Az Azure CLI használatával engedélyezze a végpontok közötti titkosítást a gazdagép titkosításával
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. A gazdagépen történő titkosítással és más felügyelt lemeztitkosítási típusokkal kapcsolatos elméleti információkért lásd : Titkosítás a gazdagépen – A virtuálisgép-adatok végpontok közötti titkosítása.
Korlátozások
- 4k szektorméretű Ultra Disks és Premium SSD v2 esetén támogatott.
- Csak 512e szektorméretű Ultra Disks és Premium SSD v2 esetén támogatott, ha 2023. 05. 13. után lettek létrehozva.
- Az ezen dátum előtt létrehozott lemezek esetében pillanatképet készít a lemezről, és hozzon létre egy új lemezt a pillanatkép használatával.
- Nem engedélyezhető olyan virtuális gépeken (virtuális gépeken) vagy virtuálisgép-méretezési csoportokon, amelyeken jelenleg vagy valaha engedélyezve volt az Azure Disk Encryption.
- Az Azure Disk Encryption nem engedélyezhető olyan lemezeken, amelyeken engedélyezve van a titkosítás a gazdagépen.
- A titkosítás a meglévő virtuálisgép-méretezési csoportokon engedélyezhető. A titkosítás engedélyezése után létrehozott új virtuális gépek azonban automatikusan titkosítva lesznek.
- A meglévő virtuális gépeket felszabadítani és újra kell helyezni a titkosításhoz.
Regionális elérhetőség
A gazdagépen a titkosítás minden régióban elérhető minden lemeztípushoz.
Támogatott virtuálisgép-méretek
A támogatott virtuálisgép-méretek teljes listája programozott módon lekérehető. A programozott lekérésükről a Támogatott virtuálisgép-méretek keresése című szakaszban olvashat. A virtuális gép méretének frissítése ellenőrzéssel ellenőrzi, hogy az új virtuálisgép-méret támogatja-e a EncryptionAtHost szolgáltatást.
Előfeltételek
Mielőtt a VM/VMSS EncryptionAtHost tulajdonságát használnátok, engedélyeznie kell az előfizetés funkcióját. Az alábbi lépésekkel engedélyezheti a funkciót az előfizetéséhez:
- A következő parancs végrehajtásával regisztrálhatja a funkciót az előfizetéséhez
az feature register --namespace Microsoft.Compute --name EncryptionAtHost
- A funkció kipróbálása előtt ellenőrizze, hogy a regisztrációs állapot regisztrálva van-e (néhány percet vesz igénybe) az alábbi paranccsal.
az feature show --namespace Microsoft.Compute --name EncryptionAtHost
Erőforrások létrehozása
Feljegyzés
Ez a szakasz csak az ügyfél által felügyelt kulcsokkal rendelkező konfigurációkra vonatkozik. Platform által felügyelt kulcsok használata esetén ugorjon a Példaszkriptek szakaszra.
Ha a funkció engedélyezve van, be kell állítania egy DiskEncryptionSet, valamint egy Azure Key Vaultot vagy egy Felügyelt Azure Key Vault HSM-et.
Azure Key Vault
- Telepítse a legújabb Azure CLI-t, és jelentkezzen be egy Azure-fiókba az az login használatával.
- Hozzon létre egy Azure Key Vaultot és egy titkosítási kulcsot.
A Key Vault létrehozásakor engedélyeznie kell a kiürítés elleni védelmet. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.
Fontos
Ha így tesz, problémákat tapasztalhat, amikor további lemezeket rendel az erőforráshoz az Azure Portalon.
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
az account set --subscription $subscriptionId
az group create --resource-group $rgName --location $location
az keyvault create -n $keyVaultName \
-g $rgName \
-l $location \
--enable-purge-protection true
az keyvault key create --vault-name $keyVaultName \
-n $keyName \
--protection software
- DiskEncryptionSet létrehozása. Az enable-auto-key-rotáció értéke true (igaz) értékre állítható be a kulcs automatikus elforgatásához. Ha engedélyezi az automatikus forgatást, a rendszer automatikusan frissíti az összes felügyelt lemezt, pillanatképet és lemezképet, amely a lemeztitkosítási csoportra hivatkozik, hogy egy órán belül használja a kulcs új verzióját.
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false
- Adjon hozzáférést a DiskEncryptionSet erőforrásnak a kulcstartóhoz.
Feljegyzés
Eltarthat néhány percig, amíg az Azure létrehozza a DiskEncryptionSet identitását a Microsoft Entra-azonosítójában. Ha a következő parancs futtatásakor "Nem található az Active Directory-objektum" hibaüzenet jelenik meg, várjon néhány percet, és próbálkozzon újra.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
az keyvault set-policy -n $keyVaultName \
-g $rgName \
--object-id $desIdentity \
--key-permissions wrapkey unwrapkey get
Azure Key Vault Managed HSM
Másik lehetőségként egy felügyelt HSM-et is használhat a kulcsok kezeléséhez.
