Konfigurowanie szyfrowania kluczy zarządzanych przez klienta magazynowanych w rozwiązaniu Azure VMware Solution

W tym artykule pokazano, jak szyfrować klucze szyfrowania kluczy VMware vSAN (KEKs) przy użyciu kluczy zarządzanych przez klienta (CMK) zarządzanych przez wystąpienie usługi Azure Key Vault należące do klienta.

Po włączeniu szyfrowania cmK w chmurze prywatnej usługi Azure VMware Solution usługa Azure VMware Solution używa klucza cmK z magazynu kluczy do szyfrowania kluczy kluczy. Każdy host ESXi, który uczestniczy w klastrze vSAN, używa losowo wygenerowanych kluczy szyfrowania dysku (DEKs), których używa program ESXi do szyfrowania danych dysku magazynowanych. Rozwiązanie vSAN szyfruje wszystkie klucze SZYFROWANIA przy użyciu klucza klucza udostępnionego przez system zarządzania kluczami rozwiązania VMware Platformy Azure. Chmura prywatna rozwiązania Azure VMware Solution i magazyn kluczy nie muszą znajdować się w tej samej subskrypcji.

Podczas zarządzania własnymi kluczami szyfrowania można wykonywać następujące czynności:

• Kontrolowanie dostępu platformy Azure do kluczy vSAN.
• Centralnie zarządzaj cyklem życia zestawów cmks.
• Odwoływanie dostępu platformy Azure do klucza KEK.

Funkcja cmKs obsługuje następujące typy kluczy i ich rozmiary kluczy:

• RSA: 2048, 3072, 4096
• RSA-HSM: 2048, 3072, 4096

Topologia

Na poniższym diagramie pokazano, jak rozwiązanie Azure VMware Solution używa identyfikatora Microsoft Entra i magazynu kluczy do dostarczania klucza zarządzanego przez klienta.

Wymagania wstępne

Przed rozpoczęciem włączania funkcji cmK upewnij się, że zostały spełnione następujące wymagania:

• Do korzystania z funkcji cmK potrzebny jest magazyn kluczy. Jeśli nie masz magazynu kluczy, możesz go utworzyć przy użyciu przewodnika Szybki start: tworzenie magazynu kluczy przy użyciu witryny Azure Portal.

• Jeśli włączono ograniczony dostęp do usługi Key Vault, musisz zezwolić usługom zaufanym firmy Microsoft na obejście zapory usługi Key Vault. Przejdź do tematu Konfigurowanie ustawień sieci usługi Azure Key Vault, aby dowiedzieć się więcej.

  Uwaga

  Po wprowadzeniu reguł zapory użytkownicy mogą wykonywać operacje płaszczyzny danych usługi Key Vault tylko wtedy, gdy ich żądania pochodzą z dozwolonych maszyn wirtualnych lub zakresów adresów IPv4. To ograniczenie dotyczy również uzyskiwania dostępu do usługi Key Vault z witryny Azure Portal. Ma to również wpływ na selektor usługi Key Vault przez rozwiązanie Azure VMware Solution. Użytkownicy mogą wyświetlać listę magazynów kluczy, ale nie wyświetlać kluczy, jeśli reguły zapory uniemożliwiają komputer kliencki lub użytkownik nie ma uprawnień do listy w usłudze Key Vault.

• Włącz tożsamość przypisaną przez system w chmurze prywatnej usługi Azure VMware Solution, jeśli nie włączono jej podczas aprowizacji centrum danych zdefiniowanego programowo (SDDC).

  Portal

  Aby włączyć tożsamość przypisaną przez system:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do usługi Azure VMware Solution i znajdź chmurę prywatną.

  3. W okienku po lewej stronie otwórz pozycję Zarządzaj i wybierz pozycję Tożsamość.

  4. W obszarze Przypisane przez system wybierz pozycję Włącz>zapisywanie. Tożsamość przypisana przez system powinna być teraz włączona.

  Po włączeniu tożsamości przypisanej przez system zostanie wyświetlona karta Identyfikator obiektu. Zanotuj identyfikator obiektu do późniejszego użycia.

  Interfejs wiersza polecenia platformy Azure

  Pobierz identyfikator zasobu chmury prywatnej i zapisz go w zmiennej. Ta wartość jest potrzebna w następnym kroku, aby zaktualizować zasób przy użyciu tożsamości przypisanej przez system.

  privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
  

  Aby skonfigurować tożsamość przypisaną przez system w chmurze prywatnej usługi Azure VMware Solution za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az-resource-update i podaj zmienną identyfikatora zasobu chmury prywatnej, który został wcześniej pobrany.

  az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
  

• Skonfiguruj zasady dostępu magazynu kluczy, aby udzielić uprawnień tożsamości zarządzanej. Służy do autoryzowania dostępu do magazynu kluczy.

