Operációsrendszer-lemezek titkosítása ügyfél által felügyelt kulccsal az Azure Red Hat OpenShiften

Alapértelmezés szerint egy Azure Red Hat OpenShift-fürt virtuális gépeinek operációsrendszer-lemezeit a Microsoft Azure által kezelt automatikusan létrehozott kulcsokkal titkosították. A további biztonság érdekében az ügyfelek ön által felügyelt kulcsokkal titkosíthatják az operációsrendszer-lemezeket az Azure Red Hat OpenShift-fürt üzembe helyezésekor. Ez a funkció lehetővé teszi a bizalmas adatok ügyfél által felügyelt kulcsokkal (CMK) való titkosítását.

Az ügyfél által felügyelt kulcsokkal létrehozott fürtöknek engedélyezve van egy alapértelmezett tárolási osztály a kulcsukkal. Ezért ezek a kulcsok az operációsrendszer-lemezeket és az adatlemezeket is titkosítják. Az ügyfél által felügyelt kulcsok az Azure Key Vaultban vannak tárolva.

Az Azure Key Vault kulcsok létrehozására és karbantartására való használatával kapcsolatos további információkért tekintse meg az Azure Disk Storage kiszolgálóoldali titkosítását a Microsoft Azure dokumentációjában.

Gazdagépalapú titkosítással az Azure Red Hat OpenShift-ügynökcsomópontok virtuálisgép-gazdagépén tárolt adatok inaktív állapotban vannak titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. A gazdagépalapú titkosítás azt jelenti, hogy az ideiglenes lemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva.

Az operációs rendszer és az adatlemezek gyorsítótára inaktív állapotban, platform által felügyelt vagy ügyfél által felügyelt kulcsokkal van titkosítva, az adott lemezeken beállított titkosítási típustól függően. Alapértelmezés szerint az Azure Red Hat OpenShift használatakor az operációs rendszer és az adatlemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, ami azt jelenti, hogy ezen lemezek gyorsítótárai alapértelmezés szerint platform által felügyelt kulcsokkal vannak titkosítva inaktív állapotban.

Az alábbi titkosítási lépések végrehajtásával megadhatja saját felügyelt kulcsait. Ezeknek a lemezeknek a gyorsítótára is titkosítva lesz az ebben a lépésben megadott kulccsal.

Korlátozás

Az ügyfelek felelőssége, hogy fenntartsák a Key Vault- és lemeztitkosítási készletet az Azure-ban. A kulcsok karbantartásának elmulasztása az Azure Red Hat OpenShift-fürtök meghibásodását eredményezi. A virtuális gépek működése leáll, ezért a teljes Azure Red Hat OpenShift-fürt működése leáll.

Az Azure Red Hat OpenShift mérnöki csapata nem tudja elérni a kulcsokat. Ezért nem tudnak biztonsági másolatot készíteni, replikálni vagy lekérni a kulcsokat.

A lemeztitkosítási csoportok titkosítási kulcsok kezelésével kapcsolatos részletekért tekintse meg az Azure Disk Storage kiszolgálóoldali titkosítását a Microsoft Azure dokumentációjában.

Előfeltételek

• Ellenőrizze az engedélyeket. Közreműködői és felhasználói hozzáférési rendszergazdai engedélyekkel vagy tulajdonosi engedélyekkel kell rendelkeznie.

• Ha több Azure-előfizetéssel rendelkezik, regisztrálja az erőforrás-szolgáltatókat. A regisztráció részleteiért lásd : Az erőforrás-szolgáltatók regisztrálása.

• Az előfizetésben engedélyeznie kell a EncryptionAtHost funkciót. A következő futtatásával engedélyezheti:

  az feature register --namespace Microsoft.Compute --name EncryptionAtHost
  

• A funkció aktuális állapotát a következő futtatásával ellenőrizheti:

  az feature show --namespace Microsoft.Compute --name EncryptionAtHost
  

Két üres alhálózatot tartalmazó virtuális hálózat létrehozása

Hozzon létre egy két üres alhálózatot tartalmazó virtuális hálózatot. Ha rendelkezik egy meglévő virtuális hálózattal, amely megfelel az igényeinek, kihagyhatja ezt a lépést. A virtuális hálózat létrehozásának eljárását a két üres alhálózatot tartalmazó virtuális hálózat létrehozása című témakörben tekintheti át.

Azure Key Vault-példány létrehozása

A kulcsok tárolásához Azure Key Vault-példányt kell használnia. Hozzon létre egy új Key Vaultot, amelyen engedélyezve van a törlés elleni védelem. Ezután hozzon létre egy új kulcsot a Key Vaultban a saját egyéni kulcs tárolásához.

1. További környezeti engedélyek beállítása:

   export KEYVAULT_NAME=$USER-enckv
   export KEYVAULT_KEY_NAME=$USER-key
   export DISK_ENCRYPTION_SET_NAME=$USER-des
   

2. Hozzon létre egy Key Vaultot és egy kulcsot a Key Vaultban:

   az keyvault create -n $KEYVAULT_NAME \
                  -g $RESOURCEGROUP \
                  -l $LOCATION \
                  --enable-purge-protection true
   
   az keyvault key create --vault-name $KEYVAULT_NAME \
                          -n $KEYVAULT_KEY_NAME \
                          --protection software
   
   KEYVAULT_ID=$(az keyvault show --name $KEYVAULT_NAME --query "[id]" -o tsv)
   
   KEYVAULT_KEY_URL=$(az keyvault key show --vault-name $KEYVAULT_NAME \
                                           --name $KEYVAULT_KEY_NAME \
                                           --query "[key.kid]" -o tsv)
   

Azure Disk Encryption-készlet létrehozása

Az Azure Disk Encryption-készlet az Azure Red Hat OpenShift-fürtök lemezeinek referenciapontja. Csatlakozik az előző lépésben létrehozott Azure Key Vaulthoz, és lekéri az ügyfél által felügyelt kulcsokat erről a helyről.

az disk-encryption-set create -n $DISK_ENCRYPTION_SET_NAME \
                              -l $LOCATION \
                              -g $RESOURCEGROUP \
                              --source-vault $KEYVAULT_ID \
                              --key-url $KEYVAULT_KEY_URL

DES_ID=$(az disk-encryption-set show -n $DISK_ENCRYPTION_SET_NAME -g $RESOURCEGROUP --query 'id' -o tsv)

DES_IDENTITY=$(az disk-encryption-set show -n $DISK_ENCRYPTION_SET_NAME \
                                           -g $RESOURCEGROUP \
                                           --query "[identity.principalId]" \
                                           -o tsv)

Engedélyek megadása a Lemeztitkosítási csoport számára a Key Vault eléréséhez

Használja az előző lépésben létrehozott lemeztitkosítási csoportot, és adjon engedélyt a lemeztitkosítási csoportnak az Azure Key Vault eléréséhez és használatához.

az keyvault set-policy -n $KEYVAULT_NAME \
                       -g $RESOURCEGROUP \
                       --object-id $DES_IDENTITY \
                       --key-permissions wrapkey unwrapkey get

Azure Red Hat OpenShift-fürt létrehozása

Hozzon létre egy Azure Red Hat OpenShift-fürtöt az ügyfél által felügyelt kulcsok használatához.

Feljegyzés

A CMK engedélyezése a meglévő ARO-fürtökön csak feldolgozó csomópontok esetében lehetséges, fő csomópontokon nem. Ezt a machine-API használatával a machineet CR-eken keresztül érheti el. További információkért tekintse meg az ügyfél által felügyelt titkosítási kulcsok engedélyezését és a számításigép-készlet módosítását ismertető témakört.

az aro create --resource-group $RESOURCEGROUP \
              --name $CLUSTER  \
              --vnet aro-vnet  \
              --master-subnet master-subnet \
              --worker-subnet worker-subnet \
              --disk-encryption-set $DES_ID

Az Azure Red Hat OpenShift-fürt létrehozása után minden virtuális gép titkosítva lesz az ügyfél által kezelt titkosítási kulcsokkal.

A kulcsok helyes konfigurálásához futtassa a következő parancsokat:

1. Kérje le annak a fürterőforrás-csoportnak a nevét, amelyben a fürt virtuális gépei, lemezei és így tovább találhatók:

   CLUSTERRESOURCEGROUP=$(az aro show --resource-group $RESOURCEGROUP --name $CLUSTER --query 'clusterProfile.resourceGroupId' -o tsv | cut -d '/' -f 5)
   

2. Ellenőrizze, hogy a lemezekhez a megfelelő lemeztitkosítási csoport van-e csatlakoztatva:

   az disk list -g $CLUSTERRESOURCEGROUP --query '[].encryption'
   

   A kimenet mezőjének diskEncryptionSetId az Azure Red Hat OpenShift-fürt létrehozásakor megadott lemeztitkosítási csoportra kell mutatnia.