Meglévő virtuálisgép-lemezek titkosítása

  • 10 perc

Tegyük fel, hogy a vállalat úgy dönt, hogy az Azure Disk Encryptiont (ADE) implementálja az összes virtuális gépen. Ki kell értékelnie, hogyan hozhat létre titkosítást a meglévő virtuálisgép-köteteken. Itt az ADE követelményeit és a meglévő Linux és Windows rendszerű virtuális gépek lemezeinek titkosításának lépéseit tekintjük át. A következő leckében végigvezeti a meglévő virtuálisgép-lemezek titkosításának folyamatán.

Az Azure Disk Encryption előfeltételei

A virtuálisgép-lemezek titkosítása előtt el kell végeznie a következőket:

  1. Kulcstartó létrehozása.
  2. A kulcstartó hozzáférési szabályzatának beállítása a lemeztitkosítás támogatására.
  3. A kulcstartó használta az ADE titkosítási kulcsainak tárolásához.

Azure Key Vault

Az ADE által használt titkosítási kulcsok az Azure Key Vaultban tárolhatók. Az Azure Key Vault egy titkos kulcsok biztonságos tárolására és elérésére használható eszköz. A titkos kód bármi, amelynek szigorúan szabályozni szeretné a hozzáférést, például API-kulcsokat, jelszavakat vagy tanúsítványokat. Az Azure Key Vault magas rendelkezésre állású és skálázható biztonságos tárolást biztosít a Federal Information Processing Standards (FIPS) 140–2. szintű, 2. szintű ellenőrzött hardverbiztonsági modulokban (HSM-ek) meghatározottak szerint. A Key Vault használatával teljes mértékben az ellenőrzése alatt tarthatja az adatai titkosításához használt kulcsokat, valamint kezelheti és naplózhatja a kulcshasználatot.

Feljegyzés

Az Azure Disk Encryption megköveteli, hogy a Key Vault és a virtuális gépek ugyanabban az Azure-régióban legyenek; ezzel biztosíthatja, hogy titkosításhoz használt titkos kulcsok ne lépjék át a régiók határait.

A kulcstartó konfigurálásához és kezeléséhez a következő felületeket használhatja:

PowerShell

New-AzKeyVault -Location <location> `
    -ResourceGroupName <resource-group> `
    -VaultName "myKeyVault" `
    -EnabledForDiskEncryption

Azure CLI

az keyvault create \
    --name "myKeyVault" \
    --resource-group <resource-group> \
    --location <location> \
    --enabled-for-disk-encryption True

Azure Portal

Az Azure Key Vault olyan erőforrás, amelyet az Azure Portalon a normál erőforrás-létrehozási folyamattal hozhat létre.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. A keresőmezőben keresse meg és válassza a Key Vaultot. Megjelenik a Key Vault panel.

  3. Válassza a Létrehozás lehetőséget. Megjelenik a Kulcstartó létrehozása panel.

  4. Az Alapszintű beállítások lapon adja meg az alábbi értékeket minden beállításhoz.

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki azt az előfizetést, amelyben el szeretné helyezni a kulcstartót (alapértelmezés szerint az aktuális előfizetéshez).
    Erőforráscsoport Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.
    Példány részletei
    Key Vault neve Adja meg a kulcstartó nevét.
    Régió Válassza ki azt a régiót, amelyben a virtuális gép található.
    Tarifacsomag Standard. A tarifacsomaghoz választhat standard vagy prémium verziót. A fő különbség az, hogy a Prémium szint lehetővé teszi a hardveres titkosítással támogatott kulcsok használatát.

    Képernyőkép a Key Vault panelről.

  5. A Tovább gombra kattintva lépjen az Access konfigurációs lapjára. A lemeztitkosítás támogatásához módosítania kell a hozzáférési szabályzatokat. Alapértelmezés szerint hozzáadja a fiókját a szabályzathoz.

  6. Az Access konfigurációs lapján adja meg a beállítás alábbi értékét.

    Beállítás Érték
    Erőforrás-hozzáférés A kötettitkosításhoz jelölje be az Azure Disk Encryption jelölőnégyzetet. Ha szeretné, eltávolíthatja a fiókját, mivel ez nem szükséges, ha csak a kulcstartót szeretné használni a lemeztitkosításhoz.

  7. Válassza az Áttekintés + létrehozás lehetőséget.

  8. Az ellenőrzés után az új Key Vault létrehozásához válassza a Létrehozás lehetőséget.

Hozzáférési szabályzatok engedélyezése a kulcstartóban

Az Azure-nak hozzáférésre van szüksége a kulcstartóban tárolt titkosítási kulcsokhoz és titkos kulcsokhoz, hogy a virtuális gép el tudja érni őket a kötetek elindítása és visszafejtése érdekében. Ezt a hozzáférést az előző lépésekben engedélyezte, amikor módosította az Access-szabályzatot.

