Gunakan portal Azure untuk mengaktifkan enkripsi end-to-end menggunakan enkripsi di host

  • Artikel

Berlaku untuk: ✔️ VM Linux ✔️ VM Windows

Saat Anda mengaktifkan enkripsi di host, data yang disimpan di host VM dienkripsi saat tidak aktif dan mengalirkan enkripsi ke layanan Microsoft Azure Storage. Untuk informasi konseptual tentang enkripsi di host, dan jenis enkripsi disk terkelola lainnya, lihat: Enkripsi di host - Enkripsi ujung ke ujung untuk data mesin virtual Anda.

Disk sementara dan disk OS sementara dienkripsi saat tidak aktif dengan kunci yang dikelola platform saat Anda mengaktifkan enkripsi menyeluruh. OS dan cache disk data dienkripsi saat istirahat dengan kunci yang dikelola pelanggan atau yang dikelola platform, tergantung pada apa yang Anda pilih sebagai jenis enkripsi disk. Misalnya, jika disk dienkripsi dengan kunci yang dikelola pelanggan, maka cache untuk disk dienkripsi dengan kunci yang dikelola pelanggan, dan jika disk dienkripsi dengan kunci yang dikelola platform maka cache untuk disk dienkripsi dengan kunci yang dikelola platform.

Batasan

  • Didukung untuk ukuran sektor 4k Ultra Disk dan Premium SSD v2.
  • Hanya didukung pada ukuran sektor 512e Ultra Disk dan Premium SSD v2 jika dibuat setelah 13/5/2023.
    • Untuk disk yang dibuat sebelum tanggal ini, rekam jepret disk Anda dan buat disk baru menggunakan rekam jepret.
  • Tidak dapat diaktifkan pada komputer virtual (VM) atau set skala komputer virtual yang saat ini atau pernah mengaktifkan Azure Disk Encryption.
  • Azure Disk Encryption tidak dapat diaktifkan pada disk yang mengaktifkan enkripsi di host.
  • Enkripsi dapat diaktifkan pada set skala komputer virtual yang ada. Namun, hanya VM baru yang dibuat setelah mengaktifkan enkripsi yang dienkripsi secara otomatis.
  • VM yang ada harus dibatalkan alokasinya dan dialokasikan kembali untuk dienkripsi.

Ketersediaan regional

Enkripsi di host tersedia di semua wilayah untuk semua jenis disk.

Ukuran komputer virtual yang didukung

Ukuran VM warisan tidak didukung. Anda dapat menemukan daftar ukuran mesin virtual yang didukung dengan menggunakan modul Azure PowerShell atau Azure CLI.

Prasyarat

Anda harus mengaktifkan fitur untuk langganan Anda sebelum dapat menggunakan enkripsi di host untuk VM atau Virtual Machine Scale Set Anda. Gunakan langkah-langkah berikut untuk mengaktifkan fitur untuk langganan Anda:

  1. portal Azure: Pilih ikon Azure Cloud Shell di portal Azure:

    Cuplikan layar ikon untuk meluncurkan Cloud Shell dari portal Azure.

  2. Jalankan perintah berikut untuk mendaftarkan fitur untuk langganan Anda

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Konfirmasikan bahwa status pendaftaran Terdaftar (pendaftaran mungkin memakan waktu beberapa menit) menggunakan perintah berikut sebelum mencoba fitur tersebut.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Sebarkan mesin virtual dengan kunci yang dikelola platform

  1. Masuk ke portal Azure.

  2. Cari Komputer Virtual dan pilih + Buat untuk membuat VM.

  3. Pilih wilayah yang sesuai dan ukuran VM yang didukung.

  4. Isi nilai lain pada panel Dasar sesuai keinginan Anda, lalu lanjutkan ke panel Disk .

    Cuplikan layar panel dasar pembuatan komputer virtual, wilayah, dan ukuran VM disorot.

  5. Pada panel Disk, pilih Enkripsi di host.

  6. Buat pilihan lainnya sesuai kebutuhan.

    Cuplikan layar panel disk pembuatan mesin virtual, enkripsi pada host disorot.

  7. Untuk proses penyebaran VM lainnya, buat pilihan yang sesuai dengan lingkungan Anda, dan selesaikan penyebaran.

Anda sekarang telah menyebarkan VM dengan enkripsi di host diaktifkan, dan cache untuk disk dienkripsi menggunakan kunci yang dikelola platform.

Disebarkan mesin virtual dengan kunci yang dikelola pelanggan

Atau, Anda dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi cache disk Anda.

Membuat Azure Key Vault dan kumpulan enkripsi disk

Setelah fitur diaktifkan, Anda perlu menyiapkan Azure Key Vault dan set enkripsi disk, jika Anda belum melakukannya.

Menyiapkan kunci yang dikelola pelanggan untuk disk Anda mengharuskan Anda membuat sumber daya dalam urutan tertentu, jika Anda melakukannya untuk pertama kalinya. Pertama, Anda harus membuat dan menyiapkan Azure Key Vault.

Menyiapkan Azure Key Vault

  1. Masuk ke portal Azure.

  2. Cari dan pilih Key Vault.

    Cuplikan layar portal Azure dengan kotak dialog penelusuran diperluas.

