استخدم مدخل Azure لتمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف
ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows
عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. للحصول على معلومات مفاهيمية حول التشفير في المضيف، بالإضافة إلى أنواع تشفير القرص المُدار الأخرى، راجع التشفير في المضيف - التشفير من طرف إلى طرف لبيانات الجهاز الظاهري.
يتم تشفير الأقراص المؤقتة وأقراص نظام التشغيل سريعة الزوال في حالة السكون باستخدام المفاتيح المُدارة من قبل النظام الأساسي عند تمكين التشفير الشامل. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وأقراص البيانات في حالة السكون إما من خلال مفاتيح مدارة من قِبل العميل أو مُدارة من قِبل النظام الأساسي، اعتمادًا على نوع تشفير القرص الذي يمكنك تحديده. على سبيل المثال، إذا تم تشفير القرص بمفاتيح مدارة بواسطة العميل، فسيتم تشفير ذاكرة التخزين المؤقت للقرص بمفاتيح مدارة من جانب العميل، وإذا تم تشفير القرص بمفاتيح مدارة من النظام الأساسي، فسيتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مُدارة بواسطة النظام الأساسي.
القيود
- مدعوم لحجم قطاع 4k Ultra Disks وPremium SSD v2.
- مدعوم فقط على حجم قطاع 512e Ultra Disks وPremium SSD v2 إذا تم إنشاؤها بعد 5/13/2023.
- بالنسبة للأقراص التي تم إنشاؤها قبل هذا التاريخ، قم بلقطة القرص الخاص بك وإنشاء قرص جديد باستخدام اللقطة.
- لا يمكن تمكينه على الأجهزة الظاهرية (VMs) أو مجموعات مقياس الجهاز الظاهري التي تم تمكينها حاليا أو من أي وقت مضى تشفير قرص Azure.
- لا يمكن تمكين تشفير قرص Azure على الأقراص التي تم تمكين التشفير عند المضيف.
- يمكن تمكين التشفير على مجموعات مقياس الجهاز الظاهري الموجودة. ومع ذلك، يتم تشفير الأجهزة الظاهرية الجديدة التي تم إنشاؤها بعد تمكين التشفير تلقائياً.
- يجب إلغاء تخصيص الأجهزة الظاهرية الحالية وإعادة تخصيصها من أجل تشفيرها.
التوفر الإقليمي
يتوفر التشفير في المضيف في جميع المناطق لجميع أنواع الأقراص.
أحجام الأجهزة الظاهرية المدعمة
أحجام الأجهزة الظاهرية القديمة غير مدعومة. يمكنك العثور على قائمة بأحجام الأجهزة الظاهرية المدعومة إما باستخدام وحدة Azure PowerShell أو واجهة سطر الأوامر Azure.
المتطلبات الأساسية
يجب تمكين الميزة لاشتراكك قبل أن تتمكن من استخدام التشفير في المضيف إما لجهازك الظاهري أو مجموعة مقياس الجهاز الظاهري. اتبع الخطوات التالية لتمكين ميزة اشتراكك:
مدخل Azure: حدد أيقونة Cloud Shell على مدخل Azure:
قم بتنفيذ الأمر التالي لتسجيل الميزة لاشتراكك
Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
تأكد من أن حالة التسجيل مسجلة (قد يستغرق التسجيل بضع دقائق) باستخدام الأمر التالي قبل تجربة الميزة.
Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
توزيع جهاز ظاهري باستخدام مفاتيح مدارة بواسطة النظام الأساسي
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Virtual Machines وحدد + Create لإنشاء جهاز ظاهري.
حدد منطقة مناسبة وحجم جهاز ظاهري مدعوم.
املأ القيم الأخرى في الجزء Basic كما تريد، ثم انتقل إلى جزء Disks.
في جزء الأقراص، حدد التشفير في المضيف.
قم بإجراء التحديدات المتبقية كما تريد.
بالنسبة لبقية عملية نشر الجهاز الظاهري، قم بإجراء تحديدات تناسب بيئتك، وأكمل النشر.
لقد قمت الآن بنشر جهاز ظاهري مع تمكين التشفير عند المضيف، ويتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مدارة بواسطة النظام الأساسي.
توزيع جهاز ظاهري باستخدام مفاتيح يديرها العميل
بدلا من ذلك، يمكنك استخدام المفاتيح التي يديرها العميل لتشفير ذاكرة التخزين المؤقت للقرص.
إنشاء مجموعة Key Vault Azure وتشفير القرص
بمجرد تمكين الميزة، تحتاج إلى إعداد Azure Key Vault ومجموعة تشفير القرص، إذا لم تكن قد قمت بالفعل.
يتطلب إعداد المفاتيح التي يديرها العميل للأقراص إنشاء موارد بترتيب معين، إذا كنت تقوم بذلك للمرة الأولى. أولا، ستحتاج إلى إنشاء Azure Key Vault وإعداده.
