Gebruik Azure Portal om end-to-end-versleuteling met behulp van versleuteling op de host in te schakelen

  • Artikel

Van toepassing op: ✔️ Virtuele Linux-machines ✔️ van Windows

Wanneer u versleuteling op de host inschakelt, worden gegevens die zijn opgeslagen op de VM-host in rust versleuteld en stromen versleuteld naar de Storage-service. Zie voor conceptuele informatie over versleuteling op host en andere versleutelingstypen voor beheerde schijven: Versleuteling op host - End-to-end-versleuteling voor uw VM-gegevens.

Tijdelijke schijven en tijdelijke besturingssysteemschijven worden in rust versleuteld met door het platform beheerde sleutels wanneer u end-to-end-versleuteling inschakelt. De caches van het besturingssysteem en de gegevensschijf worden in rust versleuteld met door de klant beheerde of door het platform beheerde sleutels, afhankelijk van wat u selecteert als schijfversleutelingstype. Als een schijf bijvoorbeeld is versleuteld met door de klant beheerde sleutels, wordt de cache voor de schijf versleuteld met door de klant beheerde sleutels en als een schijf is versleuteld met door het platform beheerde sleutels, wordt de cache voor de schijf versleuteld met door platform beheerde sleutels.

Beperkingen

  • Ondersteund voor 4k sectorgrootte Ultra Disks en Premium SSD v2.
  • Alleen ondersteund op 512e sectorgrootte Ultra Disks en Premium SSD v2 als ze na 5/13/2023 zijn gemaakt.
  • Kan niet worden ingeschakeld op virtuele machines (VM's) of virtuele-machineschaalsets waarvoor Momenteel of ooit Azure Disk Encryption is ingeschakeld.
  • Azure Disk Encryption kan niet worden ingeschakeld op schijven waarvoor versleuteling is ingeschakeld op de host.
  • De versleuteling kan worden ingeschakeld voor bestaande virtuele-machineschaalsets. Alleen nieuwe VIRTUELE machines die zijn gemaakt nadat de versleuteling is ingeschakeld, worden echter automatisch versleuteld.
  • Bestaande VM's moeten de toewijzing ongedaan worden gemaakt en opnieuw worden toegewezen om te kunnen worden versleuteld.

Regionale beschikbaarheid

Versleuteling op host is beschikbaar in alle regio's voor alle schijftypen.

Ondersteunde VM-grootten

Verouderde VM-grootten worden niet ondersteund. U vindt de lijst met ondersteunde VM-grootten met behulp van de Azure PowerShell-module of Azure CLI.

Vereisten

U moet de functie voor uw abonnement inschakelen voordat u versleuteling op de host kunt gebruiken voor uw virtuele machine of virtuele-machineschaalset. Gebruik de volgende stappen om de functie voor uw abonnement in te schakelen:

  1. Azure Portal: Selecteer het Cloud Shell-pictogram in Azure Portal:

    Schermopname van het pictogram voor het starten van Cloud Shell vanuit Azure Portal.

  2. Voer de volgende opdracht uit om de functie voor uw abonnement te registreren

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Controleer of de registratiestatus is geregistreerd (registratie kan enkele minuten duren) met behulp van de volgende opdracht voordat u de functie probeert.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Een VIRTUELE machine implementeren met door platform beheerde sleutels

  1. Meld u aan bij het Azure-portaal.

  2. Zoek naar virtuele machines en selecteer + Maken om een virtuele machine te maken.

  3. Selecteer een geschikte regio en een ondersteunde VM-grootte.

  4. Vul de andere waarden in het deelvenster Basis in zoals u wilt en ga vervolgens verder met het deelvenster Schijven .

    Schermopname van het deelvenster Basisinformatie over het maken van virtuele machines, regio en VM-grootte zijn gemarkeerd.

  5. Selecteer Versleuteling op de host in het deelvenster Schijven.

  6. Maak de resterende selecties zoals u wilt.

    Schermopname van het deelvenster Schijven voor het maken van virtuele machines, versleuteling op host gemarkeerd.

  7. Voor de rest van het VM-implementatieproces maakt u selecties die aansluiten bij uw omgeving en voltooit u de implementatie.

U hebt nu een virtuele machine geïmplementeerd met versleuteling op de host ingeschakeld en de cache voor de schijf wordt versleuteld met behulp van door het platform beheerde sleutels.

Een VIRTUELE machine implementeren met door de klant beheerde sleutels

U kunt ook door de klant beheerde sleutels gebruiken om uw schijfcaches te versleutelen.

Een Azure Key Vault- en schijfversleutelingsset maken

Zodra de functie is ingeschakeld, moet u een Azure Key Vault en een schijfversleutelingsset instellen als u dat nog niet hebt gedaan.

Als u door de klant beheerde sleutels voor uw schijven instelt, moet u resources in een bepaalde volgorde maken, als u dit voor het eerst doet. Eerst moet u een Azure Key Vault maken en instellen.

Uw Azure Key Vault instellen

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer Sleutelkluizen.

    Schermopname van Azure Portal met het zoekdialoogvenster uitgevouwen.

    Belangrijk

    Uw schijfversleutelingsset, VM, schijven en momentopnamen moeten zich allemaal in dezelfde regio en hetzelfde abonnement bevinden om te kunnen worden geïmplementeerd. Azure Key Vaults kunnen worden gebruikt vanuit een ander abonnement, maar moeten zich in dezelfde regio en tenant bevinden als uw schijfversleutelingsset.

