مشاركة عبر

استخدم مدخل Azure لتمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف

  • مقالة

ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows

عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. للحصول على معلومات مفاهيمية حول التشفير في المضيف، بالإضافة إلى أنواع تشفير القرص المُدار الأخرى، راجع التشفير في المضيف - التشفير من طرف إلى طرف لبيانات الجهاز الظاهري.

يتم تشفير الأقراص المؤقتة وأقراص نظام التشغيل سريعة الزوال في حالة السكون باستخدام المفاتيح المُدارة من قبل النظام الأساسي عند تمكين التشفير الشامل. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وأقراص البيانات في حالة السكون إما من خلال مفاتيح مدارة من قِبل العميل أو مُدارة من قِبل النظام الأساسي، اعتمادًا على نوع تشفير القرص الذي يمكنك تحديده. على سبيل المثال، إذا تم تشفير القرص بمفاتيح مدارة بواسطة العميل، فسيتم تشفير ذاكرة التخزين المؤقت للقرص بمفاتيح مدارة من جانب العميل، وإذا تم تشفير القرص بمفاتيح مدارة من النظام الأساسي، فسيتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مُدارة بواسطة النظام الأساسي.

القيود

  • مدعوم لحجم قطاع 4k Ultra Disks وPremium SSD v2.
  • مدعوم فقط على حجم قطاع 512e Ultra Disks وPremium SSD v2 إذا تم إنشاؤها بعد 5/13/2023.
    • بالنسبة للأقراص التي تم إنشاؤها قبل هذا التاريخ، قم بلقطة القرص الخاص بك وإنشاء قرص جديد باستخدام اللقطة.
  • لا يمكن تمكينه على الأجهزة الظاهرية (VMs) أو مجموعات مقياس الجهاز الظاهري التي تم تمكينها حاليا أو من أي وقت مضى تشفير قرص Azure.
  • لا يمكن تمكين تشفير قرص Azure على الأقراص التي تم تمكين التشفير عند المضيف.
  • يمكن تمكين التشفير على مجموعات مقياس الجهاز الظاهري الموجودة. ومع ذلك، يتم تشفير الأجهزة الظاهرية الجديدة التي تم إنشاؤها بعد تمكين التشفير تلقائياً.
  • يجب إلغاء تخصيص الأجهزة الظاهرية الحالية وإعادة تخصيصها من أجل تشفيرها.

التوفر الإقليمي

يتوفر التشفير في المضيف في جميع المناطق لجميع أنواع الأقراص.

أحجام الأجهزة الظاهرية المدعمة

أحجام الأجهزة الظاهرية القديمة غير مدعومة. يمكنك العثور على قائمة بأحجام الأجهزة الظاهرية المدعومة إما باستخدام وحدة Azure PowerShell أو واجهة سطر الأوامر Azure.

المتطلبات الأساسية

يجب تمكين الميزة لاشتراكك قبل أن تتمكن من استخدام التشفير في المضيف إما لجهازك الظاهري أو مجموعة مقياس الجهاز الظاهري. اتبع الخطوات التالية لتمكين ميزة اشتراكك:

  1. مدخل Azure: حدد أيقونة Cloud Shell على مدخل Azure:

    لقطة شاشة لرمز إطلاق Cloud Shell من مدخل Microsoft Azure.

  2. قم بتنفيذ الأمر التالي لتسجيل الميزة لاشتراكك

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. تأكد من أن حالة التسجيل مسجلة (قد يستغرق التسجيل بضع دقائق) باستخدام الأمر التالي قبل تجربة الميزة.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

توزيع جهاز ظاهري باستخدام مفاتيح مدارة بواسطة النظام الأساسي

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن Virtual Machines وحدد + Create لإنشاء جهاز ظاهري.

  3. حدد منطقة مناسبة وحجم جهاز ظاهري مدعوم.

  4. املأ القيم الأخرى في الجزء Basic كما تريد، ثم انتقل إلى جزء Disks.