إعداد Azure Key Vault الخاص بك
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Key Vault وحددها.
هام
يجب أن يكون كل من مجموعة تشفير القرص والجهاز الظاهري والأقراص واللقطات في نفس المنطقة والاشتراك حتى نجاح عملية التوزيع. يمكن استخدام مخازن Azure Key من اشتراك مختلف ولكن يجب أن يكون في نفس المنطقة والمستأجر مثل مجموعة تشفير القرص.
حدد +إنشاء لإنشاء Key Vault جديد.
إنشاء مجموعة موارد جديدة.
أدخل اسم Key Vault، وحدد منطقة، وحدد طبقة تسعير.
إشعار
عند إنشاء مثيل Key Vault، يجب تمكين الحماية من الحذف المبدئي والمسح. يضمن الحذف المبدئي أن Key Vault يحتوي على مفتاح محذوف لفترة استبقاء معينة (بشكل افتراضي لمدة 90 يوماً). تضمن الحماية من المسح عدم إمكانية حذف مفتاح محذوف نهائيًا حتى انقضاء فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف غير المقصود. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المُدارة.
حدد مراجعة + إنشاء، وتحقق من اختياراتك، ثم حدد إنشاء.
بعد انتهاء المخزن الرئيسي من عملية التوزيع، حدده.
حدد Keys ضمن Objects.
حدد إنشاء/استيراد.
اترك كل من نوع المفتاح مضبوطاً على RSA وحجم مفتاح RSA مضبوطاً على 2048.
املأ التحديدات المتبقية كما تريد، ثم حدد إنشاء.
إضافة دور Azure RBAC
الآن بعد أن أنشأت المخزن الرئيسي Azure ومفتاح، يجب عليك إضافة دور Azure RBAC، حتى تتمكن من استخدام المخزن الرئيسي لـ Azure مع مجموعة تشفير القرص.
- حدد التحكم بالوصول وأضف دوراً.
- أضف إما أدوار مسؤول المخزن الرئيسي أو مالك أو مساهم.
إعداد مجموعة تشفير القرص
ابحث عن مجموعات تشفير القرص وحددها.
في جزء مجموعات تشفير القرص، حدد +إنشاء.
حدد مجموعة الموارد الخاصة بك، واطلق اسم على مجموعة التشفير، وحدد نفس المنطقة مثل المخزن الرئيسي الخاص بك.
بالنسبة إلى Encryption type، حدد Encryption at-rest with a customer-managed key.
إشعار
بعد إنشاء مجموعة تشفير قرص بنوع تشفير معين، لا يمكن تغييره. إذا كنت تريد استخدام نوع تشفير مختلف، فيجب عليك إنشاء مجموعة تشفير قرص جديدة.
تأكد من تحديد Azure key vault والمفتاح المحدد.
حدد المخزن الرئيسي والمفتاح الذي أنشأته مسبقا والإصدار.
إذا كنت تريد تمكين التدوير التلقائي للمفاتيح المُدارة بواسطة العميل، فحدد التدوير التلقائي للمفاتيح.
حدد Review + Create ثم Create.
انتقل إلى مجموعة تشفير القرص بمجرد نشرها، وحدد التنبيه المعروض.
سيؤدي ذلك إلى منح أذونات المخزن الرئيسي لمجموعة تشفير القرص.
توزيع جهاز ظاهري
الآن بعد أن قمت بإعداد Azure Key Vault ومجموعة تشفير القرص، يمكنك نشر جهاز ظاهري ويستخدم التشفير في المضيف.
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن الأجهزة الظاهرية وحدد + إضافة لإنشاء جهاز ظاهري.
قم بإنشاء جهاز ظاهري جديد، وحدد منطقة مناسبة وحجم جهاز ظاهري مدعوم.
املأ القيم الأخرى في الجزء أساسي كما تريد، ثم انتقل إلى جزء الأقراص.
في جزء الأقراص، حدد التشفير في المضيف.
حدد إدارة المفاتيح وحدد أحد المفاتيح التي يديرها العميل.
قم بإجراء التحديدات المتبقية كما تريد.
بالنسبة لبقية عملية نشر الجهاز الظاهري، قم بإجراء تحديدات تناسب بيئتك، وأكمل النشر.
لقد قمت الآن بنشر جهاز ظاهري مع تمكين التشفير عند المضيف باستخدام مفاتيح يديرها العميل.
تعطيل التشفير المستند إلى المضيف
قم بإلغاء تخصيص الجهاز الظاهري أولا، ولا يمكن تعطيل التشفير لدى المضيف ما لم يتم إلغاء تخصيص الجهاز الظاهري الخاص بك.
على الجهاز الظاهري، حدد الأقراص ثم حدد إعدادات إضافية.
حدد لاللتشفير في المضيف ثم حدد حفظ.