Bewerken

Delen via

Azure Portal gebruiken om versleuteling aan de serverzijde in te schakelen met door de klant beheerde sleutels voor beheerde schijven

  • Uitleg

Van toepassing op: ✔️ Virtuele Linux-machines ✔️ van Windows ✔️

Met Azure Disk Storage kunt u uw eigen sleutels beheren bij gebruik van versleuteling aan de serverzijde (SSE) voor beheerde schijven, als u dat kiest. Voor conceptuele informatie over SSE met door de klant beheerde sleutels en andere typen beheerde schijfversleuteling raadpleegt u de sectie Door de klant beheerde sleutels van ons artikel over schijfversleuteling: Door de klant beheerde sleutels

Vereisten

Geen

Beperkingen

Op dit moment hebben door de klant beheerde sleutels de volgende beperkingen:

  • Als deze functie is ingeschakeld voor een schijf met incrementele momentopnamen, kan deze niet worden uitgeschakeld op die schijf of de bijbehorende momentopnamen. U kunt dit omzeilen door alle gegevens te kopiëren naar een volledig andere beheerde schijf die geen door de klant beheerde sleutels gebruikt. U kunt dit doen met de Azure CLI of de Azure PowerShell-module.
  • Een schijf en alle bijbehorende incrementele momentopnamen moeten dezelfde schijfversleutelingsset hebben.
  • Alleen software- en HSM RSA-sleutels van grootten 2048-bits, 3072-bits en 4.096-bits worden ondersteund, geen andere sleutels of grootten.
    • HSM-sleutels vereisen de Premium-laag van Azure Key Vaults.
  • Alleen voor Ultra Disks en Premium SSD v2-schijven:
    • Schijven die zijn gemaakt op basis van momentopnamen die zijn versleuteld met versleuteling aan de serverzijde en door de klant beheerde sleutels, moeten worden versleuteld met dezelfde schijfversleutelingsset.
    • Door de gebruiker toegewezen beheerde identiteiten worden niet ondersteund voor Ultra Disks- en Premium SSD v2-schijven die zijn versleuteld met door de klant beheerde sleutels.
    • Het versleutelen van Ultra Disks en Premium SSD v2-schijven met door de klant beheerde sleutels met behulp van Azure Key Vaults die zijn opgeslagen in een andere Microsoft Entra ID-tenant wordt momenteel niet ondersteund.
  • De meeste resources met betrekking tot uw door de klant beheerde sleutels (schijfversleutelingssets, VM's, schijven en momentopnamen) moeten zich in hetzelfde abonnement en dezelfde regio bevinden.
    • Azure Key Vaults kunnen worden gebruikt vanuit een ander abonnement, maar moeten zich in dezelfde regio bevinden als uw schijfversleutelingsset. Als preview-versie kunt u Azure Key Vaults van verschillende Microsoft Entra-tenants gebruiken.
  • Schijven die zijn versleuteld met door de klant beheerde sleutels, kunnen alleen worden verplaatst naar een andere resourcegroep als de virtuele machine waaraan ze zijn gekoppeld, ongedaan wordt gemaakt.
  • Schijven, momentopnamen en installatiekopieën die zijn versleuteld met door de klant beheerde sleutels, kunnen niet worden verplaatst tussen abonnementen.
  • Beheerde schijven die momenteel of eerder zijn versleuteld met Behulp van Azure Disk Encryption, kunnen niet worden versleuteld met door de klant beheerde sleutels.
  • Kan maximaal 5000 schijfversleutelingssets per regio per abonnement maken.
  • Zie Preview voor meer informatie over het gebruik van door de klant beheerde sleutels met galerieën met gedeelde installatiekopieën: door de klant beheerde sleutels gebruiken voor het versleutelen van afbeeldingen.