    يتم تمييز لقطة شاشة لجزء أساسيات إنشاء الجهاز الظاهري والمنطقة وحجم الجهاز الظاهري.

  5. في جزء الأقراص، حدد التشفير في المضيف.

  6. قم بإجراء التحديدات المتبقية كما تريد.

    لقطة شاشة لجزء أقراص إنشاء الجهاز الظاهري، مع تمييز التشفير في المضيف.

  7. بالنسبة لبقية عملية نشر الجهاز الظاهري، قم بإجراء تحديدات تناسب بيئتك، وأكمل النشر.

لقد قمت الآن بنشر جهاز ظاهري مع تمكين التشفير عند المضيف، ويتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مدارة بواسطة النظام الأساسي.

توزيع جهاز ظاهري باستخدام مفاتيح يديرها العميل

بدلا من ذلك، يمكنك استخدام المفاتيح التي يديرها العميل لتشفير ذاكرة التخزين المؤقت للقرص.

إنشاء مجموعة Key Vault Azure وتشفير القرص

بمجرد تمكين الميزة، تحتاج إلى إعداد Azure Key Vault ومجموعة تشفير القرص، إذا لم تكن قد قمت بالفعل.

يتطلب إعداد المفاتيح التي يديرها العميل للأقراص إنشاء موارد بترتيب معين، إذا كنت تقوم بذلك للمرة الأولى. أولا، ستحتاج إلى إنشاء Azure Key Vault وإعداده.

إعداد Azure Key Vault الخاص بك

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن Key Vault وحددها.

    لقطة شاشة لمدخل Azure مع توسيع مربع حوار البحث.

    هام

    يجب أن يكون كل من مجموعة تشفير القرص والجهاز الظاهري والأقراص واللقطات في نفس المنطقة والاشتراك حتى نجاح عملية التوزيع. يمكن استخدام مخازن Azure Key من اشتراك مختلف ولكن يجب أن يكون في نفس المنطقة والمستأجر مثل مجموعة تشفير القرص.

  3. حدد +إنشاء لإنشاء Key Vault جديد.

  4. إنشاء مجموعة موارد جديدة.

  5. أدخل اسم Key Vault، وحدد منطقة، وحدد طبقة تسعير.

    إشعار

    عند إنشاء مثيل Key Vault، يجب تمكين الحماية من الحذف المبدئي والمسح. يضمن الحذف المبدئي أن Key Vault يحتوي على مفتاح محذوف لفترة استبقاء معينة (بشكل افتراضي لمدة 90 يوماً). تضمن الحماية من المسح عدم إمكانية حذف مفتاح محذوف نهائيًا حتى انقضاء فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف غير المقصود. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المُدارة.

  6. حدد مراجعة + إنشاء، وتحقق من اختياراتك، ثم حدد إنشاء.

    لقطة شاشة لتجربة إنشاء Azure Key Vault، تظهر القيم المعينة التي تقوم بإنشائها.

  7. بعد انتهاء المخزن الرئيسي من عملية التوزيع، حدده.

  8. حدد Keys ضمن Objects.

  9. حدد إنشاء/استيراد.

    لقطة شاشة لجزء إعدادات موارد Key Vault، تعرض زر الإنشاء/الاستيراد داخل الإعدادات.

  10. اترك كل من نوع المفتاح مضبوطاً على RSA وحجم مفتاح RSA مضبوطاً على 2048.

  11. املأ التحديدات المتبقية كما تريد، ثم حدد إنشاء.

    لقطة شاشة لجزء إنشاء مفتاح يظهر بمجرد تحديد زر الإنشاء/الاستيراد.

إضافة دور Azure RBAC

الآن بعد أن أنشأت المخزن الرئيسي Azure ومفتاح، يجب عليك إضافة دور Azure RBAC، حتى تتمكن من استخدام المخزن الرئيسي لـ Azure مع مجموعة تشفير القرص.

