تكوين تشفير المفتاح المدار من قبل العميل في وضع الثبات في Azure VMware Solution

توضح هذه المقالة كيفية تشفير مفاتيح تشفير مفتاح VMware vSAN (KEKs) باستخدام المفاتيح المدارة بواسطة العميل (CMKs) التي يديرها مثيل Azure Key Vault المملوك للعميل.

عند تمكين تشفير CMK على سحابة Azure VMware Solution الخاصة بك، يستخدم Azure VMware Solution CMK من مخزن المفاتيح لتشفير vSAN KEKs. يستخدم كل مضيف ESXi يشارك في مجموعة vSAN مفاتيح تشفير القرص التي تم إنشاؤها عشوائيا (DEKs) التي يستخدمها ESXi لتشفير بيانات القرص الثابتة. يقوم vSAN بتشفير جميع DEKs باستخدام KEK الذي يوفره نظام إدارة مفتاح Azure VMware Solution. لا تحتاج سحابة Azure VMware Solution الخاصة وخزنة المفاتيح إلى أن تكون في نفس الاشتراك.

عند إدارة مفاتيح التشفير الخاصة بك، يمكنك:

• التحكم في وصول Azure إلى مفاتيح vSAN.
• إدارة دورة حياة CMKs مركزيا.
• إبطال وصول Azure إلى KEK.

تدعم ميزة CMKs أنواع المفاتيح التالية وأحجام المفاتيح الخاصة بها:

• RSA: 2048، 3072، 4096
• RSA-HSM: 2048، 3072، 4096

المخطط

يوضح الرسم التخطيطي التالي كيفية استخدام Azure VMware Solution لمعرف Microsoft Entra وخزنة مفاتيح لتسليم CMK.

المتطلبات الأساسية

قبل البدء في تمكين وظيفة CMK، تأكد من استيفاء المتطلبات التالية:

• تحتاج إلى مخزن مفاتيح لاستخدام وظيفة CMK. إذا لم يكن لديك مخزن مفاتيح، يمكنك إنشاء واحد باستخدام التشغيل السريع: إنشاء مخزن مفاتيح باستخدام مدخل Microsoft Azure.

• إذا قمت بتمكين الوصول المقيد إلى Key Vault، فستحتاج إلى السماح ل Microsoft Trusted Services بتجاوز جدار حماية Key Vault. انتقل إلى تكوين إعدادات شبكة Azure Key Vault لمعرفة المزيد.

  ملاحظة

  بعد أن تكون قواعد جدار الحماية سارية المفعول، يمكن للمستخدمين فقط تنفيذ عمليات مستوى بيانات Key Vault عندما تنشأ طلباتهم من نطاقات عناوين VMs أو IPv4 المسموح بها. ينطبق هذا التقييد أيضا على الوصول إلى Key Vault من مدخل Microsoft Azure. كما أنه يؤثر على منتقي Key Vault بواسطة Azure VMware Solution. قد يتمكن المستخدمون من رؤية قائمة بخزائن المفاتيح، ولكن ليس مفاتيح القوائم، إذا كانت قواعد جدار الحماية تمنع جهاز العميل الخاص بهم أو لم يكن لدى المستخدم إذن القائمة في Key Vault.

• تمكين الهوية المعينة من قبل النظام على السحابة الخاصة ل Azure VMware Solution إذا لم تقم بتمكينها أثناء توفير مركز البيانات المحدد بالبرامج (SDDC).

  بوابة

  لتمكين الهوية المعينة من قبل النظام:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. انتقل إلى Azure VMware Solution وحدد موقع السحابة الخاصة بك.

  3. في الجزء الموجود في أقصى اليسار، افتح Manage وحدد Identity.

  4. في النظام المعين، حدد تمكين>حفظ. يجب الآن تمكين الهوية المعينة من قبل النظام.

  بعد تمكين الهوية المعينة من قبل النظام، سترى علامة التبويب لمعرف الكائن. دون معرف الكائن لاستخدامه لاحقا.

  Azure CLI

  احصل على معرف مورد السحابة الخاص واحفظه في متغير. تحتاج إلى هذه القيمة في الخطوة التالية لتحديث المورد بهوية النظام المعينة.

  Azure CLI

  privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
  

  لتكوين الهوية المعينة من قبل النظام على السحابة الخاصة ل Azure VMware Solution باستخدام Azure CLI، قم باستدعاء az-resource-update وتوفير المتغير لمعرف مورد السحابة الخاص الذي قمت باسترداده مسبقا.

  Azure CLI

  az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
  

• تكوين نهج الوصول إلى مخزن المفاتيح لمنح أذونات للهوية المدارة. يمكنك استخدامه لتخويل الوصول إلى مخزن المفاتيح.