In de volgende secties wordt beschreven hoe u door de klant beheerde sleutels voor beheerde schijven inschakelt en gebruikt:

Als u door de klant beheerde sleutels voor uw schijven instelt, moet u resources in een bepaalde volgorde maken, als u dit voor het eerst doet. Eerst moet u een Azure Key Vault maken en instellen.

Uw Azure Key Vault instellen

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer Sleutelkluizen.

    Schermopname van Azure Portal met het zoekdialoogvenster uitgevouwen.

    Belangrijk

    Uw schijfversleutelingsset, VM, schijven en momentopnamen moeten zich allemaal in dezelfde regio en hetzelfde abonnement bevinden om te kunnen worden geïmplementeerd. Azure Key Vaults kunnen worden gebruikt vanuit een ander abonnement, maar moeten zich in dezelfde regio en tenant bevinden als uw schijfversleutelingsset.

  3. Selecteer +Maken om een nieuwe sleutelkluis te maken.

  4. Een nieuwe resourcegroep maken.

  5. Voer een sleutelkluisnaam in, selecteer een regio en selecteer een prijscategorie.

    Notitie

    Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.

  6. Selecteer Beoordelen en maken, controleer uw keuzes en selecteer Vervolgens Maken.

    Schermopname van de ervaring voor het maken van Azure Key Vault, met de specifieke waarden die u maakt.

  7. Nadat de implementatie van uw sleutelkluis is voltooid, selecteert u deze.

  8. Selecteer Sleutels onder Objecten.

  9. Selecteer Genereren/Importeren.

    Schermopname van het deelvenster Resource-instellingen van Key Vault, met de knop Genereren/importeren in instellingen.

  10. Laat zowel sleuteltype ingesteld op RSA als RSA-sleutelgrootte ingesteld op 2048.

  11. Vul de resterende selecties in zoals u wilt en selecteer Vervolgens Maken.

    Schermopname van het maken van een sleutelvenster dat wordt weergegeven zodra de knop Genereren/importeren is geselecteerd.

Een Azure RBAC-rol toevoegen

Nu u de Azure-sleutelkluis en een sleutel hebt gemaakt, moet u een Azure RBAC-rol toevoegen, zodat u uw Azure-sleutelkluis kunt gebruiken met uw schijfversleutelingsset.

  1. Selecteer Toegangsbeheer (IAM) en voeg een rol toe.
  2. Voeg de rollen Key Vault-beheerder, Eigenaar of Inzender toe.

Uw schijfversleutelingsset instellen

  1. Zoek naar Schijfversleutelingssets en selecteer deze.

  2. Selecteer +Maken in het deelvenster Schijfversleutelingssets.

  3. Selecteer uw resourcegroep, geef uw versleutelingsset een naam en selecteer dezelfde regio als uw sleutelkluis.

  4. Voor het versleutelingstype selecteert u Versleuteling-at-rest met een door de klant beheerde sleutel.

    Notitie

    Wanneer u een schijfversleutelingsset met een bepaald versleutelingstype hebt gemaakt, kan deze niet worden gewijzigd. Als u een ander versleutelingstype wilt gebruiken, moet u een nieuwe schijfversleutelingsset maken.

  5. Zorg ervoor dat Azure-sleutelkluis en sleutel selecteren is geselecteerd.

  6. Selecteer de sleutelkluis en sleutel die u eerder hebt gemaakt en de versie.

  7. Als u automatische rotatie van door de klant beheerde sleutels wilt inschakelen, selecteert u Automatische sleutelrotatie.

  8. Selecteer Controleren en maken, en vervolgens Maken.

    Schermopname van het deelvenster Schijfversleuteling maken. Het abonnement, de resourcegroep, de naam van de schijfversleutelingsset, de regio en de sleutelkluis en de sleutelkiezer worden weergegeven.

  9. Navigeer naar de schijfversleutelingsset zodra deze is geïmplementeerd en selecteer de weergegeven waarschuwing.

    Schermopname van de gebruiker die de waarschuwing 'Een schijf, installatiekopie of momentopname koppelen aan deze schijfversleutelingsset' selecteert, moet u machtigingen verlenen aan de sleutelkluis.

