Użyj witryny Azure Portal, aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux maszyny wirtualne z ✔️ systemem Windows

Po włączeniu szyfrowania na hoście dane przechowywane na hoście maszyny wirtualnej są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage. Aby uzyskać informacje koncepcyjne dotyczące szyfrowania na hoście i innych typów szyfrowania dysków zarządzanych, zobacz: Szyfrowanie na hoście — kompleksowe szyfrowanie danych maszyny wirtualnej.

Dyski tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę po włączeniu kompleksowego szyfrowania. Pamięć podręczna dysku systemu operacyjnego i danych są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez klienta lub zarządzanych przez platformę, w zależności od wybranego typu szyfrowania dysku. Jeśli na przykład dysk jest szyfrowany przy użyciu kluczy zarządzanych przez klienta, pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez klienta, a jeśli dysk jest zaszyfrowany przy użyciu kluczy zarządzanych przez platformę, pamięć podręczna dla dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Ograniczenia

  • Obsługiwane w przypadku dysków Ultra Disk o rozmiarze 4k i ssd w warstwie Premium w wersji 2.
  • Obsługiwane tylko w przypadku dysków Ultra Disk o rozmiarze 512e i ssd w warstwie Premium w wersji 2, jeśli zostały utworzone po 13.05.2023.
    • W przypadku dysków utworzonych przed tą datą utwórz migawkę dysku i utwórz nowy dysk przy użyciu migawki.
  • Nie można włączyć na maszynach wirtualnych ani w zestawach skalowania maszyn wirtualnych, które obecnie lub kiedykolwiek miały włączoną usługę Azure Disk Encryption.
  • Nie można włączyć usługi Azure Disk Encryption na dyskach z włączonym szyfrowaniem na hoście.
  • Szyfrowanie można włączyć w istniejących zestawach skalowania maszyn wirtualnych. Jednak tylko nowe maszyny wirtualne utworzone po włączeniu szyfrowania są automatycznie szyfrowane.
  • Aby można było zaszyfrować istniejące maszyny wirtualne, należy cofnąć przydział i przydzielić ich przydział.

Dostępność w regionach

Szyfrowanie na hoście jest dostępne we wszystkich regionach dla wszystkich typów dysków.

Obsługiwane rozmiary maszyn wirtualnych

Starsze rozmiary maszyn wirtualnych nie są obsługiwane. Listę obsługiwanych rozmiarów maszyn wirtualnych można znaleźć przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Wymagania wstępne

Aby można było używać szyfrowania na hoście dla maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych, musisz włączyć tę funkcję dla subskrypcji. Aby włączyć funkcję dla subskrypcji, wykonaj następujące kroki:

  1. Witryna Azure Portal: wybierz ikonę usługi Cloud Shell w witrynie Azure Portal:

    Zrzut ekranu przedstawiający ikonę uruchamiania usługi Cloud Shell z witryny Azure Portal.

  2. Wykonaj następujące polecenie, aby zarejestrować funkcję dla subskrypcji

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Przed wypróbowaniem funkcji upewnij się, że stan rejestracji to Zarejestrowano (rejestracja może potrwać kilka minut).

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Wdrażanie maszyny wirtualnej przy użyciu kluczy zarządzanych przez platformę

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj pozycję Maszyny wirtualne i wybierz pozycję + Utwórz , aby utworzyć maszynę wirtualną.

  3. Wybierz odpowiedni region i obsługiwany rozmiar maszyny wirtualnej.

  4. Wypełnij inne wartości w okienku Podstawowe , jak chcesz, a następnie przejdź do okienka Dyski .

    Zrzut ekranu przedstawiający okienko Podstawy tworzenia maszyny wirtualnej, region i rozmiar maszyny wirtualnej zostały wyróżnione.

  5. W okienku Dyski wybierz pozycję Szyfrowanie na hoście.

  6. Ustaw pozostałe opcje tak, jak chcesz.

    Zrzut ekranu przedstawiający okienko dysków tworzenia maszyny wirtualnej z wyróżnionym szyfrowaniem na hoście.

  7. W pozostałej części procesu wdrażania maszyny wirtualnej dokonaj wyborów pasujących do środowiska i ukończ wdrożenie.

Maszyna wirtualna została wdrożona z włączonym szyfrowaniem na hoście, a pamięć podręczna dysku jest szyfrowana przy użyciu kluczy zarządzanych przez platformę.

Wdrażanie maszyny wirtualnej przy użyciu kluczy zarządzanych przez klienta

Alternatywnie możesz użyć kluczy zarządzanych przez klienta do szyfrowania pamięci podręcznych dysków.

Tworzenie usługi Azure Key Vault i zestawu szyfrowania dysków

Po włączeniu tej funkcji należy skonfigurować usługę Azure Key Vault i zestaw szyfrowania dysków, jeśli jeszcze tego nie zrobiono.

Skonfigurowanie kluczy zarządzanych przez klienta dla dysków wymaga utworzenia zasobów w określonej kolejności, jeśli wykonujesz je po raz pierwszy. Najpierw należy utworzyć i skonfigurować usługę Azure Key Vault.

Konfigurowanie usługi Azure Key Vault

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Magazyny kluczy.

    Zrzut ekranu witryny Azure Portal z rozwiniętym oknom dialogowym wyszukiwania.

    Ważne

    Zestaw szyfrowania dysków, maszyna wirtualna, dyski i migawki muszą znajdować się w tym samym regionie i subskrypcji, aby wdrożenie powiodło się. Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie i dzierżawie co zestaw szyfrowania dysków.

