Az Azure CLI használatával engedélyezheti a kiszolgálóoldali titkosítást felügyelt lemezek ügyfél által felügyelt kulcsaival

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok

Az Azure Disk Storage lehetővé teszi saját kulcsok kezelését, ha kiszolgálóoldali titkosítást (SSE) használ felügyelt lemezekhez, ha úgy dönt. Az ügyfél által felügyelt kulcsokkal rendelkező SSE-vel és más felügyelt lemeztitkosítási típusokkal kapcsolatos elméleti információkért tekintse meg a lemeztitkosítási cikk ügyfél által felügyelt kulcsokkal foglalkozó szakaszát.

Korlátozások

Az ügyfél által felügyelt kulcsok jelenleg a következő korlátozásokkal rendelkeznek:

• Ha ez a funkció növekményes pillanatképeket tartalmazó lemezek esetében engedélyezve van, akkor nem tiltható le a lemezen vagy a pillanatképeken. Ennek megkerüléséhez másolja az összes adatot egy teljesen más felügyelt lemezre, amely nem ügyfél által felügyelt kulcsokat használ. Ezt az Azure CLI-vel vagy az Azure PowerShell-modullal teheti meg.
• Csak a 2048 bites, 3072 bites és 4096 bites szoftver- és HSM RSA-kulcsok támogatottak, más kulcsok és méretek nélkül.
  • A HSM-kulcsokhoz az Azure Key Vaultok prémium szintű szintje szükséges.
• Csak ultralemezekhez és prémium SSD v2-lemezekhez:
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított lemezekről létrehozott pillanatképeket ugyanazokkal az ügyfél által felügyelt kulcsokkal kell titkosítani.
  • A felhasználó által hozzárendelt felügyelt identitások nem támogatottak az ügyfelek által felügyelt kulcsokkal titkosított Ultra Disks és Premium SSD v2 lemezek esetében.
  • Az Azure Government vagy az Azure China jelenleg nem támogatott.
• Az ügyfél által felügyelt kulcsokhoz (lemeztitkosítási csoportokhoz, virtuális gépekhez, lemezekhez és pillanatképekhez) kapcsolódó legtöbb erőforrásnak ugyanabban az előfizetésben és régióban kell lennie.
  • Az Azure Key Vaultok egy másik előfizetésből is használhatók, de ugyanabban a régióban kell lenniük, mint a lemeztitkosítási csoportnak. Előzetes verzióként különböző Microsoft Entra-bérlők Azure Key Vaultjait használhatja.
• Az ügyfél által felügyelt kulcsokkal titkosított lemezek csak akkor léphetnek át egy másik erőforráscsoportba, ha a hozzájuk csatolt virtuális gép felszabadítva van.
• Az ügyfél által felügyelt kulcsokkal titkosított lemezek, pillanatképek és képek nem helyezhetők át az előfizetések között.
• Az Azure Disk Encryption használatával jelenleg vagy korábban titkosított felügyelt lemezek nem titkosíthatók ügyfél által felügyelt kulcsokkal.
• Előfizetésenként régiónként legfeljebb 5000 lemeztitkosítási csoport hozható létre.
• Az ügyfél által felügyelt kulcsok megosztott képtárakkal való használatával kapcsolatos információkért lásd : Előzetes verzió: Ügyfél által felügyelt kulcsok használata a képek titkosításához.

Erőforrások létrehozása

Ha a funkció engedélyezve van, be kell állítania egy DiskEncryptionSet és egy Azure Key Vaultot vagy egy Felügyelt Azure Key Vault HSM-et.

Azure Key Vault

• Telepítse a legújabb Azure CLI-t, és jelentkezzen be egy Azure-fiókba az az login használatával.
• Hozzon létre egy Azure Key Vaultot és egy titkosítási kulcsot.

A Key Vault létrehozásakor engedélyeznie kell a kiürítés elleni védelmet. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.

Fontos

Ha így tesz, problémákat tapasztalhat, amikor további lemezeket rendel az erőforráshoz az Azure Portalon.

subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az group create --resource-group $rgName --location $location

az keyvault create -n $keyVaultName \
-g $rgName \
-l $location \
--enable-purge-protection true 

az keyvault key create --vault-name $keyVaultName \
-n $keyName \
--protection software

• DiskEncryptionSet létrehozása. Az enable-auto-key-rotáció értéke true (igaz) értékre állítható be a kulcs automatikus elforgatásához. Ha engedélyezi az automatikus forgatást, a rendszer automatikusan frissíti az összes felügyelt lemezt, pillanatképet és lemezképet, amely a lemeztitkosítási csoportra hivatkozik, hogy egy órán belül használja a kulcs új verzióját.

keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)

az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false

• Adjon hozzáférést a DiskEncryptionSet erőforrásnak a kulcstartóhoz.

Feljegyzés

Eltarthat néhány percig, amíg az Azure létrehozza a DiskEncryptionSet identitását a Microsoft Entra-azonosítójában. Ha a következő parancs futtatásakor "Nem található az Active Directory-objektum" hibaüzenet jelenik meg, várjon néhány percet, és próbálkozzon újra.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName \
-g $rgName \
--object-id $desIdentity \
--key-permissions wrapkey unwrapkey get

Azure Key Vault Managed HSM

Másik lehetőségként egy felügyelt HSM-et is használhat a kulcsok kezeléséhez.