  1. حدد التحكم بالوصول وأضف دوراً.
  2. أضف إما أدوار مسؤول المخزن الرئيسي أو مالك أو مساهم.

إعداد مجموعة تشفير القرص

  1. ابحث عن مجموعات تشفير القرص وحددها.

  2. في جزء مجموعات تشفير القرص، حدد +إنشاء.

  3. حدد مجموعة الموارد الخاصة بك، واطلق اسم على مجموعة التشفير، وحدد نفس المنطقة مثل المخزن الرئيسي الخاص بك.

  4. بالنسبة إلى Encryption type، حدد Encryption at-rest with a customer-managed key.

    إشعار

    بعد إنشاء مجموعة تشفير قرص بنوع تشفير معين، لا يمكن تغييره. إذا كنت تريد استخدام نوع تشفير مختلف، فيجب عليك إنشاء مجموعة تشفير قرص جديدة.

  5. تأكد من تحديد Azure key vault والمفتاح المحدد.

  6. حدد المخزن الرئيسي والمفتاح الذي أنشأته مسبقا والإصدار.

  7. إذا كنت تريد تمكين التدوير التلقائي للمفاتيح المُدارة بواسطة العميل، فحدد التدوير التلقائي للمفاتيح.

  8. حدد Review + Create ثم Create.

    لقطة شاشة من جزء إنشاء تشفير القرص. توضح الاشتراك ومجموعة الموارد واسم مجموعة تشفير القرص والمنطقة والمخزن الرئيسي + محدد المفاتيح.

  9. انتقل إلى مجموعة تشفير القرص بمجرد نشرها، وحدد التنبيه المعروض.

    لقطة شاشة لمستخدم يحدد التنبيه

  10. سيؤدي ذلك إلى منح أذونات المخزن الرئيسي لمجموعة تشفير القرص.

    لقطة شاشة للتأكيد على منح الأذونات.

توزيع جهاز ظاهري

الآن بعد أن قمت بإعداد Azure Key Vault ومجموعة تشفير القرص، يمكنك نشر جهاز ظاهري ويستخدم التشفير في المضيف.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن الأجهزة الظاهرية وحدد + إضافة لإنشاء جهاز ظاهري.

  3. قم بإنشاء جهاز ظاهري جديد، وحدد منطقة مناسبة وحجم جهاز ظاهري مدعوم.

  4. املأ القيم الأخرى في الجزء أساسي كما تريد، ثم انتقل إلى جزء الأقراص.

    يتم تمييز لقطة شاشة لجزء أساسيات إنشاء الجهاز الظاهري والمنطقة وحجم الجهاز الظاهري.

  5. في جزء الأقراص، حدد التشفير في المضيف.

  6. حدد إدارة المفاتيح وحدد أحد المفاتيح التي يديرها العميل.

  7. قم بإجراء التحديدات المتبقية كما تريد.

    لقطة شاشة لجزء أقراص إنشاء الجهاز الظاهري، وتم تمييز التشفير في المضيف، وتحديد مفاتيح يديرها العميل.

  8. بالنسبة لبقية عملية نشر الجهاز الظاهري، قم بإجراء تحديدات تناسب بيئتك، وأكمل النشر.

لقد قمت الآن بنشر جهاز ظاهري مع تمكين التشفير عند المضيف باستخدام مفاتيح يديرها العميل.

تعطيل التشفير المستند إلى المضيف

قم بإلغاء تخصيص الجهاز الظاهري أولا، ولا يمكن تعطيل التشفير لدى المضيف ما لم يتم إلغاء تخصيص الجهاز الظاهري الخاص بك.

  1. على الجهاز الظاهري، حدد الأقراص ثم حدد إعدادات إضافية.

    لقطة شاشة لجزء الأقراص على جهاز افتراضي، يتم تمييز الإعدادات الإضافية.

  2. حدد لاللتشفير في المضيف ثم حدد حفظ.

الخطوات التالية

نماذج قالب Azure Resource Manager