  3. Wybierz pozycję +Utwórz , aby utworzyć nowy magazyn kluczy.

  4. Tworzenie nowej grupy zasobów

  5. Wprowadź nazwę magazynu kluczy, wybierz region i wybierz warstwę cenową.

    Uwaga

    Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

  6. Wybierz pozycję Przejrzyj i utwórz, zweryfikuj wybrane opcje, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający środowisko tworzenia usługi Azure Key Vault z określonymi utworzonymi wartościami.

  7. Po zakończeniu wdrażania magazynu kluczy wybierz go.

  8. Wybierz pozycję Klucze w obszarze Obiekty.

  9. Wybierz Generuj/Import.

    Zrzut ekranu przedstawiający okienko ustawień zasobów usługi Key Vault z przyciskiem generowania/importowania w ustawieniach.

  10. Pozostaw wartość Typ klucza ustawioną na RSA i RSA Key Size (Rozmiar klucza RSA) ustawioną na wartość 2048.

  11. Wypełnij pozostałe opcje tak, jak chcesz, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia klucza, które jest wyświetlane po wybraniu przycisku generowania/importowania.

Dodawanie roli RBAC platformy Azure

Po utworzeniu magazynu kluczy platformy Azure i klucza musisz dodać rolę RBAC platformy Azure, aby można było używać magazynu kluczy platformy Azure z zestawem szyfrowania dysków.

  1. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i dodaj rolę.
  2. Dodaj role Administracja istrator, Właściciel lub Współautor usługi Key Vault.

Konfigurowanie zestawu szyfrowania dysków

  1. Wyszukaj pozycję Zestawy szyfrowania dysków i wybierz je.

  2. W okienku Zestawy szyfrowania dysków wybierz pozycję +Utwórz.

  3. Wybierz grupę zasobów, nadaj zestawowi szyfrowania nazwę i wybierz ten sam region co magazyn kluczy.

  4. W polu Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta.

    Uwaga

    Po utworzeniu zestawu szyfrowania dysku z określonym typem szyfrowania nie można go zmienić. Jeśli chcesz użyć innego typu szyfrowania, musisz utworzyć nowy zestaw szyfrowania dysków.

  5. Upewnij się, że wybrano pozycję Wybierz magazyn kluczy platformy Azure i klucz .

  6. Wybierz utworzony wcześniej magazyn kluczy i klucz oraz wersję.

  7. Jeśli chcesz włączyć automatyczną rotację kluczy zarządzanych przez klienta, wybierz pozycję Automatyczna rotacja kluczy.

  8. Wybierz pozycję Przeglądanie + tworzenie, a następnie pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia szyfrowania dysków. Wyświetlanie subskrypcji, grupy zasobów, nazwy zestawu szyfrowania dysków, regionu i magazynu kluczy i selektora kluczy.

  9. Przejdź do zestawu szyfrowania dysków po jego wdrożeniu i wybierz wyświetlony alert.

    Zrzut ekranu przedstawiający użytkownika wybierającego alert

  10. Spowoduje to przyznanie uprawnień magazynu kluczy do zestawu szyfrowania dysków.

    Zrzut ekranu przedstawiający potwierdzenie udzielenia uprawnień.

Wdrażanie maszyny wirtualnej

Po skonfigurowaniu usługi Azure Key Vault i zestawu szyfrowania dysków możesz wdrożyć maszynę wirtualną i używać szyfrowania na hoście.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj pozycję Maszyny wirtualne i wybierz pozycję + Dodaj , aby utworzyć maszynę wirtualną.

  3. Utwórz nową maszynę wirtualną, wybierz odpowiedni region i obsługiwany rozmiar maszyny wirtualnej.

  4. Wypełnij inne wartości w okienku Podstawowe , jak chcesz, a następnie przejdź do okienka Dyski .

    Zrzut ekranu przedstawiający okienko Podstawy tworzenia maszyny wirtualnej, region i rozmiar maszyny wirtualnej zostały wyróżnione.

  5. W okienku Dyski wybierz pozycję Szyfrowanie na hoście.

  6. Wybierz pozycję Zarządzanie kluczami i wybierz jeden z kluczy zarządzanych przez klienta.

  7. Ustaw pozostałe opcje tak, jak chcesz.

    Zrzut ekranu przedstawiający okienko dysków tworzenia maszyny wirtualnej z wyróżnionym szyfrowaniem na hoście i wybranymi kluczami zarządzanymi przez klienta.

  8. W pozostałej części procesu wdrażania maszyny wirtualnej dokonaj wyborów pasujących do środowiska i ukończ wdrożenie.

Teraz wdrożono maszynę wirtualną z szyfrowaniem na hoście włączonym przy użyciu kluczy zarządzanych przez klienta.

Wyłączanie szyfrowania opartego na hoście

Cofnij przydział maszyny wirtualnej, szyfrowanie na hoście nie może być wyłączone, chyba że przydział maszyny wirtualnej zostanie cofnięty.

  1. Na maszynie wirtualnej wybierz pozycję Dyski , a następnie wybierz pozycję Dodatkowe ustawienia.

    Zrzut ekranu przedstawiający okienko Dyski na maszynie wirtualnej z wyróżnioną pozycją Dodatkowe Ustawienia.

  2. Wybierz pozycję Nie w polu Szyfrowanie na hoście , a następnie wybierz pozycję Zapisz.

Następne kroki

Przykłady szablonów usługi Azure Resource Manager