Настройка шифрования ключей, управляемого клиентом, неактивных в Решение Azure VMware

В этой статье показано, как шифровать ключи шифрования ключей VMware vSAN (KEKs) с помощью управляемых клиентом ключей (CMK), управляемых клиентом экземпляром Azure Key Vault.

Если шифрование CMK включено в частном облаке Решение Azure VMware, Решение Azure VMware использовать CMK из хранилища ключей для шифрования keks vSAN. Каждый узел ESXi, участвующий в кластере vSAN, использует случайным образом созданные ключи шифрования дисков (DEK), которые ESXi использует для шифрования неактивных данных диска. vSAN шифрует все пакеты DEK с помощью KEK, предоставляемой системой управления ключами Решение Azure VMware. Частное облако Решение Azure VMware и хранилище ключей не должны находиться в одной подписке.

При управлении собственными ключами шифрования можно:

• Управление доступом Azure к ключам vSAN.
• Централизованное управление жизненным циклом CMK.
• Отмена доступа Azure к KEK.

Функция CMKs поддерживает следующие типы ключей и их размеры ключей:

• RSA: 2048, 3072, 4096
• RSA-HSM: 2048, 3072, 4096

Топология

На следующей схеме показано, как Решение Azure VMware использует идентификатор Microsoft Entra и хранилище ключей для доставки CMK.

Необходимые компоненты

Прежде чем приступить к включению функций CMK, убедитесь, что выполнены следующие требования:

• Для использования функций CMK требуется хранилище ключей. Если у вас нет хранилища ключей, его можно создать с помощью краткого руководства. Создание хранилища ключей с помощью портал Azure.

• Если вы включили ограниченный доступ к Key Vault, необходимо разрешить доверенным службам Майкрософт обойти брандмауэр Key Vault. Дополнительные сведения см. в разделе "Настройка параметров сети Azure Key Vault".

  Примечание.

  После того как правила брандмауэра вступают в силу, пользователи могут выполнять только операции плоскости данных Key Vault, когда их запросы исходят из разрешенных виртуальных машин или диапазонов адресов IPv4. Это ограничение также применяется к доступу к Key Vault из портал Azure. Он также влияет на средство выбора Key Vault Решение Azure VMware. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют своему клиентскому компьютеру или у пользователя нет разрешения на список в Key Vault.

• Включите удостоверение, назначенное системой, в частном облаке Решение Azure VMware, если вы не включите его во время подготовки программно-определяемого центра обработки данных (SDDC).

  Портал

  Чтобы включить удостоверение, назначенное системой, выполните приведенные действия.

  1. Войдите на портал Azure.

  2. Перейдите к Решение Azure VMware и найдите частное облако.

  3. В левой области откройте окно "Управление " и выберите " Удостоверение".

  4. В системе назначаемая система нажмите кнопку "Включить>сохранение". Теперь необходимо включить удостоверение , назначенное системой.

  После включения удостоверения, назначенного системой, вы увидите вкладку идентификатора объекта. Запишите идентификатор объекта для последующего использования.

  Azure CLI

  Получите идентификатор ресурса частного облака и сохраните его в переменной. Это значение необходимо на следующем шаге, чтобы обновить ресурс с помощью удостоверения System Assigned.

  privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
  

  Чтобы настроить назначаемое системой удостоверение в Решение Azure VMware частном облаке с помощью Azure CLI, вызовите az-resource-update и укажите переменную для идентификатора ресурса частного облака, полученного ранее.

  az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
  

• Настройте политику доступа к хранилищу ключей, чтобы предоставить разрешения управляемому удостоверению. Вы используете его для авторизации доступа к хранилищу ключей.

  Портал

  1. Войдите на портал Azure.
  2. Перейдите в хранилища ключей и найдите хранилище ключей , которое вы хотите использовать.
  3. В левой области в разделе Параметры выберите политики доступа.
  4. В политиках access выберите "Добавить политику доступа", а затем:
     1. В раскрывающемся списке "Разрешения ключей" выберите "Выбрать", "Получить", "Завернуть ключ" и "Распаковка".
     2. В разделе Выбор субъекта выберите пункт Не выбрано. Откроется новое окно субъекта с полем поиска.
     3. В поле поиска вставьте идентификатор объекта из предыдущего шага. Или найдите имя частного облака, которое вы хотите использовать. Нажмите кнопку " Выбрать после завершения".
     4. Нажмите кнопку ADD (Добавить).
     5. Убедитесь, что новая политика отображается в разделе "Приложение текущей политики".
     6. Выберите Сохранить, чтобы зафиксировать изменения.

