Partager via


Gérer des données chiffrées dans Windows Azure Pack

 

S’applique à : Windows Azure Pack

Windows Azure Pack pour Windows Server utilise des algorithmes de chiffrement, des clés de chiffrement et des mots de passe pour sécuriser les communications entre les bases de données et les utilisateurs du portail de gestion. Ces données sont stockées à deux ou trois emplacements.

Pour préserver la sécurité de vos données, vous devez modifier ou faire pivoter les données de manière régulière. Quand vous modifiez des données à un emplacement, vous devez les modifier à tous les emplacements.

Nous fournissons une feuille de calcul répertoriant tous les algorithmes de chiffrement, les clés et les mots de passe et leurs emplacements de stockage. Cette feuille de calcul contient également des informations sur la façon de modifier chaque point de données. Vous pouvez accéder à la feuille de calcul dans le Windows package de documentation technique Azure Pack (https://go.microsoft.com/fwlink/?LinkId=329811) disponible à partir du Centre de téléchargement Microsoft. Cliquez sur Télécharger, sélectionnez le fichier WAPv1_encryption.xsl, puis cliquez sur Suivant pour commencer à télécharger le fichier.

Vous pouvez également utiliser l’Analyseur de bonnes pratiques pour Windows Azure Pack pour vérifier la sécurité de vos données. Pour plus d’informations sur l’Analyseur de bonnes pratiques, consultez Analyses des composants de Windows Azure Pack.

Utilisez les informations suivantes pour gérer vos données chiffrées :

  • Modification d'un mot de passe de base de données

  • Rotation de données chiffrées relatives à la clé d'ordinateur

  • Rotation des algorithmes de chiffrement et des clés

  • Modification du mot de passe de l'API Usage Admin

  • Modification des mots de passe liés aux fournisseurs de ressources

  • Modification du mot de passe lié à Service Reporting

Modification d'un mot de passe de base de données

Il existe plusieurs bases de données dans Windows Azure Pack, chacune ayant un mot de passe de base de données. Pour faire pivoter les mots de passe de base de données, procédez comme suit :

Pour faire pivoter un mot de passe de base de données

  1. Obtenez un nouveau mot de passe. Exécutez l’applet de commande suivante :

    $password = New-MgmtSvcPassword –Length 64
    
  2. Utilisez les données de la feuille de calcul pour rechercher et faire pivoter le mot de passe de base de données au premier emplacement. Par exemple, si vous faites pivoter le mot de passe de base de données pour l'API Admin, le premier emplacement est le magasin de configuration Secret (vérifiez l'Emplacement 1 dans la colonne C).

    Exécutez l'applet de commande suivante pour modifier le mot de passe :

    Set-MgmtSvcDatabaseSetting <Service>  <Secret>  $password -Server <Server> -Passphrase <Passphrase> -Database “Microsoft.MgmtSvc.Config” -Force
    
  3. Ensuite, recherchez le mot de passe de base de données du troisième emplacement et faites-le pivoter. Dans l'exemple ci-dessus, pour le mot de passe de base de données de l'API Admin, il s'agit de la connexion de sécurité SQL Server (vérifiez l'Emplacement 3 dans la colonne G).

    Exécutez l’applet de commande suivante :

    Set-MgmtSvcDatabaseUser -Server <Server> -Database <Database> -Schema <Schema> -User <User> -UserPassword $password
    
  4. Pour finir, recherchez le mot de passe de base de données du deuxième emplacement et faites-le pivoter. Là encore, pour le mot de passe de base de données de l'API Admin, il s'agit de la chaîne de connexion web.config (vérifiez l'Emplacement 2 dans la colonne E).

    Exécutez les applets de commande suivantes :

    $setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase>
    $connectionString = Get-MgmtSvcSetting $namespace <ConnectionString>
    $builder = New-Object System.Data.SqlClient.SqlConnectionStringBuilder($connectionString.Value)
    $builder.Password = $setting.Value
    Set-MgmtSvcSetting <Service> <ConnectionString> $builder.ConnectionString
    

Les paramètres et les clés de déchiffrement et de validation de l'API Admin, du portail de gestion pour les administrateurs (AdminSite), du site d'authentification (AuthSite), du portail de gestion pour les locataires (TenantSite) et du site d'authentification Windows (WindowsAuthSite) sont stockés à l'aide de la clé d'ordinateur. Utilisez les étapes suivantes pour faire pivoter ces données.

