Użyj Azure Portal, aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux maszyny wirtualne z ✔️ systemem Windows

Po włączeniu szyfrowania na hoście dane przechowywane na hoście maszyny wirtualnej są szyfrowane i przepływy szyfrowane w usłudze Storage. Aby uzyskać informacje koncepcyjne dotyczące szyfrowania na hoście i innych typach szyfrowania dysków zarządzanych, zobacz: Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej.

Dyski tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania. Pamięć podręczna dysku danych i systemu operacyjnego są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez klienta lub zarządzanych przez platformę, w zależności od wybranego typu szyfrowania dysku. Jeśli na przykład dysk jest szyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest szyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Ograniczenia

  • Nie obsługuje dysków w warstwie Ultra.
  • Nie można włączyć, jeśli usługa Azure Disk Encryption (szyfrowanie maszyny wirtualnej gościa przy użyciu funkcji bitlocker/DM-Crypt) jest włączona na maszynach wirtualnych/zestawach skalowania maszyn wirtualnych.
  • Nie można włączyć usługi Azure Disk Encryption na dyskach z włączonym szyfrowaniem na hoście.
  • Szyfrowanie można włączyć w istniejącym zestawie skalowania maszyn wirtualnych. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są automatycznie szyfrowane.
  • Aby można było zaszyfrować istniejące maszyny wirtualne, należy cofnąć przydział i cofnięć przydział.
  • Obsługuje efemeryczne dyski systemu operacyjnego, ale tylko z kluczami zarządzanymi przez platformę.

Obsługiwane rozmiary maszyn wirtualnych

Starsze rozmiary maszyn wirtualnych nie są obsługiwane. Listę obsługiwanych rozmiarów maszyn wirtualnych można znaleźć przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Wymagania wstępne

Przed użyciem właściwości EncryptionAtHost dla maszyny wirtualnej/usługi VMSS należy włączyć tę funkcję dla subskrypcji. Wykonaj poniższe kroki, aby włączyć funkcję subskrypcji:

  1. Azure Portal: wybierz ikonę Cloud Shell w Azure Portal:

    Ikona uruchamiania Cloud Shell z Azure Portal

  2. Wykonaj następujące polecenie, aby zarejestrować funkcję dla subskrypcji

     Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute" 
    
  3. Upewnij się, że stan rejestracji to Zarejestrowano (trwa kilka minut) przy użyciu poniższego polecenia przed wypróbowaniem funkcji.

     Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"  
    

Zaloguj się do Azure Portal przy użyciu podanego linku.

Ważne

Aby uzyskać dostęp do Azure Portal, musisz użyć podanego linku. Szyfrowanie na hoście nie jest obecnie widoczne w publicznej Azure Portal bez korzystania z linku.

Wdrażanie maszyny wirtualnej przy użyciu kluczy zarządzanych przez platformę

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj Virtual Machines i wybierz pozycję + Dodaj, aby utworzyć maszynę wirtualną.

  3. Utwórz nową maszynę wirtualną, wybierz odpowiedni region i obsługiwany rozmiar maszyny wirtualnej.

  4. Wypełnij inne wartości w okienku Podstawowe , jak chcesz, a następnie przejdź do okienka Dyski .

    Zrzut ekranu przedstawiający okienko podstaw tworzenia maszyny wirtualnej, region i rozmiar maszyny wirtualnej są wyróżnione.

  5. W okienku Dyski wybierz pozycję Szyfrowanie na hoście.

  6. Ustaw pozostałe opcje tak, jak chcesz.

    Zrzut ekranu przedstawiający okienko dysków tworzenia maszyny wirtualnej z wyróżnionym szyfrowaniem na hoście.

  7. Zakończ proces wdrażania maszyny wirtualnej, wybierz opcje pasujące do środowiska.

Maszyna wirtualna została wdrożona z włączonym szyfrowaniem na hoście, a pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Wdrażanie maszyny wirtualnej przy użyciu kluczy zarządzanych przez klienta

Alternatywnie możesz użyć kluczy zarządzanych przez klienta do szyfrowania pamięci podręcznych dysków.

Tworzenie zestawu szyfrowania dysków i Key Vault platformy Azure

Po włączeniu tej funkcji należy skonfigurować usługę Azure Key Vault i zestaw szyfrowania dysków, jeśli jeszcze tego nie zrobiono.

Skonfigurowanie kluczy zarządzanych przez klienta dla dysków wymaga utworzenia zasobów w określonej kolejności, jeśli wykonujesz je po raz pierwszy. Najpierw należy utworzyć i skonfigurować usługę Azure Key Vault.

Konfigurowanie usługi Azure Key Vault

  1. Zaloguj się do Azure Portal.

  2. Wyszukaj i wybierz pozycję Magazyny kluczy.

    Zrzut ekranu przedstawiający Azure Portal z rozwiniętym oknom dialogowym wyszukiwania.

    Ważne

    Zestaw szyfrowania dysków, maszyna wirtualna, dyski i migawki muszą znajdować się w tym samym regionie i subskrypcji, aby wdrożenie zakończyło się pomyślnie. Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie i dzierżawie co zestaw szyfrowania dysków.

  3. Wybierz pozycję +Utwórz, aby utworzyć nową Key Vault.

  4. Tworzenie nowej grupy zasobów

  5. Wprowadź nazwę magazynu kluczy, wybierz region i wybierz warstwę cenową.

    Uwaga

    Podczas tworzenia wystąpienia Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślne 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty do momentu wygaśnięcia okresu przechowywania. Te ustawienia chronią przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe podczas używania Key Vault do szyfrowania dysków zarządzanych.

