Schijfversleuteling inschakelen voor beheerde Service Fabric-clusterknooppunten
Beheerde Service Fabric-clusters ondersteunen twee schijfversleutelingsopties om uw gegevens te beveiligen zodat ze voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. De aanbevolen optie is Versleuteling op host, maar biedt ook ondersteuning voor Azure Disk Encryption. Controleer de opties voor schijfversleuteling en zorg ervoor dat de geselecteerde optie aan uw behoeften voldoet.
Versleuteling op host inschakelen
Deze versleutelingsmethode verbetert Azure Disk Encryption door ondersteuning te bieden voor alle typen besturingssysteem en installatiekopieën, inclusief aangepaste installatiekopieën, voor uw VM's door gegevens te versleutelen in de Azure Storage-service. Deze methode maakt geen gebruik van de CPU van uw VM's en heeft ook geen invloed op de prestaties van uw VM's, zodat workloads alle beschikbare VM's SKU-resources kunnen gebruiken.
Notitie
U kunt niet inschakelen voor bestaande knooppunttypen. U moet een nieuw knooppunttype inrichten en uw workload migreren.
Notitie
Azure Security Center schijfversleutelingsstatus wordt op dit moment weergegeven als Niet in orde wanneer u Versleuteling op host gebruikt
Volg deze stappen en raadpleeg deze voorbeeldsjabloon om een nieuw beheerd Service Fabric-cluster te implementeren waarvoor hostversleuteling is ingeschakeld.
Bekijk de volgende beperkingen om te controleren of ze aan uw vereisten voldoen.
Stel de vereiste vereisten in voordat het cluster wordt geïmplementeerd.
Configureer de
enableEncryptionAtHost
eigenschap in de beheerde clustersjabloon voor elk knooppunttype schijfversleuteling is vereist. Het voorbeeld is vooraf geconfigureerd.- De apiVersion van de beheerde Service Fabric-clusterresource moet 2021-11-01-preview of hoger zijn.
{ "apiVersion": "[variables('sfApiVersion')]", "type": "Microsoft.ServiceFabric/managedclusters/nodetypes", "name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]", "location": "[resourcegroup().location]", "properties": { "enableEncryptionAtHost": true ... } }
Implementeren en controleren
Implementeer uw beheerde cluster geconfigureerd met Hostversleuteling ingeschakeld.
$clusterName = "<clustername>" $resourceGroupName = "<rg-name>" New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose
U kunt de schijfversleutelingsstatus voor de onderliggende schaalset van een knooppunttype controleren met behulp van de
Get-AzVmss
opdracht . Eerst moet u de naam vinden van de ondersteunende resourcegroep van uw beheerde cluster (met het onderliggende virtuele netwerk, load balancer, openbare IP, NSG, schaalset(s) en opslagaccounts). Zorg ervoor dat u de naam van het clusterknooppunttype wijzigtNodeTypeNAme
dat u wilt controleren (zoals opgegeven in de implementatiesjabloon).$NodeTypeName = "NT2" $clustername = <clustername> $resourceGroupName = "<rg-name>" $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId $VMSS = Get-AzVmss -ResourceGroupName $supportResourceGroupName -Name $NodeTypeName $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
De retouruitvoer ziet er ongeveer als volgt uit:
$VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost True
Azure Disk Encryption inschakelen
Azure Disk Encryption biedt volumeversleuteling voor de besturingssysteem- en gegevensschijven van virtuele Azure-machines (VM's) met behulp van de functie DM-Crypt in Linux of de BitLocker-functie van Windows. ADE is geïntegreerd met Azure Key Vault om u te helpen bij het beheren en beheren van de schijfversleutelingssleutels en -geheimen.
In deze handleiding leert u hoe u schijfversleuteling inschakelt op door Service Fabric beheerde clusterknooppunten in Windows met behulp van de Azure Disk Encryption-mogelijkheid voor virtuele-machineschaalsets via ARM-sjablonen (Azure Resource Manager).
Registreren voor Azure Disk Encryption
De preview-versie van schijfversleuteling voor de virtuele-machineschaalset vereist zelfregistratie. Voer de volgende opdracht uit:
Register-AzProviderFeature -FeatureName "UnifiedDiskEncryption" -ProviderNamespace "Microsoft.Compute"
Controleer de status van de registratie door het volgende uit te voeren:
Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption"
Zodra de status is gewijzigd in Geregistreerd, kunt u doorgaan.