  1. Obtenez une nouvelle clé d'ordinateur. L'exemple suivant obtient une nouvelle clé d'ordinateur pour machineKey.decrytpion pour le service Admin API. Vous pouvez utiliser ces étapes pour modifier d'autres valeurs de clé d'ordinateur.

    Exécutez les applets de commande suivantes pour obtenir une nouvelle clé d'ordinateur :

    $machineKey = New-MgmtSvcMachineKey
    $decryption = $machineKey.Attribute('decryption').Value
    
  2. Utilisez les données de la feuille de calcul pour trouver le premier emplacement de machineKey.decryption. Pour le service d’API Administration, il s’agit du magasin de configuration secret.

    Exécutez l'applet de commande suivante pour modifier le paramètre machineKey.decryption :

    Set-MgmtSvcDatabaseSetting <Service> "machineKey.decryption" $decryption -Server <Server> -Passphrase <Passphrase> -Force
    
  3. Recherchez le deuxième emplacement de machineKey.decryption. Pour le service API Administration, il s’agit de la section machineKey web.config.

    Exécutez les applets de commande suivantes pour modifier le paramètre machineKey.decryption :

    $decryption = Get-MgmtSvcDatabaseSetting <Service> “machineKey.decryption” –Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> "machineKey.decryption" $decryption.Value
    

Rotation des algorithmes de chiffrement et des clés

Utilisez les étapes suivantes pour faire pivoter des algorithmes de chiffrement et des clés de chiffrement.

Pour faire pivoter des algorithmes de chiffrement et des clés de chiffrement

  1. Obtenez une nouvelle clé d'ordinateur. L'exemple suivant obtient une nouvelle clé d'ordinateur pour l'algorithme de chiffrement Notification et une nouvelle clé pour le site d'administration. Vous pouvez utiliser ces étapes pour modifier d'autres clés et algorithmes de chiffrement.

    Notes

    Les mêmes clés sont utilisées pour le chiffrement et le déchiffrement. Ainsi, elles peuvent être considérées à la fois comme des clés de chiffrement ou de déchiffrement, en fonction de l'opération effectuée. En raison de cela, nous utilisons la valeur de déchiffrement ci-dessous, bien que la clé que vous pivotez est la clé de chiffrement .

    Exécutez les applets de commande suivantes pour obtenir une nouvelle clé d'ordinateur :

    $machineKey = New-MgmtSvcMachineKey
    $encryption = $machineKey.Attribute('decryption').Value
    $encryptionKey = $machineKey.Attribute('decryptionKey').Value
    
  2. Utilisez les données de la feuille de calcul pour rechercher le premier emplacement de l'algorithme ou de la clé de chiffrement. Pour la clé et l'algorithme de chiffrement Notification pour le site d'administration, il s'agit du magasin de configuration Secret.

    Exécutez les applets de commande suivantes pour modifier la clé et l'algorithme de chiffrement :

    Set-MgmtSvcDatabaseSetting <Service> "NotificationEncryptionAlgorithm " $encryption -Server <Server> -Passphrase <Passphrase> -Force
    Set-MgmtSvcDatabaseSetting <Service> "EncryptionKey " $encryptionKey -Server <Server> -Passphrase <Passphrase> -Force
    
  3. Recherchez le deuxième emplacement de la clé ou de l'algorithme de chiffrement. Pour la clé et l'algorithme de chiffrement Notification pour le site d'administration, il s'agit de la section de paramètres d'application du fichier web.config.

    Exécutez les applets de commande suivantes pour modifier la clé et l'algorithme de chiffrement :

    $encryption = Get-MgmtSvcDatabaseSetting <Service> “NotificationEncryptionAlgorithm” –Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> "NotificationEncryptionAlgorithm" $encryption.Value
    $encryptionKey = Get-MgmtSvcDatabaseSetting <Service> “EncryptionKey” –Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> "EncryptionKey" $encryptionKey.Value
    

Modification du mot de passe de l'API Usage Admin

Contrairement aux mots de passe utilisés par les fournisseurs de ressources (qui sont décrits dans la section suivante), le mot de passe de l'API Usage Admin est stocké dans le magasin de configuration Secret et dans la section de paramètres d'application du fichier web.config. Utilisez les étapes suivantes pour modifier le mot de passe de l'API Usage Admin.