Három házirendet engedélyezhet:

  • Lemeztitkosítás: Az Azure Disk titkosításához szükséges.
  • Üzembe helyezés: (Nem kötelező) Lehetővé teszi az Microsoft.Compute erőforrás-szolgáltató számára, hogy titkos kulcsokat kérjen le ebből a kulcstartóból, amikor erre a kulcstartóra hivatkozik az erőforrás létrehozásakor. Például virtuális gép létrehozásakor.
  • Sablon üzembe helyezése: (Nem kötelező) Lehetővé teszi az Azure Resource Manager számára, hogy titkos kulcsokat szerezzen be ebből a kulcstartóból, amikor a kulcstartóra hivatkozik egy sablontelepítés.

Most bemutatjuk a lemeztitkosítási szabályzat engedélyezésének módját. A másik két szabályzat hasonló, de különböző jelzőket használ.

Set-AzKeyVaultAccessPolicy -VaultName <keyvault-name> -ResourceGroupName <resource-group> -EnabledForDiskEncryption

az keyvault update --name <keyvault-name> --resource-group <resource-group> --enabled-for-disk-encryption true

Meglévő virtuálisgép-lemez titkosítása

A kulcstartó beállítása után az Azure CLI vagy az Azure PowerShell használatával titkosíthatja a virtuális gépet. A windowsos virtuális gépek első titkosításakor megadhatja, hogy az összes lemezt vagy csak az operációsrendszer-lemez titkosítja-e. Egyes Linux-disztribúciókban csak az adatlemezek titkosíthatók. Ahhoz, hogy jogosult legyen a titkosításra, a Windows-lemezeket Új technológiai fájlrendszer (NTFS) kötetként kell formázni.

Figyelmeztetés

A titkosítás bekapcsolása előtt pillanatfelvételt vagy biztonsági másolatot kell készítenie a felügyelt lemezekről. Az alábbi SkipVmBackup jelző tájékoztatja az eszközt, hogy a biztonsági mentés befejeződött a felügyelt lemezeken. A biztonsági mentés nélkül nem tudja helyreállítani a virtuális gépet, ha a titkosítás valamilyen okból meghiúsul.

A PowerShell használatával történő titkosítás engedélyezéséhez futtassa a Set-AzVmDiskEncryptionExtension parancsmagot.


Set-AzVmDiskEncryptionExtension `
    -ResourceGroupName <resource-group> `
    -VMName <vm-name> `
    -VolumeType [All | OS | Data]
    -DiskEncryptionKeyVaultId <keyVault.ResourceId> `
    -DiskEncryptionKeyVaultUrl <keyVault.VaultUri> `
     -SkipVmBackup

Ha engedélyezni szeretné a titkosítást az Azure CLI használatával, futtassa a az vm encryption enable parancsot, és adja meg a paraméterrel --volume-type [all | os | data] titkosítandó kötetet. Íme egy példa egy virtuális gép összes kötetének titkosítására:

az vm encryption enable \
    --resource-group <resource-group> \
    --name <vm-name> \
    --disk-encryption-keyvault <keyvault-name> \
    --volume-type all

Lemez állapotának megtekintése

Ellenőrizheti, hogy egyes lemezek titkosítva vannak-e.

Get-AzVmDiskEncryptionStatus  -ResourceGroupName <resource-group> -VMName <vm-name>

az vm encryption show --resource-group <resource-group> --name <vm-name>

Mindkét parancs a megadott virtuális géphez csatlakoztatott lemezek állapotát adja vissza.

Meghajtók visszafejtése

A titkosítás PowerShell-lel történő megfordításához futtassa a Disable-AzVMDiskEncryption parancsmagot.

Disable-AzVMDiskEncryption -ResourceGroupName <resource-group> -VMName <vm-name>

Az Azure CLI esetén futtassa a vm encryption disable parancsot.

az vm encryption disable --resource-group <resource-group> --name <vm-name>

Ezek a parancsok letiltják az összes típusú kötet titkosítását a megadott virtuális géphez. A titkosítási verzióhoz hasonlóan a visszafejtendő lemezek kiválasztásához megadhatja a paramétert -VolumeType [All | OS | Data]. Ha nincs megadva, akkor az alapértelmezett beállítás a(z) All.

Figyelmeztetés

A windowsos virtuális gépek adatlemezeinek titkosítása nem a várt módon működik, ha az operációs rendszer és az adatlemezek egyaránt titkosítottak. Ilyenkor az összes lemez titkosítását ki kell kapcsolni.

A következő gyakorlatban kipróbál néhány parancsot egy új virtuális gépen.