Szyfrowanie istniejących dysków maszyny wirtualnej
Załóżmy, że Twoja firma postanowiła zaimplementować usługę Azure Disk Encryption (ADE) na wszystkich maszynach wirtualnych. Należy ocenić, jak wdrożyć szyfrowanie na istniejących woluminach maszyn wirtualnych. W tym module zapoznamy się z wymaganiami usługi ADE i krokami procedury szyfrowania dysków na istniejących maszynach wirtualnych z systemami Linux i Windows. W następnej lekcji przejrzysz proces szyfrowania istniejących dysków maszyn wirtualnych.
Wymagania wstępne dotyczące usługi Azure Disk Encryption
Zanim będzie można zaszyfrować dyski maszyn wirtualnych, należy wykonać następujące czynności:
- Tworzenie magazynu kluczy.
- Ustaw zasady dostępu magazynu kluczy do obsługi funkcji szyfrowania dysku.
- Użyj magazynu kluczy do przechowywania kluczy szyfrowania dla ADE.
Azure Key Vault
Klucze SZYFROWANIA używane przez usługę ADE mogą być przechowywane w usłudze Azure Key Vault. Usługa Azure Key Vault jest narzędziem do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do nich dostępu. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, na przykład klucze interfejsu API, hasła lub certyfikaty. Zapewnia to skalowalny, bezpieczny magazyn o wysokiej dostępności zgodnie z definicją w urządzeniach HSM (Hardware Security Module) zweryfikowanych w trybie FIPS (Federal Information Processing Standards) 140-2 poziom 2. Usługa Key Vault zapewnia pełną kontrolę nad kluczami używanymi do szyfrowania danych. Dzięki niej można też zarządzać kluczami i przeprowadzać inspekcję ich użycia.
Uwaga
Usługa Azure Disk Encryption wymaga, aby usługa Key Vault i maszyny wirtualne znajdowały się w tym samym regionie świadczenia usługi Azure. Dzięki temu wpisy tajne szyfrowania nie będą przekraczać granic regionalnych.
Magazyn kluczy można skonfigurować oraz nim zarządzać przy użyciu następujących składników:
Program PowerShell
New-AzKeyVault -Location <location> `
-ResourceGroupName <resource-group> `
-VaultName "myKeyVault" `
-EnabledForDiskEncryption
Interfejs wiersza polecenia platformy Azure
az keyvault create \
--name "myKeyVault" \
--resource-group <resource-group> \
--location <location> \
--enabled-for-disk-encryption True
Azure Portal
Usługa Azure Key Vault to zasób, który można utworzyć w witrynie Azure Portal przy użyciu normalnego procesu tworzenia zasobów.
W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
W polu wyszukiwania wyszukaj i wybierz pozycję Key Vault. Zostanie wyświetlone okienko Usługi Key Vault .
Wybierz pozycję Utwórz. Zostanie wyświetlone okienko Tworzenie magazynu kluczy.
Na karcie Podstawy wprowadź następujące wartości dla każdego ustawienia.
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję, w której chcesz umieścić magazyn kluczy (domyślnie do bieżącej subskrypcji) Grupa zasobów Wybierz istniejącą grupę zasobów lub utwórz nową, która ma być właścicielem magazynu kluczy Szczegóły wystąpienia Nazwa magazynu kluczy Wprowadź nazwę magazynu kluczy Region (Region) Wybierz region, w którym znajduje się maszyna wirtualna Warstwa cenowa Standardowa. Możesz wybrać warstwę cenową Standardowa lub Premium. Główną różnicą jest to, że warstwa Premium umożliwia korzystanie ze sprzętowych kluczy opartych na szyfrowaniu 
Wybierz przycisk Dalej , aby przejść do karty Konfiguracja dostępu. Aby obsługiwać szyfrowanie dysków, należy zmienić zasady dostępu. Domyślnie dodaje konto do zasad.
Na karcie Konfiguracja dostępu wprowadź następującą wartość ustawienia.
Ustawienie Wartość Dostęp do zasobów Zaznacz pole wyboru dla usługi Azure Disk Encryption na potrzeby szyfrowania woluminów. Jeśli chcesz, możesz usunąć swoje konto, ponieważ nie jest to konieczne, jeśli zamierzasz używać magazynu kluczy tylko do szyfrowania dysków. Wybierz pozycję Przejrzyj i utwórz.
Po zakończeniu walidacji, aby utworzyć nową usługę Key Vault, wybierz pozycję Utwórz.
Włączanie zasad dostępu w magazynie kluczy
Platforma Azure wymaga dostępu do kluczy lub wpisów tajnych szyfrowania w magazynie kluczy, aby były one dostępne dla maszyny wirtualnej do rozruchu i odszyfrowania woluminów. Wykonaliśmy to w poprzednich krokach po zmianie zasad dostępu.