  بوابة

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. انتقل إلى Key vaults وحدد موقع خزنة المفاتيح التي تريد استخدامها.
  3. في الجزء الموجود في أقصى اليسار، ضمن Settings، حدد Access policies.
  4. في نهج الوصول، حدد إضافة نهج الوصول ثم:
     1. في القائمة المنسدلة Key Permissions، اختر Select و Get و Wrap Key و Unwrap Key.
     2. ضمن تحديد الأساسي ، حدد غير محدد . يتم فتح نافذة رئيسية جديدة مع مربع بحث.
     3. في مربع البحث، الصق معرف الكائن من الخطوة السابقة. أو ابحث عن اسم السحابة الخاص الذي تريد استخدامه. اختر تحديد عند الانتهاء.
     4. حدد Add
     5. تحقق من ظهور النهج الجديد ضمن قسم التطبيق الخاص بالنهج الحالي.
     6. حدد حفظ لتثبيت تغييرات.

  Azure CLI

  احصل على المعرف الأساسي للهوية المدارة المعينة من قبل النظام واحفظه في متغير. تحتاج إلى هذه القيمة في الخطوة التالية لإنشاء نهج الوصول إلى مخزن المفاتيح.

  Azure CLI

  principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
  

  لتكوين نهج الوصول إلى مخزن المفاتيح باستخدام Azure CLI، قم باستدعاء az keyvault set-policy. قم بتوفير المتغير للمعرف الأساسي الذي قمت باسترداده مسبقا للهوية المدارة.

  Azure CLI

  az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
  

  تعرف على المزيد حول كيفية تعيين نهج الوصول إلى Key Vault.

دورة حياة إصدار المفتاح المدار من قبل العميل

يمكنك تغيير CMK عن طريق إنشاء إصدار جديد من المفتاح. لا يقطع إنشاء إصدار جديد سير عمل الجهاز الظاهري (VM).

في Azure VMware Solution، يعتمد تدوير إصدار مفتاح CMK على إعداد تحديد المفتاح الذي اخترته أثناء إعداد CMK.

إعداد تحديد المفتاح 1

يمكن العميل تشفير CMK دون توفير إصدار مفتاح معين ل CMK. يحدد Azure VMware Solution أحدث إصدار مفتاح ل CMK من مخزن مفاتيح العميل لتشفير vSAN KEKs. يتتبع Azure VMware Solution CMK لتناوب الإصدار. عند إنشاء إصدار جديد من مفتاح CMK في Key Vault، يتم التقاطه بواسطة Azure VMware Solution تلقائيا لتشفير vSAN KEKs.

ملاحظة

يمكن أن يستغرق Azure VMware Solution ما يصل إلى 10 دقائق للكشف عن إصدار مفتاح جديد تلقائي.

إعداد تحديد المفتاح 2

يمكن للعميل تمكين تشفير CMK لإصدار مفتاح CMK محدد لتوفير URI لإصدار المفتاح الكامل ضمن الخيار Enter Key from URI . عند انتهاء صلاحية المفتاح الحالي للعميل، يحتاجون إلى تمديد انتهاء صلاحية مفتاح CMK أو تعطيل CMK.

تمكين CMK باستخدام الهوية المعينة من قبل النظام

تقتصر الهوية المعينة من قبل النظام على واحد لكل مورد وترتبط لدورة حياة المورد. يمكنك منح أذونات للهوية المدارة على مورد Azure. تتم مصادقة الهوية المدارة باستخدام معرف Microsoft Entra، لذلك لا يتعين عليك تخزين أي بيانات اعتماد في التعليمات البرمجية.

هام

تأكد من أن Key Vault في نفس المنطقة مثل سحابة Azure VMware Solution الخاصة.

بوابة

انتقل إلى مثيل Key Vault الخاص بك وقم بتوفير الوصول إلى SDDC على Key Vault باستخدام المعرف الأساسي الملتقط في علامة التبويب Enable MSI .

1. من سحابة Azure VMware Solution الخاصة بك، ضمن Manage، حدد Encryption. ثم حدد المفاتيح المدارة بواسطة العميل (CMKs).

2. يوفر CMK خيارين لتحديد المفتاح من Key Vault:

   الخيار 1:

   1. ضمن مفتاح التشفير، اختر تحديد من Key Vault.
   2. حدد نوع التشفير. ثم حدد الخيار تحديد Key Vault والمفتاح .
   3. حدد Key Vault والمفتاح من القائمة المنسدلة. ثم اختر تحديد.

   الخيار 2:

   1. ضمن مفتاح التشفير، حدد إدخال مفتاح من URI.
   2. أدخل Key URI محددا في مربع Key URI .