Ehhez a következő előfeltételeket kell teljesítenie:

• Telepítse a legújabb Azure CLI-t, és jelentkezzen be egy Azure-fiókba az az login használatával.
• Felügyelt HSM létrehozása és konfigurálása.
• Engedélyek hozzárendelése egy felhasználóhoz, hogy felügyelhessék a felügyelt HSM-et.

Konfiguráció

Miután létrehozott egy felügyelt HSM-et, és engedélyeket adott hozzá, engedélyezze a törlés elleni védelmet, és hozzon létre egy titkosítási kulcsot.

subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
    
az account set --subscription $subscriptionId
    
az keyvault update-hsm --subscription $subscriptionId -g $rgName --hsm-name $keyVaultName --enable-purge-protection true
    
az keyvault key create --hsm-name  $keyVaultName --name $keyName --ops wrapKey unwrapKey --kty RSA-HSM --size 2048

Ezután hozzon létre egy DiskEncryptionSetet.

keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
    
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false

Végül adjon hozzáférést a DiskEncryptionSetnek a felügyelt HSM-hez.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
    
az keyvault role assignment create --hsm-name $keyVaultName --role "Managed HSM Crypto Service Encryption User" --assignee $desIdentity --scope /keys

Most, hogy létrehozta és konfigurálta ezeket az erőforrásokat, használhatja őket a felügyelt lemezek védelmére. Az alábbi hivatkozások példaszkripteket tartalmaznak, amelyek mindegyike rendelkezik megfelelő forgatókönyvvel, amelyekkel biztonságossá teheti a felügyelt lemezeket.

Példák

Virtuális gép létrehozása Marketplace-rendszerkép használatával, az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsokkal történő titkosítása

rgName=yourResourceGroupName
vmName=yourVMName
location=westcentralus
vmSize=Standard_DS3_V2
image=LinuxImageURN
diskEncryptionSetName=yourDiskencryptionSetName

diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)

az vm create -g $rgName -n $vmName -l $location --image $image --size $vmSize --generate-ssh-keys --os-disk-encryption-set $diskEncryptionSetId --data-disk-sizes-gb 128 128 --data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId

Meglévő felügyelt lemezek titkosítása

A meglévő lemezeket nem szabad futó virtuális géphez csatolni ahhoz, hogy a következő szkripttel titkosíthassa őket:

rgName=yourResourceGroupName
diskName=yourDiskName
diskEncryptionSetName=yourDiskEncryptionSetName

az disk update -n $diskName -g $rgName --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId

Virtuálisgép-méretezési csoport létrehozása Marketplace-rendszerkép használatával, az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsokkal történő titkosítása

rgName=yourResourceGroupName
vmssName=yourVMSSName
location=westcentralus
vmSize=Standard_DS3_V2
image=LinuxImageURN
diskEncryptionSetName=yourDiskencryptionSetName

diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vmss create -g $rgName -n $vmssName --image $image --upgrade-policy automatic --admin-username azureuser --generate-ssh-keys --os-disk-encryption-set $diskEncryptionSetId --data-disk-sizes-gb 64 128 --data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId

Hozzon létre egy kiszolgálóoldali titkosítással titkosított üres lemezt ügyfél által felügyelt kulcsokkal, és csatolja azt egy virtuális géphez

vmName=yourVMName
rgName=yourResourceGroupName
diskName=yourDiskName
diskSkuName=Premium_LRS
diskSizeinGiB=30
location=westcentralus
diskLUN=2
diskEncryptionSetName=yourDiskEncryptionSetName


diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)

az disk create -n $diskName -g $rgName -l $location --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId --size-gb $diskSizeinGiB --sku $diskSkuName

diskId=$(az disk show -n $diskName -g $rgName --query [id] -o tsv)

az vm disk attach --vm-name $vmName --lun $diskLUN --ids $diskId

A DiskEncryptionSet kulcsának módosítása a DiskEncryptionSetre hivatkozó összes erőforrás kulcsának elforgatásához

rgName=yourResourceGroupName
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName


keyVaultId=$(az keyvault show --name $keyVaultName--query [id] -o tsv)

keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)

az disk-encryption-set update -n keyrotationdes -g keyrotationtesting --key-url $keyVaultKeyUrl --source-vault $keyVaultId

Lemez kiszolgálóoldali titkosításának állapotának megkeresése

az disk show -g yourResourceGroupName -n yourDiskName --query [encryption.type] -o tsv

Fontos

Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásaira támaszkodnak, amely a Microsoft Entra ID egyik funkciója. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a fedelek alatt. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt egy Microsoft Entra-címtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átadása a Microsoft Entra-címtárak között.

Következő lépések

• Ismerje meg az Azure Resource Manager-sablonokat, amelyekkel titkosított lemezeket hozhat létre ügyfél által felügyelt kulcsokkal
• Gépek replikálása ügyfél által felügyelt kulcsokkal engedélyezett lemezekkel
• VMware virtuális gépek Azure-ba történő vészhelyreállításának beállítása a PowerShell használatával
• Hyper-V virtuális gépek Azure-ba történő vészhelyreállításának beállítása a PowerShell és az Azure Resource Manager használatával
• A kódmintához lásd : Felügyelt lemez létrehozása pillanatképből a parancssori felülettel .