    Penting

    Kumpulan enkripsi disk, VM, disk, dan snapshot Anda semua harus berada di region dan langganan yang sama agar penyebaran berhasil. Azure Key Vaults dapat digunakan dari langganan yang berbeda tetapi harus berada di wilayah dan penyewa yang sama dengan kumpulan enkripsi disk Anda.

  3. Pilih +Buat untuk membuat Key Vault baru.

  4. Membuat grup sumber daya baru.

  5. Masukkan nama key vault, pilih wilayah, dan pilih tingkat harga.

    Catatan

    Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan pembersihan memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.

  6. Pilih Tinjau + Buat, verifikasi pilihan Anda, lalu pilih Buat.

    Cuplikan layar pengalaman pembuatan Azure Key Vault, memperlihatkan nilai tertentu yang Anda buat.

  7. Setelah key vault Anda selesai disebarkan, pilihlah.

  8. Pilih Kunci di bawah Objek.

  9. Pilih Buat/impor.

    Cuplikan layar panel pengaturan sumber daya Key Vault, memperlihatkan tombol buat/impor di dalam pengaturan.

  10. Biarkan kedua Jenis Kunci diatur ke RSA dan Ukuran Kunci RSA diatur ke 2048.

  11. Isi pilihan yang tersisa sesuka Anda lalu pilih Buat.

    Cuplikan layar panel buat kunci yang muncul setelah tombol buat/impor dipilih.

Menambahkan peran RBAC Azure

Setelah membuat Azure Key Vault dan kunci, Anda harus menambahkan peran Azure RBAC, sehingga Anda dapat menggunakan Azure Key Vault dengan set enkripsi disk.

  1. Pilih Kontrol akses (IAM) dan tambahkan peran.
  2. Tambahkan peran Admin Azure Key Vault, Pemilik, atau Kontributor.

Menyiapkan set enkripsi disk Anda

  1. Cari Set Enkripsi Disk dan pilihlah.

  2. Pada panel Set Enkripsi Disk, pilih +Buat.

  3. Pilih grup sumber daya Anda, beri nama set enkripsi Anda, dan pilih wilayah yang sama dengan key vault Anda.

  4. Untuk Jenis Enkripsi, pilih Enkripsi saat istirahat dengan kunci yang dikelola pelanggan.

    Catatan

    Setelah Anda membuat set enkripsi disk yang diatur dengan jenis enkripsi tertentu, enkripsi tersebut tidak dapat diubah. Jika ingin menggunakan jenis enkripsi yang berbeda, Anda harus membuat set enkripsi disk baru.

  5. Pastikan Pilih brankas kunci Azure dan kunci dipilih.

  6. Pilih key vault dan kunci yang Anda buat sebelumnya, dan versinya.

  7. Jika Anda ingin mengaktifkan rotasi otomatis kunci yang dikelola pelanggan, pilih Rotasi kunci otomatis.

  8. Pilih Tinjau ulang + Buat, lalu pilih Buat.

    Cuplikan layar panel pembuatan enkripsi disk. Menunjukkan langganan, grup sumber daya, nama kumpulan enkripsi disk, wilayah, dan brankas kunci + pemilih kunci.

  9. Navigasi ke set enkripsi disk setelah disebarkan, dan pilih pemberitahuan yang ditampilkan.

    Cuplikan layar pengguna yang memilih 'Untuk mengaitkan disk, gambar, atau snapshot dengan set enkripsi disk ini, Anda harus memberikan izin ke peringatan brankas kunci'.

  10. Hal ini akan memberikan izin brankas kunci Anda ke kumpulan enkripsi disk.

    Cuplikan layar konfirmasi bahwa izin telah diberikan.

Menyebarkan VM

Sekarang setelah Anda menyiapkan Azure Key Vault dan set enkripsi disk, Anda dapat menyebarkan VM dan menggunakan enkripsi di host.

  1. Masuk ke portal Azure.

  2. Cari Virtual Machines, lalu pilih + Tambahkan untuk membuat VM.

  3. Buat komputer virtual baru, pilih wilayah yang sesuai dan ukuran VM yang didukung.

  4. Isi nilai lain pada panel Dasar sesuka Anda, lalu lanjutkan ke panel Disk.

    Cuplikan layar panel dasar pembuatan komputer virtual, wilayah, dan ukuran VM disorot.

  5. Pada panel Disk, pilih Enkripsi di host.

  6. Pilih Manajemen kunci dan pilih salah satu kunci yang dikelola pelanggan Anda.

  7. Buat pilihan lainnya sesuai kebutuhan.

    Cuplikan layar panel disk pembuatan mesin virtual, enkripsi di host disorot, kunci yang dikelola pelanggan dipilih.

  8. Untuk proses penyebaran VM lainnya, buat pilihan yang sesuai dengan lingkungan Anda, dan selesaikan penyebaran.

Anda sekarang telah menyebarkan VM dengan enkripsi di host yang diaktifkan menggunakan kunci yang dikelola pelanggan.

Nonaktifkan enkripsi berbasis host

Batalkan alokasi VM Anda terlebih dahulu, enkripsi di host tidak dapat dinonaktifkan kecuali VM Anda dibatalkan alokasinya.

  1. Di mesin virtual Anda, pilih Disk, lalu pilih Pengaturan tambahan.

    Cuplikan layar panel Disk pada mesin virtual, Pengaturan tambahan disorot.

  2. Pilih Tidak untuk Enkripsi di host lalu pilih Simpan.

Langkah berikutnya

Sampel templat Azure Resource Manager