  6. Wybierz pozycję Przejrzyj i utwórz, zweryfikuj wybrane opcje, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający środowisko tworzenia usługi Azure Key Vault. Pokazywanie określonych wartości, które tworzysz

  7. Po zakończeniu wdrażania magazynu kluczy wybierz go.

  8. Wybierz pozycję Klucze w obszarze Ustawienia.

  9. Wybierz pozycję Generuj/Importuj.

    Zrzut ekranu przedstawiający okienko ustawień zasobów Key Vault. Pokazuje przycisk generowania/importowania wewnątrz ustawień.

  10. Pozostaw dla opcji Typ klucza ustawioną wartość RSA i RSA Key Size (Rozmiar klucza RSA ) ustawioną na 2048.

  11. Wypełnij pozostałe opcje, jak chcesz, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia klucza, które jest wyświetlane po wybraniu przycisku generowania/importowania

Dodawanie roli RBAC platformy Azure

Po utworzeniu magazynu kluczy platformy Azure i klucza musisz dodać rolę RBAC platformy Azure, aby można było używać magazynu kluczy platformy Azure z zestawem szyfrowania dysków.

  1. Wybierz pozycję Kontrola dostępu (IAM) i dodaj rolę.
  2. Dodaj role administratora Key Vault, właściciela lub współautora.

Konfigurowanie zestawu szyfrowania dysków

  1. Wyszukaj pozycję Zestawy szyfrowania dysków i wybierz je.

  2. W okienku Zestawy szyfrowania dysków wybierz pozycję +Utwórz.

  3. Wybierz grupę zasobów, nadaj zestawowi szyfrowania nazwę i wybierz ten sam region co magazyn kluczy.

  4. W polu Typ szyfrowania SSE wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta.

    Uwaga

    Po utworzeniu zestawu szyfrowania dysku z określonym typem szyfrowania nie można go zmienić. Jeśli chcesz użyć innego typu szyfrowania, musisz utworzyć nowy zestaw szyfrowania dysków.

  5. Wybierz pozycję Kliknij, aby wybrać klucz.

  6. Wybierz utworzony wcześniej magazyn kluczy i klucz oraz wersję.

  7. Naciśnij pozycję Wybierz.

  8. Jeśli chcesz włączyć automatyczną rotację kluczy zarządzanych przez klienta, wybierz pozycję Automatyczna rotacja kluczy.

  9. Wybierz pozycję Przeglądanie + tworzenie, a następnie pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia szyfrowania dysków. Wyświetlanie subskrypcji, grupy zasobów, nazwy zestawu szyfrowania dysków, regionu i selektora kluczy magazynu kluczy.

  10. Przejdź do zestawu szyfrowania dysków po jego wdrożeniu i wybierz wyświetlony alert.

    Zrzut ekranu przedstawiający użytkownika wybierającego alert

  11. Spowoduje to przyznanie uprawnień magazynu kluczy do zestawu szyfrowania dysków.

    Zrzut ekranu przedstawiający potwierdzenie udzielenia uprawnień.

Wdrażanie maszyny wirtualnej

Po skonfigurowaniu zestawu szyfrowania dysków i Key Vault platformy Azure możesz wdrożyć maszynę wirtualną i będzie ona używać szyfrowania na hoście.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj Virtual Machines i wybierz pozycję + Dodaj, aby utworzyć maszynę wirtualną.

  3. Utwórz nową maszynę wirtualną, wybierz odpowiedni region i obsługiwany rozmiar maszyny wirtualnej.

  4. Wypełnij inne wartości w okienku Podstawowe , jak chcesz, a następnie przejdź do okienka Dyski .

    Zrzut ekranu przedstawiający okienko podstaw tworzenia maszyny wirtualnej, region i rozmiar maszyny wirtualnej są wyróżnione.

  5. W okienku Dyski wybierz pozycję Szyfrowanie magazynowane dla klucza zarządzanego przez klienta dlatypu szyfrowania SSE i wybierz zestaw szyfrowania dysków.

  6. Wybierz pozycję Szyfrowanie na hoście.

  7. Ustaw pozostałe opcje tak, jak chcesz.

    Zrzut ekranu przedstawiający okienko dysków tworzenia maszyny wirtualnej z wyróżnionym szyfrowaniem na hoście, wybranymi kluczami zarządzanymi przez klienta.

  8. Zakończ proces wdrażania maszyny wirtualnej, wybierz opcje pasujące do środowiska.

Maszyna wirtualna została wdrożona z włączonym szyfrowaniem na hoście.

Wyłączanie szyfrowania opartego na hoście

Upewnij się, że maszyna wirtualna jest najpierw cofniętą przydziałem, nie można wyłączyć szyfrowania na hoście, chyba że przydział maszyny wirtualnej zostanie cofnięty.

  1. Na maszynie wirtualnej wybierz pozycję Dyski , a następnie wybierz pozycję Dodatkowe ustawienia.

    Zrzut ekranu przedstawiający okienko Dyski na maszynie wirtualnej z wyróżnionymi dodatkowymi ustawieniami.

  2. Wybierz pozycję Nie w polu Szyfrowanie na hoście , a następnie wybierz pozycję Zapisz.

Następne kroki

Przykłady szablonów usługi Azure Resource Manager