Sdílet prostřednictvím

Šifrování disků pomocí klíčů spravovaných zákazníkem v Azure DevTest Labs

  • Článek

Šifrování na straně serveru (SSE) chrání vaše data a pomáhá splnit závazky organizace v oblasti zabezpečení a dodržování předpisů. SSE ve výchozím nastavení automaticky šifruje neaktivní uložená data uložená na spravovaných discích v Azure (disky s operačním systémem a datovými disky) při jejich uchování v cloudu. Přečtěte si další informace o službě Disk Encryption v Azure.

V rámci DevTest Labs se všechny disky s operačním systémem a datové disky vytvořené jako součást testovacího prostředí šifrují pomocí klíčů spravovaných platformou. Jako vlastník testovacího prostředí se ale můžete rozhodnout šifrovat disky virtuálních počítačů testovacího prostředí pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem , který se použije k šifrování dat na discích testovacího prostředí. Další informace o šifrování na straně serveru (SSE) pomocí klíčů spravovaných zákazníkem a dalších typech šifrování spravovaných disků najdete v tématu Klíče spravované zákazníkem. Projděte si také omezení při používání klíčů spravovaných zákazníkem.

Poznámka

  • Toto nastavení platí pro nově vytvořené disky v testovacím prostředí. Pokud se v určitém okamžiku rozhodnete změnit nastavení šifrování disků, zůstanou starší disky v testovacím prostředí dál šifrované pomocí předchozí sady šifrování disků.

Následující část ukazuje, jak může vlastník testovacího prostředí nastavit šifrování pomocí klíče spravovaného zákazníkem.

Požadavky

  1. Pokud nemáte nastavené šifrování disků, postupujte podle tohoto článku a nastavte Key Vault a sadu šifrování disků. Všimněte si následujících požadavků na sadu šifrování disků:

    • Sada šifrování disků musí být ve stejné oblasti a předplatném jako testovací prostředí.
    • Ujistěte se, že (vlastník testovacího prostředí) máte alespoň přístup na úrovni čtenáře k sadě šifrování disků, která se použije k šifrování disků testovacího prostředí.

  2. U testovacích prostředí vytvořených před 1. 8. 2020 musí vlastník testovacího prostředí zajistit, aby byla povolená identita přiřazená systémem testovacího prostředí. Pokud to chcete udělat, může vlastník testovacího prostředí přejít do svého testovacího prostředí, kliknout na Konfigurace a zásady, kliknout na okno Identita (Preview), změnit Stav identity přiřazené systémem na Zapnuto a kliknout na Uložit. U nových testovacích prostředí vytvořených po 1. 8. 2020 bude identita přiřazená systémem ve výchozím nastavení povolená.

    Spravované klíče

  3. Aby testovací prostředí zvládlo šifrování všech disků testovacího prostředí, musí vlastník testovacího prostředí explicitně udělit roli čtenáře identity přiřazené systémem testovacího prostředí v sadě šifrování disků a také roli Přispěvatel virtuálních počítačů v podkladovém předplatném Azure. Vlastník testovacího prostředí to může provést provedením následujících kroků:

    1. Ujistěte se, že jste členem role Správce uživatelských přístupů na úrovni předplatného Azure, abyste mohli spravovat přístup uživatelů k prostředkům Azure.

    2. Na stránce Sada šifrování disků přiřaďte alespoň roli Čtenář názvu testovacího prostředí, pro které se bude sada šifrování disků používat.

      Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

    3. V Azure Portal přejděte na stránku Předplatné.

    4. Přiřaďte roli Přispěvatel virtuálních počítačů k názvu testovacího prostředí (identita přiřazená systémem pro testovací prostředí).

Šifrování disků s operačním systémem testovacího prostředí pomocí klíče spravovaného zákazníkem

  1. Na domovské stránce testovacího prostředí v Azure Portal v nabídce vlevo vyberte Konfigurace a zásady.

  2. Na stránce Konfigurace a zásady vyberte Disky (Preview) v části Šifrování . Ve výchozím nastavení je typ šifrování nastavený na Šifrování neaktivních uložených dat pomocí klíče spravovaného platformou.

    Karta Disky na stránce Konfigurace a zásady

  3. Jako Typ šifrování vyberte z rozevíracího seznamu Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem .

  4. V části Sada šifrování disků vyberte sadu šifrování disku, kterou jste vytvořili dříve. Jedná se o stejnou sadu šifrování disků, ke které má přístup identita přiřazená systémem testovacího prostředí.

  5. Na panelu nástrojů vyberte Uložit.

    Povolení šifrování s využitím klíče spravovaného zákazníkem

  6. V okně se zprávou s následujícím textem: Toto nastavení bude platit pro nově vytvořené počítače v testovacím prostředí. Starý disk s operačním systémem zůstane zašifrovaný pomocí staré sady šifrování disku. Vyberte OK.

    Po nakonfigurování se disky testovacího prostředí zašifrují pomocí klíče spravovaného zákazníkem, který je k dispozici pomocí sady šifrování disků.

Jak ověřit, jestli se disky šifrují

  1. Přejděte na virtuální počítač testovacího prostředí vytvořený po povolení šifrování disku s klíčem spravovaným zákazníkem v testovacím prostředí.

    Virtuální počítač s povoleným šifrováním disků

  2. Klikněte na skupinu prostředků virtuálního počítače a klikněte na disk s operačním systémem.

    Skupina prostředků virtuálního počítače

  3. Přejděte do části Šifrování a ověřte, jestli je šifrování nastavené na klíč spravovaný zákazníkem s vybranou sadou šifrování disků.

    Ověření šifrování

Další kroky

Viz následující články: