Поделиться через

Использование портала Azure для включения сквозного шифрования с помощью шифрования на узле

  • Статья

Область применения: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows

При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. Основные сведения о шифровании на узле, а также о других типах шифрования управляемых дисков см. в разделе Шифрование на узле — сквозное шифрование данных на виртуальной машине.

Временные диски и эфемерные диски ОС шифруются в состоянии покоя с помощью ключей, управляемых клиентом или платформой, в зависимости от выбранного вами типа шифрования для диска ОС. Кэши дисков данных и ОС шифруются при хранении с помощью ключей, управление которыми осуществляет либо платформа, либо клиент, в зависимости от выбранного вами типа шифрования диска. Например, если диск зашифрован ключами, управляемыми клиентом, то и кэш для диска шифруется с использованием ключей, управляемых клиентом, а если диск шифруется ключами, управляемыми платформой, то кэш диска шифруется с использованием ключей, управляемых платформой.

Ограничения

  • Поддерживается для 4k размера дисков категории "Ультра" и SSD уровня "Премиум" версии 2.
  • Поддерживается только для 512e размера дисков категории "Ультра" и SSD уровня "Премиум" версии 2, если они были созданы после 5/13.2023.
  • Не может быть включено на виртуальных машинах или масштабируемых наборах виртуальных машин, на которых в настоящее время или когда-либо было включено шифрование дисков Azure.
  • Шифрование дисков Azure нельзя включить на дисках с включенным шифрованием на узле.
  • Шифрование можно включить в существующих масштабируемых наборах виртуальных машин. Однако автоматически выполняется шифрование только новых виртуальных машин, созданных после включения шифрования.
  • Для шифрования существующие виртуальные машины необходимо освободить и перераспределить.

Поддерживаемые размеры виртуальных машин

Устаревшие размеры виртуальных машин не поддерживаются. Список поддерживаемых размеров виртуальных машин можно найти с помощью модуля Azure PowerShell или Azure CLI.

Предварительные условия

Прежде чем использовать шифрование на узле для виртуальной машины или масштабируемого набора виртуальных машин, необходимо включить функцию подписки. Для активации функции для вашей подписки выполните следующие действия:

  1. Портал Azure: выберите значок Cloud Shell на портале Azure:

    Снимок экрана значка для запуска Cloud Shell из портала Azure.

  2. Выполните следующую команду, чтобы задать контекст текущей подписке

    Set-AzContext -SubscriptionId "<yourSubIDHere>"

  3. Выполните следующую команду, чтобы зарегистрировать функцию для подписки

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  4. Убедитесь, что состояние регистрации зарегистрировано (регистрация может занять несколько минут) с помощью следующей команды, прежде чем попробовать эту функцию.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Развертывание виртуальной машины с помощью ключей, управляемых платформой

  1. Войдите на портал Azure.

  2. Найдите Виртуальные машины и нажмите кнопку +Создать, чтобы создать виртуальную машину.

  3. Выберите соответствующий регион и поддерживаемый размер виртуальной машины.

  4. Введите другие значения на панели "Базовая", как вам нравится, и затем перейдите к панели "Диски".

  5. В области Диски выберите Encryption at host (Шифрование на узле).

  6. Укажите оставшиеся параметры по своему усмотрению.

    Снимок экрана: область

  7. Для остальной части процесса развертывания виртуальной машины сделайте выбор, соответствующий вашей среде, и завершите развертывание.

Теперь вы развернули виртуальную машину с включенным шифрованием на узле, а кэш диска шифруется с помощью ключей, управляемых платформой.

Развертывание виртуальной машины с помощью ключей, управляемых клиентом

Кроме того, можно использовать ключи, управляемые клиентом, для шифрования кэшей дисков.

Создание Azure Key Vault и набора шифрования дисков

После включения функции необходимо настроить Azure Key Vault и набор шифрования дисков, если вы еще не сделали этого.

Настройка управляемых клиентом ключей для дисков требует создания ресурсов в определенном порядке, если вы делаете это в первый раз. Сначала необходимо создать и настроить Azure Key Vault.

Настройка хранилища ключей Azure

  1. Войдите на портал Azure.

  2. Найдите и выберите Хранилища ключей.

    Снимок экрана: портал Azure с развернутым диалоговым окном поиска.

    Внимание

    Чтобы развертывание прошло успешно, набор шифрования дисков, виртуальная машина, диски и моментальные снимки должны находиться в одном регионе и подписке. Хранилища Azure Key Vault можно использовать из другой подписки, но они должны находиться в том же регионе и тенанте, что и набор шифрования дисков.

