Lemezek titkosítása ügyfél által felügyelt kulcsokkal a Azure DevTest Labs

  • Cikk

A kiszolgálóoldali titkosítás (SSE) védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek. Az SSE alapértelmezés szerint automatikusan titkosítja az Azure-ban (operációs rendszerben és adatlemezeken) lévő felügyelt lemezeken tárolt adatokat, amikor azokat a felhőben őrzi meg. További információ az Azure-beli lemeztitkosításról .

A DevTest Labsben a tesztkörnyezet részeként létrehozott operációsrendszer-lemezek és adatlemezek platform által felügyelt kulcsokkal vannak titkosítva. Tesztkörnyezettulajdonosként azonban dönthet úgy, hogy saját kulcsokkal titkosítja a tesztkörnyezet virtuálisgép-lemezeit. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, megadhat egy ügyfél által kezelt kulcsot , amelyet a tesztkörnyezet lemezeinek adatainak titkosításához használhat. A kiszolgálóoldali titkosításról (SSE) az ügyfél által felügyelt kulcsokkal és más felügyelt lemeztitkosítási típusokkal kapcsolatos további információkért lásd: Ügyfél által felügyelt kulcsok. Lásd még az ügyfél által felügyelt kulcsok használatára vonatkozó korlátozásokat.

Megjegyzés

  • A beállítás a tesztkörnyezetben újonnan létrehozott lemezekre vonatkozik. Ha úgy dönt, hogy valamikor módosítja a lemeztitkosítási készletet, a tesztkörnyezet régebbi lemezei továbbra is titkosítva maradnak az előző lemeztitkosítási készlettel.

A következő szakasz bemutatja, hogyan állíthatja be a tesztkörnyezet tulajdonosa a titkosítást egy ügyfél által felügyelt kulccsal.

Előfeltételek

  1. Ha nincs lemeztitkosítási készlete, ebben a cikkben Key Vault és lemeztitkosítási készletet állíthat be. Vegye figyelembe a lemeztitkosítási csoport következő követelményeit:

    • A lemeztitkosítási készletnek ugyanabban a régióban és előfizetésben kell lennie, mint a tesztkörnyezetnek.
    • Győződjön meg arról, hogy (a tesztkörnyezet tulajdonosa) rendelkezik legalább olvasószintű hozzáféréssel ahhoz a lemeztitkosítási csoporthoz, amelyet a tesztkörnyezet lemezeinek titkosítására fog használni.

  2. A 2020. 08. 01. előtt létrehozott tesztkörnyezetek esetében a tesztkörnyezet tulajdonosának biztosítania kell, hogy a tesztkörnyezetrendszerhez rendelt identitás engedélyezve legyen. Ehhez a tesztkörnyezet tulajdonosa megnyithatja a tesztkörnyezetet, kattintson a Konfiguráció és szabályzatok elemre, kattintson az Identitás (előzetes verzió) panelre, módosítsa a Rendszer által hozzárendelt identitás állapota beállítástBe állásba , majd kattintson a Mentés gombra. A 2020. 08. 01. után létrehozott új tesztkörnyezetek rendszer által hozzárendelt identitása alapértelmezés szerint engedélyezve lesz.

    Felügyelt kulcsok

  3. Ahhoz, hogy a tesztkörnyezet az összes tesztkörnyezetlemez titkosítását kezelje, a tesztkörnyezet tulajdonosának explicit módon meg kell adnia a tesztkörnyezet rendszer által hozzárendelt identitásolvasó szerepkörét a lemeztitkosítási készletben, valamint a virtuális gépek közreműködői szerepkörét a mögöttes Azure-előfizetésben. A tesztkörnyezet tulajdonosa ezt a következő lépések végrehajtásával teheti meg:

    1. Győződjön meg arról, hogy tagja a Felhasználói hozzáférés rendszergazdája szerepkörnek az Azure-előfizetés szintjén, hogy kezelni tudja az Azure-erőforrásokhoz való felhasználói hozzáférést.

    2. A Lemeztitkosítási csoport lapon rendelje hozzá legalább az Olvasó szerepkört ahhoz a labornévhez, amelyhez a lemeztitkosítási készletet használni fogja.

      A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

    3. Lépjen a Azure Portal Előfizetés lapjára.

    4. Rendelje hozzá a virtuálisgép-közreműködő szerepkört a tesztkörnyezet nevéhez (a tesztkörnyezet rendszer által hozzárendelt identitásához).

Tesztkörnyezet operációsrendszer-lemezeinek titkosítása ügyfél által felügyelt kulccsal

  1. A tesztkörnyezet kezdőlapján, a Azure Portal válassza a bal oldali menü Konfiguráció és szabályzatok elemét.

  2. A Konfiguráció és szabályzatok lapon válassza a Lemezek (előzetes verzió) lehetőséget a Titkosítás szakaszban. Alapértelmezés szerint a Titkosítás típusa Inaktív állapotban titkosítás platform által felügyelt kulccsal beállításra van állítva.

    A Konfiguráció és szabályzatok lap Lemezek lapja

  3. A Titkosítás típusa beállításnál válassza az Inaktív állapotú titkosítás ügyfél által kezelt kulccsal lehetőséget a legördülő listából.

  4. A Lemeztitkosítási csoport beállításnál válassza ki a korábban létrehozott lemeztitkosítási csoportot. Ez ugyanaz a lemeztitkosítási készlet, amelyhez a tesztkörnyezet rendszer által hozzárendelt identitása hozzáfér.

  5. Válassza az eszköztár Save (Mentés) elemét.

    Titkosítás engedélyezése ügyfél által felügyelt kulccsal

  6. Az üzenetpanelen a következő szöveggel: Ez a beállítás a tesztkörnyezetben újonnan létrehozott gépekre lesz érvényes. A régi operációsrendszer-lemez titkosítva marad a régi lemeztitkosítási készlettel, válassza az OK gombot.

    A konfigurálást követően a tesztkörnyezet lemezei a lemeztitkosítási készlettel biztosított, ügyfél által kezelt kulccsal lesznek titkosítva.

Annak ellenőrzése, hogy a lemezek titkosítva vannak-e

  1. Lépjen egy tesztkörnyezeti virtuális gépre, amelyet azután hoztak létre, hogy engedélyezte a lemeztitkosítást egy ügyfél által felügyelt kulccsal a tesztkörnyezetben.

    Virtuális gép engedélyezett lemeztitkosítással

  2. Kattintson a virtuális gép erőforráscsoportjára, és kattintson az operációsrendszer-lemezre.

    Virtuálisgép-erőforráscsoport

  3. Lépjen a Titkosítás elemre, és ellenőrizze, hogy a titkosítás ügyfél által kezelt kulcsra van-e beállítva a kiválasztott Lemeztitkosítási beállítással.

    Titkosítás ellenőrzése

Következő lépések

Lásd az alábbi cikkeket: