Lemeztitkosítás engedélyezése Service Fabric által felügyelt fürtcsomópontokhoz

  • Cikk

A Service Fabric által felügyelt fürtök két lemeztitkosítási lehetőséget támogatnak az adatok védelme érdekében, hogy megfeleljenek a szervezeti biztonsági és megfelelőségi követelményeknek. A javasolt beállítás a titkosítás a gazdagépen, de támogatja az Azure Disk Encryptiont is. Tekintse át a lemeztitkosítási beállításokat , és győződjön meg arról, hogy a kiválasztott beállítás megfelel az igényeinek.

Titkosítás engedélyezése a gazdagépen

Ez a titkosítási módszer javítja az Azure Disk Encryptiont azáltal, hogy támogatja a virtuális gépek összes operációs rendszertípusát és rendszerképét, beleértve az egyéni rendszerképeket is, az Azure Storage szolgáltatásban lévő adatok titkosításával. Ez a módszer nem használja a virtuális gépek processzorát, és nem befolyásolja a virtuális gépek teljesítményét, így a számítási feladatok az összes rendelkezésre álló virtuálisgép-termékváltozat-erőforrást használhatják.

Megjegyzés

A meglévő csomóponttípusokon nem engedélyezhető. Új csomóponttípust kell kiépítenie, és át kell telepítenie a számítási feladatot.

Megjegyzés

Azure Security Center lemeztitkosítás állapota nem megfelelő állapotúként jelenik meg a gazdagép titkosításának használatakor

Kövesse ezeket a lépéseket, és hivatkozzon erre a mintasablonra egy új, gazdagéptitkosítást engedélyező felügyelt Service Fabric-fürt üzembe helyezéséhez.

  1. A követelményeknek való megfelelés ellenőrzéséhez tekintse át az alábbi korlátozásokat .

  2. Állítsa be a szükséges előfeltételeket a fürt üzembe helyezése előtt.

  3. Konfigurálja a enableEncryptionAtHost tulajdonságot a felügyelt fürtsablonban minden csomóponttípus lemeztitkosításához. A minta előre konfigurálva van.

    • A Service Fabric által felügyelt fürt erőforrás apiVersion-jének 2021-11-01-preview vagy újabb verziónak kell lennie.
         {
            "apiVersion": "[variables('sfApiVersion')]",
            "type": "Microsoft.ServiceFabric/managedclusters/nodetypes",
            "name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]",
            "location": "[resourcegroup().location]",
            "properties": {
                "enableEncryptionAtHost": true
                ...
            }
    }

  4. Üzembe helyezés és ellenőrzés

    Helyezze üzembe a gazdagéptitkosítással konfigurált felügyelt fürtöt.

    $clusterName = "<clustername>" 
$resourceGroupName = "<rg-name>"

New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose

    A parancs használatával ellenőrizheti egy csomóponttípus mögöttes méretezési csoportjának lemeztitkosítási Get-AzVmss állapotát. Először meg kell keresnie a felügyelt fürt támogató erőforráscsoportjának nevét (amely tartalmazza a mögöttes virtuális hálózatot, a terheléselosztót, a nyilvános IP-címet, az NSG-t, a méretezési csoport(oka)t és a tárfiókokat). Mindenképpen módosítsa NodeTypeNAme az ellenőrizni kívánt fürtcsomópont-típusnévre (az üzembe helyezési sablonban megadottak szerint).

    $NodeTypeName = "NT2"
$clustername = <clustername>
$resourceGroupName = "<rg-name>"
$supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId
$VMSS = Get-AzVmss -ResourceGroupName $supportResourceGroupName -Name $NodeTypeName
$VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost

    A visszatérési kimenetnek a következőhöz hasonlónak kell megjelennie:

    $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
True

Az Azure Disk Encryption engedélyezése

Az Azure Disk Encryption az Azure-beli virtuális gépek operációs rendszerének és adatlemezeinek kötettitkosítását biztosítja a Linux DM-Crypt funkciójával vagy a Windows BitLocker funkciójával. Az ADE integrálva van az Azure Key Vault a lemeztitkosítási kulcsok és titkos kódok szabályozásához és kezeléséhez.

Ebből az útmutatóból megtudhatja, hogyan engedélyezheti a windowsos Service Fabric által felügyelt fürtcsomópontok lemeztitkosítását a virtuálisgép-méretezési csoportokAzure Disk Encryption funkciójának használatával Azure Resource Manager -sablonokon keresztül.

  1. Regisztráció az Azure Disk Encryptionre

    A virtuálisgép-méretezési csoport lemeztitkosítási előzetes verziójához önregisztráció szükséges. Futtassa az alábbi parancsot:

    Register-AzProviderFeature -FeatureName "UnifiedDiskEncryption" -ProviderNamespace "Microsoft.Compute"

    Ellenőrizze a regisztráció állapotát a következő futtatásával:

    Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption"

    Ha az állapot Regisztrált értékre változik, készen áll a folytatásra.