Een Key Vault inrichten voor schijfversleuteling
Azure Disk Encryption vereist een Azure Key Vault voor het beheren en beheren van schijfversleutelingssleutels en -geheimen. Uw Key Vault en door Service Fabric beheerde cluster moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden. Zolang aan deze vereisten wordt voldaan, kunt u een nieuwe of bestaande Key Vault gebruiken door deze in te schakelen voor schijfversleuteling.
Key Vault maken waarvoor schijfversleuteling is ingeschakeld
Voer de volgende opdrachten uit om een nieuwe Key Vault voor schijfversleuteling te maken. Zorg ervoor dat de regio voor uw Key Vault zich in dezelfde regio bevindt als uw cluster.
$resourceGroupName = "<rg-name>" $keyvaultName = "<kv-name>" New-AzResourceGroup -Name $resourceGroupName -Location eastus2 New-AzKeyVault -ResourceGroupName $resourceGroupName -Name $keyvaultName -Location eastus2 -EnabledForDiskEncryption
Bestaande Key Vault bijwerken om schijfversleuteling in te schakelen
Voer de volgende opdrachten uit om schijfversleuteling in te schakelen voor een bestaande Key Vault.
Set-AzKeyVaultAccessPolicy -ResourceGroupName $resourceGroupName -VaultName $keyvaultName -EnabledForDiskEncryption
De sjabloon- en parameterbestanden voor schijfversleuteling bijwerken
In de volgende stap doorloopt u de vereiste sjabloonwijzigingen voor het inschakelen van schijfversleuteling op een bestaand beheerd cluster. U kunt ook een nieuw beheerd Service Fabric-cluster implementeren met schijfversleuteling ingeschakeld met deze sjabloon: https://github.com/Azure-Samples/service-fabric-cluster-templates/tree/master/SF-Managed-Standard-SKU-1-NT-DiskEncryption
Voeg de volgende parameters toe aan de sjabloon, waarbij u uw eigen abonnement, resourcegroepnaam en kluisnaam vervangt onder
keyVaultResourceId
:"parameters": { "keyVaultResourceId": { "type": "string", "defaultValue": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>", "metadata": { "description": "Full resource id of the Key Vault used for disk encryption." } }, "volumeType": { "type": "string", "defaultValue": "All", "metadata": { "description": "Type of the volume OS or Data to perform encryption operation" } } },
Voeg vervolgens de VM-extensie
AzureDiskEncryption
toe aan de typen beheerde clusterknooppunten in de sjabloon:"properties": { "vmExtensions": [ { "name": "AzureDiskEncryption", "properties": { "publisher": "Microsoft.Azure.Security", "type": "AzureDiskEncryption", "typeHandlerVersion": "2.2", "autoUpgradeMinorVersion": true, "settings": { "EncryptionOperation": "EnableEncryption", "KeyVaultURL": "[reference(parameters('keyVaultResourceId'),'2016-10-01').vaultUri]", "KeyVaultResourceId": "[parameters('keyVaultResourceID')]", "VolumeType": "[parameters('volumeType')]" } } } ] }
Werk ten slotte het parameterbestand bij, waarbij u uw eigen abonnement, resourcegroep en sleutelkluisnaam vervangt in keyVaultResourceId:
"parameters": { ... "keyVaultResourceId": { "value": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>" }, "volumeType": { "value": "All" } }
De wijzigingen implementeren en controleren
Zodra u klaar bent, implementeert u de wijzigingen om schijfversleuteling in uw beheerde cluster in te schakelen.
$clusterName = "<clustername>" New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose
U kunt de schijfversleutelingsstatus voor de onderliggende schaalset van een knooppunttype controleren met behulp van de
Get-AzVmssDiskEncryption
opdracht . Eerst moet u de naam vinden van de ondersteunende resourcegroep van uw beheerde cluster (met het onderliggende virtuele netwerk, load balancer, openbare IP, NSG, schaalset(s) en opslagaccounts). Zorg ervoor dat u de naam van het clusterknooppunttype wijzigtVmssName
dat u wilt controleren (zoals opgegeven in de implementatiesjabloon).$VmssName = "NT1" $clustername = <clustername> $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId Get-AzVmssDiskEncryption -ResourceGroupName $supportResourceGroupName -VMScaleSetName $VmssName
De uitvoer moet er ongeveer als volgt uitzien:
ResourceGroupName : SFC_########-####-####-####-############ VmScaleSetName : NT1 EncryptionEnabled : True EncryptionExtensionInstalled : True
Volgende stappen
Azure Disk Encryption voor virtuele Windows-machines
Schaalsets voor virtuele machines versleutelen met Azure Resource Manager