  Portal

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do pozycji Magazyny kluczy i znajdź magazyn kluczy, którego chcesz użyć.
  3. W okienku po lewej stronie w obszarze Ustawienia wybierz pozycję Zasady dostępu.
  4. W obszarze Zasady dostępu wybierz pozycję Dodaj zasady dostępu, a następnie:
     1. Na liście rozwijanej Uprawnienia klucza wybierz pozycję Wybierz, Pobierz, Zawijaj klucz i Odpakuj klucz.
     2. W obszarze Wybierz podmiot zabezpieczeń wybierz pozycję Brak wybrane. Zostanie otwarte nowe okno Podmiot zabezpieczeń z polem wyszukiwania.
     3. W polu wyszukiwania wklej identyfikator obiektu z poprzedniego kroku. Możesz też wyszukać nazwę chmury prywatnej, której chcesz użyć. Wybierz pozycję Wybierz po zakończeniu.
     4. Wybierz pozycję DODAJ.
     5. Sprawdź, czy nowe zasady są wyświetlane w sekcji Aplikacja bieżącego zasad.
     6. Wybierz pozycję Zapisz , aby zatwierdzić zmiany.

  Interfejs wiersza polecenia platformy Azure

  Pobierz identyfikator podmiotu zabezpieczeń tożsamości zarządzanej przypisanej przez system i zapisz go w zmiennej. Ta wartość jest potrzebna w następnym kroku, aby utworzyć zasady dostępu do magazynu kluczy.

  principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
  

  Aby skonfigurować zasady dostępu magazynu kluczy za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault set-policy. Podaj zmienną identyfikatora podmiotu zabezpieczeń pobranego wcześniej dla tożsamości zarządzanej.

  az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
  

  Dowiedz się więcej o przypisywaniu zasad dostępu usługi Key Vault.

Cykl życia wersji klucza zarządzanego przez klienta

Klucz zarządzania kluczem można zmienić, tworząc nową wersję klucza. Tworzenie nowej wersji nie przerywa przepływu pracy maszyny wirtualnej.

W usłudze Azure VMware Solution rotacja wersji klucza cmK zależy od ustawienia wyboru klucza wybranego podczas konfigurowania klucza cmk.

Ustawienie wyboru klucza 1

Klient umożliwia szyfrowanie cmK bez podawania określonej wersji klucza dla klucza cmK. Usługa Azure VMware Solution wybiera najnowszą wersję klucza dla klucza cmK z magazynu kluczy klienta w celu zaszyfrowania kluczy vSAN KEKs. Usługa Azure VMware Solution śledzi klucz zarządzania kluczami klienta na potrzeby rotacji wersji. Po utworzeniu nowej wersji klucza CMK w usłudze Key Vault jest on przechwytywany przez rozwiązanie Azure VMware Solution automatycznie w celu szyfrowania kluczy VSAN.

Uwaga

Usługa Azure VMware Solution może potrwać do 10 minut, aby wykryć nową, autoryzowaną wersję klucza.

Ustawienie wyboru klucza 2

Klient może włączyć szyfrowanie klucza zarządzanego przez klienta dla określonej wersji klucza cmK, aby podać pełny identyfikator URI wersji klucza w ramach opcji Enter Key from URI (Wprowadź klucz z identyfikatora URI ). Gdy bieżący klucz klienta wygaśnie, musi przedłużyć wygaśnięcie klucza cmK lub wyłączyć klucz cmK.

Włączanie klucza zarządzanego przez klienta przy użyciu tożsamości przypisanej przez system

Tożsamość przypisana przez system jest ograniczona do jednego zasobu i jest powiązana z cyklem życia zasobu. Możesz udzielić uprawnień tożsamości zarządzanej w zasobie platformy Azure. Tożsamość zarządzana jest uwierzytelniana przy użyciu identyfikatora Entra firmy Microsoft, więc nie trzeba przechowywać żadnych poświadczeń w kodzie.

Ważne

Upewnij się, że usługa Key Vault znajduje się w tym samym regionie co chmura prywatna usługi Azure VMware Solution.

Portal

Przejdź do wystąpienia usługi Key Vault i zapewnij dostęp do centrum danych SDDC w usłudze Key Vault przy użyciu identyfikatora podmiotu zabezpieczeń przechwyconego na karcie Włącz tożsamość usługi zarządzanej.

1. W chmurze prywatnej usługi Azure VMware Solution w obszarze Zarządzanie wybierz pozycję Szyfrowanie. Następnie wybierz pozycję Klucze zarządzane przez klienta (CMKs).

2. Klucz cmK oferuje dwie opcje wyboru klucza z usługi Key Vault:

   Opcja 1:

   1. W obszarze Klucz szyfrowania wybierz pozycję z usługi Key Vault.
   2. Wybierz typ szyfrowania. Następnie wybierz opcję Wybierz magazyn kluczy i klucz .
   3. Wybierz usługę Key Vault i klucz z listy rozwijanej. Następnie naciśnij przycisk Wybierz.

   Opcja 2.

   1. W obszarze Klucz szyfrowania wybierz pozycję Wprowadź klucz z identyfikatora URI.
   2. Wprowadź określony identyfikator URI klucza w polu Identyfikator URI klucza.