  10. Hiermee verleent u uw sleutelkluis machtigingen aan de schijfversleutelingsset.

    Schermopname van bevestiging dat machtigingen zijn verleend.

Een virtuele machine implementeren

Nu u uw sleutelkluis en de schijfversleutelingsset hebt gemaakt en ingesteld, kunt u een virtuele machine implementeren met behulp van de versleuteling. Het VM-implementatieproces is vergelijkbaar met het standaardimplementatieproces. De enige verschillen zijn dat u de VIRTUELE machine in dezelfde regio als uw andere resources moet implementeren en u ervoor kiest om een door de klant beheerde sleutel te gebruiken.

  1. Zoek naar virtuele machines en selecteer + Maken om een virtuele machine te maken.

  2. Selecteer in het deelvenster Basis dezelfde regio als uw schijfversleutelingsset en Azure Key Vault.

  3. Vul de andere waarden in het deelvenster Basis in zoals u wilt.

    Schermopname van de ervaring voor het maken van de VIRTUELE machine, met de regiowaarde gemarkeerd.

  4. Selecteer in het deelvenster Schijven voor Sleutelbeheer uw schijfversleutelingsset, sleutelkluis en sleutel in de vervolgkeuzelijst.

  5. Maak de resterende selecties zoals u wilt.

    Schermopname van het maken van de VM, het deelvenster Schijven, de door de klant beheerde sleutel geselecteerd.

Inschakelen op een bestaande schijf

Let op

Als u schijfversleuteling inschakelt op schijven die zijn gekoppeld aan een virtuele machine, moet u de VIRTUELE machine stoppen.

  1. Navigeer naar een virtuele machine die zich in dezelfde regio bevindt als een van uw schijfversleutelingssets.

  2. Open de virtuele machine en selecteer Stoppen.

Schermopname van de hoofd-overlay voor uw voorbeeld-VM, met de knop Stoppen gemarkeerd.

  1. Nadat de VIRTUELE machine is gestopt, selecteert u Schijven en selecteert u vervolgens de schijf die u wilt versleutelen.

Schermopname van uw voorbeeld-VM, met het deelvenster Schijven geopend, de besturingssysteemschijf is gemarkeerd als een voorbeeldschijf die u kunt selecteren.

  1. Selecteer Versleuteling en selecteer onder Sleutelbeheer uw sleutelkluis en sleutel in de vervolgkeuzelijst, onder Door de klant beheerde sleutel.

  2. Selecteer Opslaan.

Schermopname van uw voorbeeldschijf van het besturingssysteem, het versleutelingsvenster is geopend, versleuteling-at-rest met een door de klant beheerde sleutel is geselecteerd, evenals uw voorbeeld van Azure Key Vault.

  1. Herhaal dit proces voor alle andere schijven die zijn gekoppeld aan de VIRTUELE machine die u wilt versleutelen.

  2. Wanneer uw schijven klaar zijn met het overschakelen naar door de klant beheerde sleutels, start u de VM als er geen andere gekoppelde schijven zijn die u wilt versleutelen.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Microsoft Entra-id. Wanneer u door de klant beheerde sleutels configureert, wordt automatisch een beheerde identiteit toegewezen aan uw resources onder de dekking. Als u vervolgens het abonnement, de resourcegroep of de beheerde schijf van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die is gekoppeld aan de beheerde schijven niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen voor meer informatie.

Automatische sleutelrotatie inschakelen voor een bestaande schijfversleutelingsset

  1. Navigeer naar de schijfversleutelingsset waarvoor u automatische sleutelrotatie wilt inschakelen.

  2. Selecteer onder Instellingen de optie Sleutel.

  3. Selecteer Automatisch sleutelrotatie en selecteer Opslaan.

Gerelateerde inhoud