Átfogó titkosítás engedélyezése a gazdagépen végzett titkosítással az Azure Portal használatával

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépekre

Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. A gazdagépen történő titkosítással és más felügyelt lemeztitkosítási típusokkal kapcsolatos elméleti információkért lásd: Titkosítás a gazdagépen – A virtuálisgép-adatok végpontok közötti titkosítása.

Az ideiglenes lemezek és a rövid élettartamú operációsrendszer-lemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, amikor engedélyezi a végpontok közötti titkosítást. Az operációs rendszer és az adatlemez-gyorsítótárak inaktív állapotban vannak titkosítva az ügyfél által felügyelt vagy platform által felügyelt kulcsokkal, attól függően, hogy mit választ lemeztitkosítási típusként. Ha például egy lemez ügyfél által felügyelt kulcsokkal van titkosítva, akkor a lemez gyorsítótára ügyfél által felügyelt kulcsokkal van titkosítva, és ha a lemez platform által felügyelt kulcsokkal van titkosítva, akkor a lemez gyorsítótára platform által felügyelt kulcsokkal lesz titkosítva.

Korlátozások

  • 4k szektorméretű Ultra Disks és Premium SSD v2 esetén támogatott.
  • Csak 512e szektorméretű Ultra Disks és Premium SSD v2 esetén támogatott, ha 2023. 05. 13. után lettek létrehozva.
    • Az ezen dátum előtt létrehozott lemezek esetében pillanatképet készít a lemezről, és hozzon létre egy új lemezt a pillanatkép használatával.
  • Nem engedélyezhető olyan virtuális gépeken (virtuális gépeken) vagy virtuálisgép-méretezési csoportokon, amelyeken jelenleg vagy valaha engedélyezve volt az Azure Disk Encryption.
  • Az Azure Disk Encryption nem engedélyezhető olyan lemezeken, amelyeken engedélyezve van a titkosítás a gazdagépen.
  • A titkosítás a meglévő virtuálisgép-méretezési csoportokon engedélyezhető. A titkosítás engedélyezése után létrehozott új virtuális gépek azonban automatikusan titkosítva lesznek.
  • A meglévő virtuális gépeket felszabadítani és újra kell helyezni a titkosításhoz.

Regionális elérhetőség

A gazdagépen a titkosítás minden régióban elérhető minden lemeztípushoz.

Támogatott virtuálisgép-méretek

Az örökölt virtuálisgép-méretek nem támogatottak. A támogatott virtuálisgép-méretek listáját az Azure PowerShell-modul vagy az Azure CLI használatával találja meg.

Előfeltételek

Engedélyeznie kell a szolgáltatást az előfizetéséhez, mielőtt titkosítást használhat a gazdagépen a virtuális géphez vagy a virtuálisgép-méretezési csoporthoz. Az alábbi lépésekkel engedélyezheti a funkciót az előfizetéséhez:

  1. Azure Portal: Válassza ki a Cloud Shell ikont az Azure Portalon:

    Képernyőkép a Cloud Shell Azure Portalról való elindításához ikonról.

  2. A következő parancs végrehajtásával regisztrálhatja a funkciót az előfizetéséhez

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. A funkció kipróbálása előtt győződjön meg arról, hogy a regisztrációs állapot regisztrálva van (a regisztráció eltarthat néhány percig) az alábbi paranccsal.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Virtuális gép üzembe helyezése platform által felügyelt kulcsokkal

  1. Jelentkezzen be az Azure Portalra.

  2. Keressen rá a virtuális gépekre, és válassza a + Létrehozás lehetőséget a virtuális gép létrehozásához.

  3. Válasszon ki egy megfelelő régiót és egy támogatott virtuálisgép-méretet.

  4. Töltse ki tetszés szerint az Alapszintű panel többi értékét, majd lépjen a Lemezek panelre.

    Képernyőkép a virtuális gépek létrehozásának alapjai panelről, a régióról és a virtuális gép méretéről.

  5. A Lemezek panelen válassza a Gazdagép titkosítása lehetőséget.

  6. Végezze el a többi kijelölést tetszés szerint.

    Képernyőkép a virtuális gép létrehozási lemezeinek paneljéről, kiemelt gazdagép titkosításával.

  7. A virtuális gép üzembe helyezési folyamatának további részében válasszon a környezetének megfelelő beállítások közül, és fejezze be az üzembe helyezést.

Most üzembe helyezett egy virtuális gépet, amelyen engedélyezve van a titkosítás a gazdagépen, és a lemez gyorsítótára platform által felügyelt kulcsokkal van titkosítva.

Virtuális gép üzembe helyezése ügyfél által felügyelt kulcsokkal

Másik lehetőségként használhatja az ügyfél által felügyelt kulcsokat a lemezgyorsítótárak titkosításához.

Azure Key Vault- és lemeztitkosítási csoport létrehozása

Ha a funkció engedélyezve van, be kell állítania egy Azure Key Vaultot és egy lemeztitkosítási csoportot, ha még nem tette meg.

A lemezek ügyfél által felügyelt kulcsainak beállításához adott sorrendben kell létrehoznia az erőforrásokat, ha első alkalommal végzi el. Először létre kell hoznia és be kell állítania egy Azure Key Vaultot.

Az Azure Key Vault beállítása

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Key Vaultokat.

    Képernyőkép az Azure Portalról a keresőmező kibontása mellett.

    Fontos

    A sikeres üzembe helyezéshez a lemeztitkosítási csoportnak, a virtuális gépnek, a lemezeknek és a pillanatképeknek ugyanabban a régióban és előfizetésben kell lenniük. Az Azure Key Vaultok más előfizetésből is használhatók, de ugyanabban a régióban és bérlőben kell lenniük, mint a lemeztitkosítási csoport.

