Povolení šifrování disků pro uzly spravovaného clusteru Service Fabric

Spravované clustery Service Fabric podporují dvě možnosti šifrování disků, které pomáhají chránit vaše data, aby se splnily závazky organizace v oblasti zabezpečení a dodržování předpisů. Doporučenou možností je Šifrování na hostiteli, ale podporuje také Službu Azure Disk Encryption. Zkontrolujte možnosti šifrování disku a ujistěte se, že vybraná možnost vyhovuje vašim potřebám.

Povolení šifrování na hostiteli

Tato metoda šifrování zlepšuje službu Azure Disk Encryption tím, že podporuje všechny typy a image operačního systému, včetně vlastních imagí, pro virtuální počítače šifrováním dat ve službě Azure Storage. Tato metoda nevyužívá procesor virtuálních počítačů ani nemá vliv na výkon virtuálních počítačů, což úlohám umožňuje využívat všechny dostupné prostředky skladové položky virtuálních počítačů.

Poznámka

U existujících typů uzlů nelze povolit. Musíte zřídit nový typ uzlu a migrovat úlohu.

Poznámka

Azure Security Center při použití šifrování na hostiteli se v tuto chvíli zobrazí stav šifrování disku není v pořádku.

Postupujte podle těchto kroků a projděte si tuto ukázkovou šablonu a nasaďte nový spravovaný cluster Service Fabric s povoleným šifrováním hostitele.

1. Projděte si následující omezení a ověřte, že splňují vaše požadavky.

2. Před nasazením clusteru nastavte požadované požadavky .

3. enableEncryptionAtHost Nakonfigurujte vlastnost v šabloně spravovaného clusteru pro každý typ šifrování disků uzlu. Ukázka je předem nakonfigurovaná.

   • Verze api prostředků spravovaného clusteru Service Fabric musí být 2021-11-01-preview nebo novější.

        {
               "apiVersion": "[variables('sfApiVersion')]",
               "type": "Microsoft.ServiceFabric/managedclusters/nodetypes",
               "name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]",
               "location": "[resourcegroup().location]",
               "properties": {
                   "enableEncryptionAtHost": true
                   ...
               }
       }
   

4. Nasazení a ověření

   Nasaďte spravovaný cluster nakonfigurovaný s povoleným šifrováním hostitele.

   $clusterName = "<clustername>" 
   $resourceGroupName = "<rg-name>"
   
   New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose 
   

   Stav šifrování disku v podkladové škálovací sadě typu uzlu můžete zkontrolovat pomocí Get-AzVmss příkazu . Nejprve budete muset najít název podpůrné skupiny prostředků spravovaného clusteru (která obsahuje základní virtuální síť, nástroj pro vyrovnávání zatížení, veřejnou IP adresu, skupinu zabezpečení sítě, škálovací sady a účty úložiště). Nezapomeňte upravit NodeTypeNAme název typu uzlu clusteru, který chcete zkontrolovat (jak je uvedeno v šabloně nasazení).

   $NodeTypeName = "NT2"
   $clustername = <clustername>
   $resourceGroupName = "<rg-name>"
   $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId
   $VMSS = Get-AzVmss -ResourceGroupName $supportResourceGroupName -Name $NodeTypeName
   $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
   

   Návratový výstup by měl vypadat nějak takto:

   $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
   True
   

Povolení služby Azure Disk Encryption

Azure Disk Encryption zajišťuje šifrování svazků pro disky s operačním systémem a datovými disky virtuálních počítačů Azure pomocí funkce DM-Crypt v Linuxu nebo nástroje BitLocker ve Windows. Služba ADE je integrovaná se službou Azure Key Vault, která pomáhá řídit a spravovat klíče a tajné kódy pro šifrování disků.

V této příručce se dozvíte, jak povolit šifrování disků na uzlech spravovaného clusteru Service Fabric ve Windows pomocí funkce Azure Disk Encryption pro škálovací sady virtuálních počítačů prostřednictvím šablon Azure Resource Manager (ARM).

1. Registrace ke službě Azure Disk Encryption

   Šifrování disků ve verzi Preview pro škálovací sadu virtuálních počítačů vyžaduje vlastní registraci. Spusťte následující příkaz:

   Register-AzProviderFeature -FeatureName "UnifiedDiskEncryption" -ProviderNamespace "Microsoft.Compute"
   

   Zkontrolujte stav registrace spuštěním příkazu:

   Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption"
   

   Jakmile se stav změní na Zaregistrováno, můžete pokračovat.

2. Zřízení Key Vault pro šifrování disku

   Azure Disk Encryption vyžaduje Key Vault Azure k řízení a správě šifrovacích klíčů a tajných kódů disků. Váš Key Vault a spravovaný cluster Service Fabric se musí nacházet ve stejné oblasti Azure a stejném předplatném. Pokud jsou tyto požadavky splněné, můžete použít novou nebo existující Key Vault tím, že povolíte šifrování disku.