  3. Selecteer +Maken om een nieuwe sleutelkluis te maken.

  4. Een nieuwe resourcegroep maken.

  5. Voer een sleutelkluisnaam in, selecteer een regio en selecteer een prijscategorie.

    Notitie

    Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.

  6. Selecteer Beoordelen en maken, controleer uw keuzes en selecteer Vervolgens Maken.

    Schermopname van de ervaring voor het maken van Azure Key Vault, met de specifieke waarden die u maakt.

  7. Nadat de implementatie van uw sleutelkluis is voltooid, selecteert u deze.

  8. Selecteer Sleutels onder Objecten.

  9. Selecteer Genereren/Importeren.

    Schermopname van het deelvenster Resource-instellingen van Key Vault, met de knop Genereren/importeren in instellingen.

  10. Laat zowel sleuteltype ingesteld op RSA als RSA-sleutelgrootte ingesteld op 2048.

  11. Vul de resterende selecties in zoals u wilt en selecteer Vervolgens Maken.

    Schermopname van het maken van een sleutelvenster dat wordt weergegeven zodra de knop Genereren/importeren is geselecteerd.

Een Azure RBAC-rol toevoegen

Nu u de Azure-sleutelkluis en een sleutel hebt gemaakt, moet u een Azure RBAC-rol toevoegen, zodat u uw Azure-sleutelkluis kunt gebruiken met uw schijfversleutelingsset.

  1. Selecteer Toegangsbeheer (IAM) en voeg een rol toe.
  2. Voeg de rollen Key Vault Beheer istrator, Eigenaar of Inzender toe.

Uw schijfversleutelingsset instellen

  1. Zoek naar Schijfversleutelingssets en selecteer deze.

  2. Selecteer +Maken in het deelvenster Schijfversleutelingssets.

  3. Selecteer uw resourcegroep, geef uw versleutelingsset een naam en selecteer dezelfde regio als uw sleutelkluis.

  4. Voor het versleutelingstype selecteert u Versleuteling-at-rest met een door de klant beheerde sleutel.

    Notitie

    Wanneer u een schijfversleutelingsset met een bepaald versleutelingstype hebt gemaakt, kan deze niet worden gewijzigd. Als u een ander versleutelingstype wilt gebruiken, moet u een nieuwe schijfversleutelingsset maken.

  5. Zorg ervoor dat Azure-sleutelkluis en sleutel selecteren is geselecteerd.

  6. Selecteer de sleutelkluis en sleutel die u eerder hebt gemaakt en de versie.

  7. Als u automatische rotatie van door de klant beheerde sleutels wilt inschakelen, selecteert u Automatische sleutelrotatie.

  8. Selecteer Controleren en maken, en vervolgens Maken.

    Schermopname van het deelvenster Schijfversleuteling maken. Het abonnement, de resourcegroep, de naam van de schijfversleutelingsset, de regio en de sleutelkluis en de sleutelkiezer worden weergegeven.

  9. Navigeer naar de schijfversleutelingsset zodra deze is geïmplementeerd en selecteer de weergegeven waarschuwing.

    Schermopname van de gebruiker die de waarschuwing 'Een schijf, installatiekopie of momentopname koppelen aan deze schijfversleutelingsset' selecteert, moet u machtigingen verlenen aan de sleutelkluis.

  10. Hiermee verleent u uw sleutelkluis machtigingen aan de schijfversleutelingsset.

    Schermopname van bevestiging dat machtigingen zijn verleend.

Een virtuele machine implementeren

Nu u een Azure Key Vault- en schijfversleutelingsset hebt ingesteld, kunt u een virtuele machine implementeren en deze maakt gebruik van versleuteling op de host.

  1. Meld u aan bij het Azure-portaal.

  2. Zoek naar virtuele machines en selecteer + Toevoegen om een virtuele machine te maken.

  3. Maak een nieuwe virtuele machine, selecteer een geschikte regio en een ondersteunde VM-grootte.

  4. Vul de andere waarden in het deelvenster Basis in zoals u wilt en ga vervolgens verder met het deelvenster Schijven .

    Schermopname van het deelvenster Basisinformatie over het maken van virtuele machines, regio en VM-grootte zijn gemarkeerd.

  5. Selecteer Versleuteling op de host in het deelvenster Schijven.

  6. Selecteer Sleutelbeheer en selecteer een van uw door de klant beheerde sleutels.

  7. Maak de resterende selecties zoals u wilt.

    Schermopname van het deelvenster Schijven voor het maken van virtuele machines, versleuteling op host is gemarkeerd en door de klant beheerde sleutels geselecteerd.

  8. Voor de rest van het VM-implementatieproces maakt u selecties die aansluiten bij uw omgeving en voltooit u de implementatie.

U hebt nu een virtuele machine geïmplementeerd met versleuteling op de host ingeschakeld met behulp van door de klant beheerde sleutels.

Versleuteling op basis van een host uitschakelen

De toewijzing van uw VIRTUELE machine ongedaan maken, versleuteling op de host kan niet worden uitgeschakeld, tenzij de toewijzing van uw VIRTUELE machine ongedaan is gemaakt.

  1. Selecteer schijven op uw VIRTUELE machine en selecteer vervolgens Aanvullende instellingen.

    Schermopname van het deelvenster Schijven op een virtuele machine. Aanvullende Instellingen is gemarkeerd.

  2. Selecteer Nee voor versleuteling op de host en selecteer Opslaan.

Volgende stappen

Voorbeelden van Azure Resource Manager-sjablonen