   هام

   إذا كنت تريد تحديد إصدار مفتاح معين بدلا من أحدث إصدار محدد تلقائيا، فستحتاج إلى تحديد Key URI مع إصدار المفتاح. يؤثر هذا الاختيار على دورة حياة إصدار مفتاح CMK.

   يتم دعم خيار Key Vault Managed Hardware Security Module (HSM) فقط مع خيار Key URI.

3. حدد حفظ لمنح حق الوصول إلى المورد.

Azure CLI

لتكوين CMKs للسحابة الخاصة Azure VMware Solution مع التحديث التلقائي للإصدار الرئيسي، قم باستدعاء az vmware private-cloud enable-cmk-encryption. احصل على عنوان URL لمخزن المفاتيح واحفظه في متغير. تحتاج إلى هذه القيمة في الخطوة التالية لتمكين CMK.

Azure CLI

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

يوضح الخياران 1 و2 التاليان الفرق بين عدم توفير إصدار مفتاح معين وتوفير إصدار واحد.

خيار 1

يوضح هذا المثال أن العميل لا يوفر إصدار مفتاح معين.

Azure CLI

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

خيار 2

قم بتوفير إصدار المفتاح كوسيطة لاستخدام CMKs مع إصدار مفتاح معين، كما هو مذكور سابقا في الخيار 2 لمدخل Microsoft Azure. يوضح المثال التالي العميل الذي يوفر إصدار مفتاح معين.

Azure CLI

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

التغيير من مفتاح مدار من قبل العميل إلى مفتاح مدار من Microsoft

عندما يريد العميل التغيير من CMK إلى مفتاح مدار من Microsoft (MMK)، لا تتم مقاطعة حمل عمل الجهاز الظاهري. لإجراء التغيير من CMK إلى MMK:

1. ضمن Manage، حدد Encryption من سحابة Azure VMware Solution الخاصة بك.
2. حدد المفاتيح المدارة من Microsoft (MMK).
3. حدد حفظ.

القيود

يجب تكوين Key Vault على أنه قابل للاسترداد. تحتاج إلى:

• تكوين Key Vault باستخدام خيار الحذف المبدئي.
• قم بتشغيل حماية التطهير للحماية من الحذف القسري للمخزن السري، حتى بعد الحذف المبدئي.

لا يعمل تحديث إعدادات CMK إذا انتهت صلاحية المفتاح أو تم إبطال مفتاح الوصول إلى Azure VMware Solution.

استكشاف الأخطاء وإصلاحها وأفضل الممارسات

فيما يلي تلميحات حول استكشاف الأخطاء وإصلاحها لبعض المشكلات الشائعة التي قد تواجهها وأيضا أفضل الممارسات التي يجب اتباعها.

الحذف العرضي لمفتاح

إذا حذفت مفتاحك عن طريق الخطأ في مخزن المفاتيح، فلن تتمكن السحابة الخاصة من إجراء بعض عمليات تعديل نظام المجموعة. لتجنب هذا السيناريو، نوصي بالاحتفاظ بتمكين الحذف المبدئي في مخزن المفاتيح. يضمن هذا الخيار أنه إذا تم حذف مفتاح، يمكن استرداده خلال فترة 90 يوما كجزء من الاحتفاظ الافتراضي بالحذف المبدئي. إذا كنت ضمن فترة 90 يوما، يمكنك استعادة المفتاح لحل المشكلة.

استعادة إذن key vault

إذا كان لديك سحابة خاصة فقدت الوصول إلى CMK، فتحقق مما إذا كانت هوية النظام المدارة (MSI) تتطلب أذونات في مخزن المفاتيح. قد لا يشير إعلام الخطأ الذي تم إرجاعه من Azure بشكل صحيح إلى MSI الذي يتطلب أذونات في مخزن المفاتيح كسبب جذري. تذكر أن الأذونات المطلوبة هي getو wrapKeyو.unwrapKey راجع الخطوة 4 في المتطلبات الأساسية.

إصلاح مفتاح منتهية الصلاحية

إذا كنت لا تستخدم دالة autorotate وانتهت صلاحية CMK في Key Vault، يمكنك تغيير تاريخ انتهاء الصلاحية على المفتاح.

استعادة الوصول إلى مخزن المفاتيح

تأكد من استخدام MSI لتوفير الوصول السحابي الخاص إلى مخزن المفاتيح.

حذف MSI

إذا قمت بحذف MSI المقترن بسحابة خاصة عن طريق الخطأ، فستحتاج إلى تعطيل CMK. ثم اتبع الخطوات لتمكين CMK من البداية.

الخطوات التالية

• تعرف على النسخ الاحتياطي والاستعادة ل Azure Key Vault.
• تعرف على استرداد Azure Key Vault.