  2. Key Vault kiépítése lemeztitkosításhoz

    Az Azure Disk Encryption használatához egy Azure-Key Vault szükséges a lemeztitkosítási kulcsok és titkos kódok vezérléséhez és kezeléséhez. A Key Vault és a Service Fabric által felügyelt fürtnek ugyanabban az Azure-régióban és -előfizetésben kell lennie. Mindaddig, amíg ezek a követelmények teljesülnek, használhat egy új vagy meglévő Key Vault a lemeztitkosítás engedélyezésével.

  3. Key Vault létrehozása engedélyezett lemeztitkosítással

    Futtassa az alábbi parancsokat egy új Key Vault lemeztitkosításhoz. Győződjön meg arról, hogy a Key Vault régiója ugyanabban a régióban van, mint a fürt.

    $resourceGroupName = "<rg-name>" 
$keyvaultName = "<kv-name>" 

New-AzResourceGroup -Name $resourceGroupName -Location eastus2 
New-AzKeyVault -ResourceGroupName $resourceGroupName -Name $keyvaultName -Location eastus2 -EnabledForDiskEncryption

  1. Meglévő Key Vault frissítése a lemeztitkosítás engedélyezéséhez

    Futtassa az alábbi parancsokat egy meglévő Key Vault lemeztitkosításának engedélyezéséhez.

    Set-AzKeyVaultAccessPolicy -ResourceGroupName $resourceGroupName -VaultName $keyvaultName -EnabledForDiskEncryption

A lemeztitkosítás sablon- és paraméterfájljainak frissítése

A következő lépés végigvezeti a meglévő felügyelt fürtök lemeztitkosításának engedélyezéséhez szükséges sablonmódosításokon. Másik lehetőségként üzembe helyezhet egy új, felügyelt Service Fabric-fürtöt, amelyen engedélyezve van a lemeztitkosítás az alábbi sablonnal: https://github.com/Azure-Samples/service-fabric-cluster-templates/tree/master/SF-Managed-Standard-SKU-1-NT-DiskEncryption

  1. Adja hozzá a következő paramétereket a sablonhoz, és helyettesítse be a saját előfizetését, az erőforráscsoport nevét és a tároló nevét a alatt keyVaultResourceId:

    "parameters": {
 "keyVaultResourceId": { 
   "type": "string", 
   "defaultValue": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>", 
   "metadata": { 
   "description": "Full resource id of the Key Vault used for disk encryption." 
} 
 },
 "volumeType": { 
  "type": "string", 
  "defaultValue": "All", 
  "metadata": { 
   "description": "Type of the volume OS or Data to perform encryption operation" 
}
}
},

  2. Ezután adja hozzá a AzureDiskEncryption virtuálisgép-bővítményt a sablon felügyelt fürtcsomópont-típusaihoz:

    "properties": { 
"vmExtensions": [ 
{ 
"name": "AzureDiskEncryption", 
"properties": { 
  "publisher": "Microsoft.Azure.Security", 
  "type": "AzureDiskEncryption", 
  "typeHandlerVersion": "2.2", 
  "autoUpgradeMinorVersion": true, 
  "settings": {      
        "EncryptionOperation": "EnableEncryption", 
        "KeyVaultURL": "[reference(parameters('keyVaultResourceId'),'2016-10-01').vaultUri]", 
     "KeyVaultResourceId": "[parameters('keyVaultResourceID')]",
     "VolumeType": "[parameters('volumeType')]" 
     } 
   } 
} 
] 
}

  3. Végül frissítse a paraméterfájlt, és helyettesítse a saját előfizetését, erőforráscsoportját és kulcstartójának nevét a keyVaultResourceId fájlban:

    "parameters": { 
...
 "keyVaultResourceId": { 
  "value": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>" 
 },   
 "volumeType": { 
  "value": "All" 
 }    
}

  4. A módosítások üzembe helyezése és ellenőrzése

    Ha elkészült, helyezze üzembe a módosításokat, hogy engedélyezze a lemeztitkosítást a felügyelt fürtön.

    $clusterName = "<clustername>" 

New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose

    A parancs használatával ellenőrizheti egy csomóponttípus mögöttes méretezési csoportjának lemeztitkosítási Get-AzVmssDiskEncryption állapotát. Először meg kell keresnie a felügyelt fürt támogató erőforráscsoportjának nevét (amely tartalmazza a mögöttes virtuális hálózatot, a terheléselosztót, a nyilvános IP-címet, az NSG-t, a méretezési csoport(ok)ot és a tárfiókokat). Mindenképpen módosítsa VmssName az ellenőrizni kívánt fürtcsomópont-típusnévre (az üzembe helyezési sablonban megadottak szerint).

    $VmssName = "NT1"
$clustername = <clustername>
$supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId
Get-AzVmssDiskEncryption -ResourceGroupName $supportResourceGroupName -VMScaleSetName $VmssName

    A kimenetnek a következőhöz hasonlónak kell megjelennie:

    ResourceGroupName            : SFC_########-####-####-####-############
VmScaleSetName               : NT1
EncryptionEnabled            : True
EncryptionExtensionInstalled : True

Következő lépések

Minta: Standard termékváltozatú Service Fabric által felügyelt fürt, egy csomóponttípus, amelyen engedélyezve van a lemeztitkosítás

Azure Disk Encryption Windows rendszerű virtuális gépekhez

Virtuálisgép-méretezési csoportok titkosítása az Azure Resource Manager