выберите значение Шифрование неактивных данных с помощью управляемого клиентом ключа.

   Примечание

   После создания набора шифрования диска с определенным типом шифрования его нельзя изменить. Если вы хотите использовать другой тип шифрования, необходимо создать новый набор шифрования дисков.

5. Убедитесь, что выбрано хранилище ключей Azure и ключ .

6. Выберите хранилище ключей и созданный ранее ключ, а также версию.

7. Если вы хотите включить автоматическую ротацию ключей, управляемых клиентом, выберите Автоматическая ротация ключей.

8. Нажмите Обзор + Создать, а затем Создать.

   

9. Перейдите к набору шифрования дисков после его развертывания и выберите отображаемое оповещение.

   

10. Это позволит вашему хранилищу ключей предоставить разрешения на доступ к набору шифрования дисков.

    

Теперь, когда вы настроили azure Key Vault и набор шифрования дисков, вы можете развернуть виртуальную машину и использовать шифрование на узле.

1. Войдите на портал Azure.

2. Выполните поиск Виртуальные машины и выберите + Добавить, чтобы создать виртуальную машину.

3. Создайте новую виртуальную машину, выберите соответствующий регион и поддерживаемый размер виртуальной машины.

4. Заполните остальные значения в области Основная, а затем перейдите к области Диски.

5. В области Диски выберите Encryption at host (Шифрование на узле).

6. Выберите управление ключами и выберите один из ключей, управляемых клиентом.

7. Укажите оставшиеся параметры по своему усмотрению.

   

8. Для остальной части процесса развертывания виртуальной машины сделайте выбор, соответствующий вашей среде, и завершите развертывание.

Теперь вы развернули виртуальную машину с шифрованием на узле с поддержкой ключей, управляемых клиентом.

Сначала разблокируйте виртуальную машину, шифрование на узле не может быть отключено, если ваша виртуальная машина не будет освобождена.

1. На виртуальной машине выберите Диски, а затем — Дополнительные параметры.

   

2. Выберите Нет в разделе Encryption at host (Шифрование на узле), а затем нажмите кнопку Сохранить.

Примеры шаблонов Azure Resource Manager