  3. Выберите + Создать, чтобы создать новое хранилище ключей.

  4. Создание группы ресурсов

  5. Введите имя хранилища ключей, выберите регион и ценовую категорию.

    Примечание.

    При создании экземпляра Key Vault необходимо включить мягкое удаление и защиту от очистки. Мягкое удаление гарантирует, что хранилище ключей Key Vault будет хранить удаленный ключ в течение установленного срока хранения (по умолчанию 90 дней). Защита от удаления гарантирует, что удаленный ключ нельзя удалить навсегда до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

  6. Выберите Просмотреть и создать, проверьте выбранные параметры и нажмите кнопку Создать.

    Снимок экрана процесса создания Azure Key Vault, демонстрирующий конкретные значения, созданные вами.

  7. Когда развертывание хранилища ключей завершится, выберите его.

  8. Выберите ключи в разделе "Объекты".

  9. Выберите Создать/импортировать.

    Снимок экрана: панель параметров ресурса Key Vault, на котором показана кнопка создания и импорта внутри параметров.

  10. Оставьте для параметра Тип ключа значение RSA, а для параметра Размер ключа RSA — 2048.

  11. Укажите остальные параметры по своему усмотрению и нажмите кнопку Создать.

    Снимок экрана: панель создания ключа, которая отображается после выбора кнопки создания и импорта.

Добавьте роль Azure RBAC

Теперь, когда вы создали ваше хранилище ключей Azure и ключ, необходимо добавить роль RBAC Azure, чтобы вы могли использовать ваше хранилище ключей Azure с набором шифрования дисков.

  1. Выберите Управление доступом (IAM) и добавьте роль.
  2. Добавьте роль Администратор хранилища ключей, Владелец или Участник.

Настройка набора шифрования дисков

  1. Найдите и выберите Наборы шифрования дисков.

  2. На панели "Наборы шифрования дисков" нажмите кнопку +Создать.

  3. Выберите группу ресурсов, укажите имя для набора шифрования и выберите тот же регион, что и для хранилища ключей.

  4. Для параметра Тип шифрования выберите значение Шифрование неактивных данных с помощью управляемого клиентом ключа.

    Примечание.

    После создания набора шифрования диска с определенным типом шифрования его нельзя изменить. Если вы хотите использовать другой тип шифрования, необходимо создать новый набор шифрования дисков.

  5. Убедитесь, что выбрано хранилище ключей Azure и ключ .

  6. Выберите хранилище ключей и созданный ранее ключ, а также версию.

  7. Если вы хотите включить автоматическую ротацию ключей, управляемых клиентом, выберите Автоматическая ротация ключей.

  8. Нажмите Обзор + Создать, а затем Создать.

    Снимок экрана панели создания шифрования диска. Отображение подписки, группы ресурсов, имени набора шифрования диска, региона и хранилища ключей + селектор ключей.

  9. Перейдите к набору шифрования дисков после его развертывания и выберите отображаемое оповещение.

    Снимок экрана: выбор оповещения

  10. Это позволит вашему хранилищу ключей предоставить разрешения на доступ к набору шифрования дисков.

    Снимок экрана: подтверждение предоставления разрешений.

Развертывание виртуальной машины

Теперь, когда вы настроили azure Key Vault и набор шифрования дисков, вы можете развернуть виртуальную машину и использовать шифрование на узле.

  1. Войдите на портал Azure.

  2. Выполните поиск Виртуальные машины и выберите + Добавить, чтобы создать виртуальную машину.

  3. Создайте новую виртуальную машину, выберите соответствующий регион и поддерживаемый размер виртуальной машины.

  4. Заполните остальные значения в области Основная, а затем перейдите к области Диски.

  5. В области Диски выберите Encryption at host (Шифрование на узле).

  6. Выберите управление ключами и выберите один из ключей, управляемых клиентом.

  7. Укажите оставшиеся параметры по своему усмотрению.

    Снимок экрана: область

  8. Для остальной части процесса развертывания виртуальной машины сделайте выбор, соответствующий вашей среде, и завершите развертывание.

Теперь вы развернули виртуальную машину с шифрованием на узле с поддержкой ключей, управляемых клиентом.

Отключение шифрования на основе узла

Сначала разблокируйте виртуальную машину, шифрование на узле не может быть отключено, если ваша виртуальная машина не будет освобождена.

  1. На виртуальной машине выберите Диски, а затем — Дополнительные параметры.

    Снимок экрана: область

  2. Выберите Нет в разделе Encryption at host (Шифрование на узле), а затем нажмите кнопку Сохранить.

Следующие шаги

Примеры шаблонов Azure Resource Manager