Ehhez a következő előfeltételeket kell teljesítenie:
- Telepítse a legújabb Azure CLI-t, és jelentkezzen be egy Azure-fiókba az az login használatával.
- Felügyelt HSM létrehozása és konfigurálása.
- Engedélyek hozzárendelése egy felhasználóhoz, hogy felügyelhessék a felügyelt HSM-et.
Konfiguráció
Miután létrehozott egy felügyelt HSM-et, és engedélyeket adott hozzá, engedélyezze a törlés elleni védelmet, és hozzon létre egy titkosítási kulcsot.
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
az account set --subscription $subscriptionId
az keyvault update-hsm --subscription $subscriptionId -g $rgName --hsm-name $keyVaultName --enable-purge-protection true
az keyvault key create --hsm-name $keyVaultName --name $keyName --ops wrapKey unwrapKey --kty RSA-HSM --size 2048
Ezután hozzon létre egy DiskEncryptionSetet.
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false
Végül adjon hozzáférést a DiskEncryptionSetnek a felügyelt HSM-hez.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
az keyvault role assignment create --hsm-name $keyVaultName --role "Managed HSM Crypto Service Encryption User" --assignee $desIdentity --scope /keys
Példaszkriptek
Virtuális gép létrehozása ügyfél által felügyelt kulcsokkal engedélyezett titkosítással a gazdagépen
Hozzon létre egy felügyelt lemezekkel rendelkező virtuális gépet a korábban létrehozott DiskEncryptionSet erőforrás-URI-jával az operációs rendszer és az adatlemezek gyorsítótárának ügyfél által felügyelt kulcsokkal történő titkosításához. Az ideiglenes lemezek platform által felügyelt kulcsokkal vannak titkosítva.
rgName=yourRGName
vmName=yourVMName
location=eastus
vmSize=Standard_DS2_v2
image=LinuxImageURN
diskEncryptionSetName=yourDiskEncryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vm create -g $rgName \
-n $vmName \
-l $location \
--encryption-at-host \
--image $image \
--size $vmSize \
--generate-ssh-keys \
--os-disk-encryption-set $diskEncryptionSetId \
--data-disk-sizes-gb 128 128 \
--data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId
Virtuális gép létrehozása platform által felügyelt kulcsokkal engedélyezett titkosítással a gazdagépen
Hozzon létre egy virtuális gépet a gazdagépen engedélyezett titkosítással az operációs rendszer/adatlemezek és ideiglenes lemezek gyorsítótárának platform által felügyelt kulcsokkal történő titkosításához.
rgName=yourRGName
vmName=yourVMName
location=eastus
vmSize=Standard_DS2_v2
image=LinuxImageURN
az vm create -g $rgName \
-n $vmName \
-l $location \
--encryption-at-host \
--image $image \
--size $vmSize \
--generate-ssh-keys \
--data-disk-sizes-gb 128 128 \
Virtuális gép frissítése a gazdagép titkosításának engedélyezéséhez
rgName=yourRGName
vmName=yourVMName
az vm update -n $vmName \
-g $rgName \
--set securityProfile.encryptionAtHost=true
Virtuális gép titkosítási állapotának ellenőrzése a gazdagépen
rgName=yourRGName
vmName=yourVMName
az vm show -n $vmName \
-g $rgName \
--query [securityProfile.encryptionAtHost] -o tsv
Virtuális gép frissítése a gazdagép titkosításának letiltásához
A virtuális gép felszabadítása előtt le kell tiltania a titkosítást a gazdagépen.
rgName=yourRGName
vmName=yourVMName
az vm update -n $vmName \
-g $rgName \
--set securityProfile.encryptionAtHost=false
Virtuálisgép-méretezési csoport létrehozása a gazdagépen az ügyfél által felügyelt kulcsokkal engedélyezett titkosítással
Hozzon létre egy virtuálisgép-méretezési csoportot felügyelt lemezekkel a korábban létrehozott DiskEncryptionSet erőforrás-URI-jával az operációs rendszer és az adatlemezek gyorsítótárának ügyfél által felügyelt kulcsokkal történő titkosításához. Az ideiglenes lemezek platform által felügyelt kulcsokkal vannak titkosítva.