   Ważne

   Jeśli chcesz wybrać określoną wersję klucza zamiast automatycznie wybranej najnowszej wersji, musisz określić identyfikator URI klucza z wersją klucza. Ten wybór ma wpływ na cykl życia wersji klucza cmK.

   Opcja Zarządzanego sprzętowego modułu zabezpieczeń usługi Key Vault (HSM) jest obsługiwana tylko w przypadku opcji Identyfikator URI klucza.

3. Wybierz pozycję Zapisz , aby udzielić dostępu do zasobu.

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować zestawy CMKs dla chmury prywatnej usługi Azure VMware Solution z automatycznym aktualizowaniem wersji klucza, wywołaj polecenie az vmware private-cloud add-cmk-encryption. Pobierz adres URL magazynu kluczy i zapisz go w zmiennej. Ta wartość jest potrzebna w następnym kroku, aby włączyć klucz cmK.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

W poniższych opcjach 1 i 2 przedstawiono różnicę między brakiem podania określonej wersji klucza a udostępnieniem jednej z nich.

Opcja 1

W tym przykładzie pokazano, że klient nie udostępnia określonej wersji klucza.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Opcja 2

Podaj wersję klucza jako argument, aby używać zestawów CMKs z określoną wersją klucza, jak wspomniano wcześniej w opcji 2 w witrynie Azure Portal. W poniższym przykładzie pokazano, jak klient udostępnia określoną wersję klucza.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Zmiana klucza zarządzanego przez klienta na klucz zarządzany przez firmę Microsoft

Gdy klient chce zmienić klucz zarządzany przez firmę Microsoft na klucz zarządzany przez firmę Microsoft, obciążenie maszyny wirtualnej nie zostanie przerwane. Aby wprowadzić zmianę z klucza cmK na mmK:

1. W obszarze Zarządzanie wybierz pozycję Szyfrowanie z chmury prywatnej usługi Azure VMware Solution.
2. Wybierz pozycję Klucze zarządzane przez firmę Microsoft (MMK).
3. Wybierz pozycję Zapisz.

Ograniczenia

Usługa Key Vault musi być skonfigurowana jako możliwe do odzyskania. Należy wykonać:

• Skonfiguruj usługę Key Vault przy użyciu opcji Usuwanie nietrwałe.
• Włącz opcję Przeczyść ochronę , aby chronić przed wymuszonym usunięciem magazynu wpisów tajnych, nawet po usunięciu nietrwałym.

Aktualizowanie ustawień klucza zarządzanego przez klienta nie działa, jeśli klucz wygasł lub klucz dostępu usługi Azure VMware Solution został odwołany.

Rozwiązywanie problemów i najlepsze rozwiązania

Poniżej przedstawiono porady dotyczące rozwiązywania niektórych typowych problemów, które mogą wystąpić, a także najlepsze rozwiązania do naśladowania.

Przypadkowe usunięcie klucza

Jeśli przypadkowo usuniesz klucz w magazynie kluczy, chmura prywatna nie może wykonać niektórych operacji modyfikacji klastra. Aby uniknąć tego scenariusza, zalecamy zachowanie funkcji usuwania nietrwałego włączonego w magazynie kluczy. Ta opcja gwarantuje, że jeśli klucz zostanie usunięty, można go odzyskać w ciągu 90 dni w ramach domyślnego przechowywania usuwania nietrwałego. Jeśli jesteś w ciągu 90 dni, możesz przywrócić klucz, aby rozwiązać ten problem.

Uprawnienie do przywracania magazynu kluczy

Jeśli masz chmurę prywatną, która utraciła dostęp do klucza cmK, sprawdź, czy tożsamość systemu zarządzanego (MSI) wymaga uprawnień w magazynie kluczy. Powiadomienie o błędzie zwrócone z platformy Azure może nie wskazywać poprawnie tożsamości usługi zarządzanej wymagającej uprawnień w magazynie kluczy jako głównej przyczyny. Należy pamiętać, że wymagane uprawnienia to get, wrapKeyi unwrapKey. Zobacz krok 4 w temacie Wymagania wstępne.

Naprawianie wygasłego klucza

Jeśli nie używasz funkcji autorotate, a klucz zarządzania kluczem zarządzanym wygasł w usłudze Key Vault, możesz zmienić datę wygaśnięcia klucza.

Przywracanie dostępu do magazynu kluczy

Upewnij się, że tożsamość usługi zarządzanej jest używana do zapewniania dostępu do magazynu kluczy w chmurze prywatnej.

Usuwanie tożsamości usługi zarządzanej

Jeśli przypadkowo usuniesz tożsamość usługi zarządzanej skojarzonej z chmurą prywatną, musisz wyłączyć klucz zarządzania kluczem sieciowym. Następnie wykonaj kroki, aby włączyć klucz cmK od samego początku.

Następne kroki

• Dowiedz się więcej o tworzeniu i przywracaniu kopii zapasowych usługi Azure Key Vault.
• Dowiedz się więcej o odzyskiwaniu usługi Azure Key Vault.