Istnieją trzy zasady, które można włączyć:
- Szyfrowanie dysków: wymagane do szyfrowania dysków platformy Azure.
- Wdrożenie: (Opcjonalnie) Umożliwia dostawcy zasobów Microsoft.Compute pobieranie wpisów tajnych z tego magazynu kluczy, gdy ten magazyn kluczy jest przywoływana podczas tworzenia zasobów, na przykład podczas tworzenia maszyny wirtualnej.
- Wdrożenie szablonu: (opcjonalnie) umożliwia usłudze Azure Resource Manager pobieranie wpisów tajnych z tego magazynu kluczy podczas odwołowania się do tego magazynu kluczy we wdrożeniu szablonu.
Poniżej pokazano, jak włączyć zasady szyfrowania dysków. Pozostałe dwie zasady są podobne, ale używają różnych flag.
Set-AzKeyVaultAccessPolicy -VaultName <keyvault-name> -ResourceGroupName <resource-group> -EnabledForDiskEncryption
az keyvault update --name <keyvault-name> --resource-group <resource-group> --enabled-for-disk-encryption true
Szyfrowanie istniejącego dysku maszyny wirtualnej
Po skonfigurowaniu magazynu kluczy możesz zaszyfrować maszynę wirtualną przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Gdy szyfrujesz maszynę wirtualną z systemem Windows po raz pierwszy, możesz wybrać opcję zaszyfrowania wszystkich dysków lub tylko dysku systemu operacyjnego. W niektórych dystrybucjach systemu Linux można zaszyfrować tylko dyski danych. Aby szyfrowanie było możliwe, dyski systemu Windows muszą być sformatowane jako woluminy systemu plików NTFS.
Ostrzeżenie
Przed włączeniem szyfrowania musisz utworzyć migawkę lub kopię zapasową dysków zarządzanych. Następująca SkipVmBackup flaga informuje narzędzie o zakończeniu tworzenia kopii zapasowej na dyskach zarządzanych. Bez kopii zapasowej nie będzie można odzyskać maszyny wirtualnej, jeśli szyfrowanie zakończy się niepowodzeniem z jakiegoś powodu.
Aby włączyć szyfrowanie przy użyciu programu PowerShell, uruchom Set-AzVmDiskEncryptionExtension polecenie cmdlet .
Set-AzVmDiskEncryptionExtension `
-ResourceGroupName <resource-group> `
-VMName <vm-name> `
-VolumeType [All | OS | Data]
-DiskEncryptionKeyVaultId <keyVault.ResourceId> `
-DiskEncryptionKeyVaultUrl <keyVault.VaultUri> `
-SkipVmBackup
Aby włączyć szyfrowanie przy użyciu interfejsu wiersza polecenia platformy Azure, uruchom az vm encryption enable polecenie i określ wolumin, który chcesz zaszyfrować przy użyciu parametru --volume-type [all | os | data] . Oto przykład szyfrowania wszystkich woluminów dla maszyny wirtualnej:
az vm encryption enable \
--resource-group <resource-group> \
--name <vm-name> \
--disk-encryption-keyvault <keyvault-name> \
--volume-type all
Wyświetlanie stanu dysku
Możesz sprawdzić, czy określone dyski są szyfrowane.
Get-AzVmDiskEncryptionStatus -ResourceGroupName <resource-group> -VMName <vm-name>
az vm encryption show --resource-group <resource-group> --name <vm-name>
Oba te polecenia zwrócą stan wszystkich dysków podłączonych do określonej maszyny wirtualnej.
Odszyfrowywanie dysków
Aby odwrócić szyfrowanie za pomocą programu PowerShell, uruchom Disable-AzVMDiskEncryption polecenie cmdlet .
Disable-AzVMDiskEncryption -ResourceGroupName <resource-group> -VMName <vm-name>
W przypadku interfejsu wiersza polecenia platformy Azure użyj polecenia vm encryption disable.
az vm encryption disable --resource-group <resource-group> --name <vm-name>
Te polecenia wyłączają szyfrowanie woluminów typu wszystkie dla określonej maszyny wirtualnej. Podobnie jak wersja szyfrowania, aby zdecydować, jakie dyski mają odszyfrować, możesz określić -VolumeType parametr [All | OS | Data]. Jeśli nie zostanie podany, przyjmie wartość domyślną równą All.
Ostrzeżenie
Wyłączenie szyfrowania dysku danych na maszynie wirtualnej z systemem Windows, gdy zaszyfrowano zarówno dysk systemu operacyjnego, jak i dysk danych, nie działa zgodnie z oczekiwaniami. Zamiast tego musisz wyłączyć szyfrowanie na wszystkich dyskach.
W następnym ćwiczeniu wypróbujesz niektóre z tych poleceń na nowej maszynie wirtualnej.