Fontos
2023 novemberétől a PowerShell és az Azure CLI használatával létrehozott virtuálisgép-méretezési csoportok alapértelmezés szerint rugalmas vezénylési módba kerülnek, ha nincs megadva vezénylési mód. A módosítással és a végrehajtandó műveletekkel kapcsolatos további információkért tekintse meg a VMSS PowerShell/CLI-ügyfelek kompatibilitástörő változását – Microsoft Community Hub
rgName=yourRGName
vmssName=yourVMSSName
location=westus2
vmSize=Standard_DS3_V2
image=Ubuntu2204
diskEncryptionSetName=yourDiskEncryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vmss create -g $rgName \
-n $vmssName \
--encryption-at-host \
--image $image \
--orchestration-mode flexible \
--admin-username azureuser \
--generate-ssh-keys \
--os-disk-encryption-set $diskEncryptionSetId \
--data-disk-sizes-gb 64 128 \
--data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId
Virtuálisgép-méretezési csoport létrehozása platform által felügyelt kulcsokkal engedélyezett titkosítással a gazdagépen
Hozzon létre egy virtuálisgép-méretezési csoportot a gazdagépen engedélyezett titkosítással az operációs rendszer/adatlemezek és ideiglenes lemezek gyorsítótárának platform által felügyelt kulcsokkal történő titkosításához.
Fontos
2023 novemberétől a PowerShell és az Azure CLI használatával létrehozott virtuálisgép-méretezési csoportok alapértelmezés szerint rugalmas vezénylési módba kerülnek, ha nincs megadva vezénylési mód. A módosítással és a végrehajtandó műveletekkel kapcsolatos további információkért tekintse meg a VMSS PowerShell/CLI-ügyfelek kompatibilitástörő változását – Microsoft Community Hub
rgName=yourRGName
vmssName=yourVMSSName
location=westus2
vmSize=Standard_DS3_V2
image=Ubuntu2204
az vmss create -g $rgName \
-n $vmssName \
--encryption-at-host \
--image $image \
--orchestration-mode flexible \
--admin-username azureuser \
--generate-ssh-keys \
--data-disk-sizes-gb 64 128 \
Virtuálisgép-méretezési csoport frissítése a gazdagép titkosításának engedélyezéséhez
rgName=yourRGName
vmssName=yourVMName
az vmss update -n $vmssName \
-g $rgName \
--set virtualMachineProfile.securityProfile.encryptionAtHost=true
Virtuálisgép-méretezési csoport titkosítási állapotának ellenőrzése a gazdagépen
rgName=yourRGName
vmssName=yourVMName
az vmss show -n $vmssName \
-g $rgName \
--query [virtualMachineProfile.securityProfile.encryptionAtHost] -o tsv
Virtuálisgép-méretezési csoport frissítése a gazdagép titkosításának letiltásához
A virtuálisgép-méretezési csoportban letilthatja a gazdagép titkosítását, de ez csak a gazdagép titkosításának letiltása után létrehozott virtuális gépeket érinti. Meglévő virtuális gépek esetén fel kell szabadítania a virtuális gépet, le kell tiltania a titkosítást a gazdagépen az adott virtuális gépen, majd újra kell helyeznie a virtuális gépet.
rgName=yourRGName
vmssName=yourVMName
az vmss update -n $vmssName \
-g $rgName \
--set virtualMachineProfile.securityProfile.encryptionAtHost=false
Támogatott virtuálisgép-méretek keresése
Az örökölt virtuálisgép-méretek nem támogatottak. A támogatott virtuálisgép-méretek listáját erőforrás-termékváltozat API-k vagy az Azure PowerShell-modul használatával találja meg. A parancssori felülettel nem találja a támogatott méreteket.
A Resource Skus API meghívásakor ellenőrizze, hogy a EncryptionAtHostSupported
képesség értéke True (Igaz).
{
"resourceType": "virtualMachines",
"name": "Standard_DS1_v2",
"tier": "Standard",
"size": "DS1_v2",
"family": "standardDSv2Family",
"locations": [
"CentralUSEUAP"
],
"capabilities": [
{
"name": "EncryptionAtHostSupported",
"value": "True"
}
]
}
Az Azure PowerShell-modulhoz használja a Get-AzComputeResourceSku parancsmagot.
$vmSizes=Get-AzComputeResourceSku | where{$_.ResourceType -eq 'virtualMachines' -and $_.Locations.Contains('CentralUSEUAP')}
foreach($vmSize in $vmSizes)
{
foreach($capability in $vmSize.capabilities)
{
if($capability.Name -eq 'EncryptionAtHostSupported' -and $capability.Value -eq 'true')
{
$vmSize
}
}
}
Következő lépések
Most, hogy létrehozta és konfigurálta ezeket az erőforrásokat, használhatja őket a felügyelt lemezek védelmére. Az alábbi hivatkozás példaszkripteket tartalmaz, amelyek mindegyike rendelkezik egy adott forgatókönyvvel, amelyekkel biztonságossá teheti a felügyelt lemezeket.