  3. Új Key Vault létrehozásához válassza a +Létrehozás lehetőséget.

  4. Új erőforráscsoport létrehozása.

  5. Adja meg a kulcstartó nevét, válasszon ki egy régiót, és válasszon egy tarifacsomagot.

    Feljegyzés

    A Key Vault-példány létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulcsot tároljon. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.

  6. Válassza a Véleményezés + Létrehozás lehetőséget, ellenőrizze a lehetőségeket, majd válassza a Létrehozás lehetőséget.

    Képernyőkép az Azure Key Vault létrehozási felületéről, amelyen a létrehozott értékek láthatók.

  7. Ha a kulcstartó üzembe helyezése befejeződött, jelölje ki.

  8. Az Objektumok területen válassza a Kulcsok lehetőséget.

  9. Válassza a Generálás/importálás lehetőséget.

    Képernyőkép a Key Vault erőforrás-beállítások paneljéről, amelyen a beállítások között látható a Létrehozás/importálás gomb.

  10. Hagyja a kulcstípust RSA- és RSA-kulcsméretre 2048-ra.

  11. Töltse ki a többi kijelölést tetszés szerint, majd válassza a Létrehozás lehetőséget.

    Képernyőkép a létrehozási/importálási gomb kiválasztása után megjelenő kulcspanelről.

Azure RBAC-szerepkör hozzáadása

Most, hogy létrehozta az Azure Key Vaultot és egy kulcsot, hozzá kell adnia egy Azure RBAC-szerepkört, hogy az Azure-kulcstartót a lemeztitkosítási csoporttal együtt használhassa.

  1. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, és adjon hozzá egy szerepkört.
  2. Adja hozzá a Key Vault Rendszergazda istrator, tulajdonos vagy közreműködő szerepkört.

A lemeztitkosítási csoport beállítása

  1. Keresse meg a lemeztitkosítási csoportokat , és jelölje ki.

  2. A Lemeztitkosítási csoportok panelen válassza a +Létrehozás lehetőséget.

  3. Válassza ki az erőforráscsoportot, nevezze el a titkosítási csoportot, és válassza ki ugyanazt a régiót, mint a kulcstartó.

  4. Titkosítási típus esetén válassza a Inaktív titkosítás lehetőséget egy ügyfél által felügyelt kulccsal.

    Feljegyzés

    Miután létrehozott egy lemeztitkosítási csoportot egy adott titkosítási típussal, az nem módosítható. Ha más titkosítási típust szeretne használni, létre kell hoznia egy új lemeztitkosítási csoportot.

  5. Győződjön meg arról, hogy az Azure Key Vault és a key kiválasztása be van jelölve.

  6. Válassza ki a korábban létrehozott kulcstartót és kulcsot, valamint a verziót.

  7. Ha engedélyezni szeretné az ügyfél által kezelt kulcsok automatikus elforgatását, válassza az Automatikus kulcsváltás lehetőséget.

  8. Válassza az Áttekintés és létrehozás, majd a Létrehozás lehetőséget.

    Képernyőkép a lemeztitkosítás létrehozási paneljéről. Az előfizetés, az erőforráscsoport, a lemeztitkosítási csoport neve, a régió és a kulcstartó + kulcsválasztó megjelenítése.

  9. Az üzembe helyezés után keresse meg a lemeztitkosítási csoportot, és válassza ki a megjelenített riasztást.

    Képernyőkép arról, hogy a felhasználó a

  10. Ez engedélyeket ad a kulcstartónak a lemeztitkosítási csoport számára.

    Képernyőkép az engedélyek megadásának megerősítéséről.

Virtuális gép üzembe helyezése

Most, hogy beállított egy Azure Key Vault- és lemeztitkosítási csoportot, üzembe helyezhet egy virtuális gépet, és titkosítást használ a gazdagépen.

  1. Jelentkezzen be az Azure Portalra.

  2. Keressen rá a virtuális gépekre, és válassza a + Hozzáadás lehetőséget a virtuális gép létrehozásához.

  3. Hozzon létre egy új virtuális gépet, válasszon ki egy megfelelő régiót és egy támogatott virtuálisgép-méretet.

  4. Töltse ki tetszés szerint az Alapszintű panel többi értékét, majd lépjen a Lemezek panelre.

    Képernyőkép a virtuális gépek létrehozásának alapjai panelről, a régióról és a virtuális gép méretéről.

  5. A Lemezek panelen válassza a Gazdagép titkosítása lehetőséget.

  6. Válassza a Kulcskezelés lehetőséget, és válasszon egyet az ügyfél által felügyelt kulcsok közül.

  7. Végezze el a többi kijelölést tetszés szerint.

    Képernyőkép a virtuális gép létrehozási lemezeinek paneljéről, a gazdagép titkosítása ki van emelve, az ügyfél által felügyelt kulcsok ki van választva.

  8. A virtuális gép üzembe helyezési folyamatának további részében válasszon a környezetének megfelelő beállítások közül, és fejezze be az üzembe helyezést.

Most üzembe helyezett egy virtuális gépet, amely az ügyfél által felügyelt kulcsok használatával engedélyezett titkosítással rendelkezik a gazdagépen.

Gazdagépalapú titkosítás letiltása

Először oldja fel a virtuális gépet, a gazdagépen a titkosítás csak akkor tiltható le, ha a virtuális gép felszabadítva van.

  1. A virtuális gépen válassza a Lemezek , majd a További beállítások lehetőséget.

    Képernyőkép a virtuális gép Lemezek paneljéről, a További Gépház ki van emelve.

  2. Válassza a Nem a titkosításhoz lehetőséget a gazdagépen, majd válassza a Mentés lehetőséget.

Következő lépések

Azure Resource Manager-sablonminták