Pour faire pivoter le mot de passe de l'API Usage Admin

  1. Obtenez un nouveau mot de passe. Exécutez l’applet de commande suivante :

    $password = New-MgmtSvcPassword
    
  2. Modifiez le mot de passe au premier emplacement, le magasin de configuration Secret. Exécutez l’applet de commande suivante :

    Set-MgmtSvcDatabaseSetting <Service>  <Secret>  $password -Server <Server> -Passphrase <Passphrase> -Force
    
  3. Modifiez le mot de passe au deuxième emplacement, la section de paramètres d'application du fichier web.config. Exécutez les applets de commande suivantes :

    $setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> <Secret> $setting.Value
    

Utilisez les informations suivantes pour faire pivoter les mots de passe pour les fournisseurs de ressources Surveillance, MySQL, SQL Server et Utilisation.

Pour faire pivoter les mots de passe des fournisseurs de ressources

  1. Obtenez un nouveau mot de passe pour le fournisseur de ressources. Exécutez l’applet de commande suivante :

    $password = New-MgmtSvcPassword
    
  2. Modifiez le mot de passe au premier emplacement. Exécutez l’applet de commande suivante :

    Set-MgmtSvcDatabaseSetting <Service> “Password” $pw -Server <Server> -Passphrase <Passphrase> -Force
    
  3. Modifiez le mot de passe au troisième emplacement.

    Notes

    Pour le service Surveillance, le mot de passe est « MonitoringRestBasicAuthKnownPassword ». Pour les autres fournisseurs de ressources, le mot de passe est « Password ».

    Exécutez l’applet de commande suivante :

    Set-MgmtSvcSetting <Service>  “Password” $pw -Encode
    
  4. Modifiez le mot de passe au deuxième emplacement.

    Notes

    Les applets de commande suivantes modifient le mot de passe pour les quatre points de terminaison, mais tous les fournisseurs de ressources ne possèdent pas tous ces points de terminaison. Examinez les résultats de $rp pour identifier les points de terminaison pour chaque fournisseur de ressources, puis ajustez les valeurs d'AuthenticationPassword en conséquence.

    Exécutez les applets de commande suivantes :

    $rp = Get-MgmtSvcResourceProviderConfiguration <Resource Provider Name> -DecryptPassword
    $rp.AdminEndpoint.AuthenticationPassword = $pw
    $rp.TenantEndpoint.AuthenticationPassword = $pw
    $rp.UsageEndpoint.AuthenticationPassword = $pw
    $rp.NotificationEndpoint.AuthenticationPassword = $pw
    Add-MgmtSvcResourceProviderConfiguration $rp -Force
    

Si vous utilisez Service Reporting avec Windows Azure Pack, vous devez mettre à jour le mot de passe dans les machines virtuelles SQL de création de rapports de service lorsque vous modifiez le mot de passe du service d’utilisation.

Utilisez les étapes suivantes pour réinitialiser le mot de passe.

Pour modifier les mots de passe des machines virtuelles SQL pour Service Reporting

  1. Sur la machine virtuelle sur laquelle vous avez installé la base de données SQL qui prend en charge Service Reporting, vérifiez que le travail de l'agent SQL Reporting Services n'est pas en cours d'exécution. Utilisez les étapes suivantes pour afficher l'état du travail :

    1. Connecter à l’instance <>de base de données préfixe-DW-SQL\CPSDW.

    2. Dans le Explorateur d'objets, développez SQL Server Agent.

    3. Cliquez ensuite sur Travaux.

    4. Sous l’onglet Affichage, cliquez sur Explorateur d'objets Détails.

      Vérifiez la colonne État pour voir si le travail de l’agent est en cours d’exécution.

  2. Service Reporting inclut un script que vous pouvez exécuter pour modifier le mot de passe. Exécutez l'applet de commande suivante à partir d'une invite de commandes PowerShell pour exécuter ce script.

    \\<Service reporting host>\ServiceReporting\Maintenance\PostDeploymentConfig.ps1 -User UsageClient –Password $newPassword