3. Vytvoření Key Vault s povoleným šifrováním disků

   Spuštěním následujících příkazů vytvořte novou Key Vault pro šifrování disků. Ujistěte se, že oblast pro váš Key Vault je ve stejné oblasti jako váš cluster.

   PowerShell

   $resourceGroupName = "<rg-name>" 
   $keyvaultName = "<kv-name>" 
   
   New-AzResourceGroup -Name $resourceGroupName -Location eastus2 
   New-AzKeyVault -ResourceGroupName $resourceGroupName -Name $keyvaultName -Location eastus2 -EnabledForDiskEncryption
   

   Azure CLI

   $resourceGroupName = "<rg-name>" 
   $keyvaultName = "<kv-name>" 
   
   az keyvault create --resource-group $resourceGroupName --name $keyvaultName --enabled-for-disk-encryption
   

---

4. Aktualizace stávajících Key Vault pro povolení šifrování disku

   Spuštěním následujících příkazů povolte šifrování disku pro existující Key Vault.

   PowerShell

   Set-AzKeyVaultAccessPolicy -ResourceGroupName $resourceGroupName -VaultName $keyvaultName -EnabledForDiskEncryption
   

   Azure CLI

   az keyvault update --name keyvaultName --enabled-for-disk-encryption 
   

---

Aktualizace šablony a souborů parametrů pro šifrování disku

Následující krok vás provede požadovanými změnami šablony pro povolení šifrování disku v existujícím spravovaném clusteru. Alternativně můžete nasadit nový spravovaný cluster Service Fabric s povoleným šifrováním disků pomocí této šablony: https://github.com/Azure-Samples/service-fabric-cluster-templates/tree/master/SF-Managed-Standard-SKU-1-NT-DiskEncryption

1. Do šablony přidejte následující parametry a v části nahraďte vlastní předplatné, název skupiny prostředků a název trezoru keyVaultResourceId:

   "parameters": {
    "keyVaultResourceId": { 
      "type": "string", 
      "defaultValue": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>", 
      "metadata": { 
      "description": "Full resource id of the Key Vault used for disk encryption." 
   } 
    },
    "volumeType": { 
     "type": "string", 
     "defaultValue": "All", 
     "metadata": { 
      "description": "Type of the volume OS or Data to perform encryption operation" 
   }
   }
   }, 
   

2. Dále přidejte AzureDiskEncryption rozšíření virtuálního počítače do typů uzlů spravovaného clusteru v šabloně:

   "properties": { 
   "vmExtensions": [ 
   { 
   "name": "AzureDiskEncryption", 
   "properties": { 
     "publisher": "Microsoft.Azure.Security", 
     "type": "AzureDiskEncryption", 
     "typeHandlerVersion": "2.2", 
     "autoUpgradeMinorVersion": true, 
     "settings": {      
           "EncryptionOperation": "EnableEncryption", 
           "KeyVaultURL": "[reference(parameters('keyVaultResourceId'),'2016-10-01').vaultUri]", 
        "KeyVaultResourceId": "[parameters('keyVaultResourceID')]",
        "VolumeType": "[parameters('volumeType')]" 
        } 
      } 
   } 
   ] 
   } 
   

3. Nakonec aktualizujte soubor parametrů a nahraďte vlastní předplatné, skupinu prostředků a název trezoru klíčů v keyVaultResourceId:

   "parameters": { 
   ...
    "keyVaultResourceId": { 
     "value": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>" 
    },   
    "volumeType": { 
     "value": "All" 
    }    
   } 
   

4. Nasazení a ověření změn

   Až budete připravení, nasaďte změny, které povolí šifrování disku ve spravovaném clusteru.

   $clusterName = "<clustername>" 
   
   New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose 
   

   Stav šifrování disku v podkladové škálovací sadě typu uzlu můžete zkontrolovat pomocí Get-AzVmssDiskEncryption příkazu . Nejprve budete muset najít název podpůrné skupiny prostředků spravovaného clusteru (která obsahuje základní virtuální síť, nástroj pro vyrovnávání zatížení, veřejnou IP adresu, skupinu zabezpečení sítě, škálovací sady a účty úložiště). Nezapomeňte upravit VmssName název typu uzlu clusteru, který chcete zkontrolovat (jak je uvedeno v šabloně nasazení).

   $VmssName = "NT1"
   $clustername = <clustername>
   $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId
   Get-AzVmssDiskEncryption -ResourceGroupName $supportResourceGroupName -VMScaleSetName $VmssName
   

   Výstup by měl vypadat nějak takto:

   ResourceGroupName            : SFC_########-####-####-####-############
   VmScaleSetName               : NT1
   EncryptionEnabled            : True
   EncryptionExtensionInstalled : True
   

Další kroky

Ukázka: Standardní skladová položka spravovaného clusteru Service Fabric, jeden typ uzlu s povoleným šifrováním disků

Azure Disk Encryption pro virtuální počítače s Windows

Šifrování škálovacích sad virtuálních počítačů pomocí Azure Resource Manager