  Azure CLI

  Получите идентификатор субъекта управляемого удостоверения, назначаемого системой, и сохраните его в переменной. Это значение необходимо на следующем шаге, чтобы создать политику доступа к хранилищу ключей.

  principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
  

  Чтобы настроить политику доступа к хранилищу ключей с помощью Azure CLI, вызовите az keyvault set-policy. Укажите переменную для идентификатора субъекта, который вы ранее получили для управляемого удостоверения.

  az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
  

  Узнайте больше о том, как назначить политику доступа Key Vault.

Жизненный цикл версий ключей, управляемых клиентом

Вы можете изменить cmK, создав новую версию ключа. Создание новой версии не прерывает рабочий процесс виртуальной машины.

В Решение Azure VMware смена версии ключа CMK зависит от параметра выбора ключа, выбранного во время установки CMK.

Параметр выбора ключа 1

Клиент включает шифрование CMK без предоставления определенной версии ключа для CMK. Решение Azure VMware выбирает последнюю версию ключа для CMK из хранилища ключей клиента, чтобы зашифровать пакеты KEK vSAN. Решение Azure VMware отслеживает cmK для смены версий. Когда создается новая версия ключа CMK в Key Vault, она фиксируется Решение Azure VMware автоматически для шифрования ключей VSAN.

Примечание.

Решение Azure VMware может занять до 10 минут, чтобы обнаружить новую версию ключа с автоматическим определением.

Параметр выбора ключа 2

Клиент может включить шифрование CMK для указанной версии ключа CMK, чтобы предоставить полный URI версии ключа в параметре ВВОД ключа из URI . После истечения срока действия текущего ключа клиента необходимо продлить срок действия ключа CMK или отключить CMK.

Включение CMK с удостоверением, назначаемое системой

Назначаемое системой удостоверение ограничено одним на ресурс и привязано к жизненному циклу ресурса. Вы можете предоставить разрешения управляемому удостоверению в ресурсе Azure. Управляемое удостоверение проходит проверку подлинности с помощью идентификатора Microsoft Entra, поэтому вам не нужно хранить учетные данные в коде.

Внимание

Убедитесь, что Key Vault находится в том же регионе, что и частное облако Решение Azure VMware.

Портал

Перейдите к экземпляру Key Vault и предоставьте доступ к SDDC в Key Vault с помощью идентификатора субъекта, записанного на вкладке "Включить MSI ".

1. В Решение Azure VMware частном облаке в разделе "Управление" выберите "Шифрование". Затем выберите ключи, управляемые клиентом (CMKs).

2. CMK предоставляет два варианта выбора ключей из Key Vault:

   Вариант 1:

   1. В разделе "Ключ шифрования" выберите из Key Vault.
   2. Выберите тип шифрования. Затем выберите параметр Select Key Vault и key .
   3. Выберите Key Vault и ключ из раскрывающегося списка. Затем выберите Выбрать.

   Вариант 2.

   1. В разделе "Ключ шифрования" выберите ввод ключа из URI.
   2. Введите определенный универсальный код ресурса (URI) ключа в поле "Ключ URI ".

   Внимание

   Если вы хотите выбрать определенную версию ключа вместо автоматической выбранной последней версии, необходимо указать универсальный код ресурса (URI) ключа с версией ключа. Этот выбор влияет на жизненный цикл версии ключа CMK.

   Параметр "Управляемый аппаратный модуль безопасности Хранилища ключей" (HSM) поддерживается только с параметром URI ключа.

3. Нажмите кнопку "Сохранить", чтобы предоставить доступ к ресурсу.

Azure CLI

Чтобы настроить cmKs для частного облака Решение Azure VMware с автоматическим обновлением версии ключа, вызовите az vmware private-cloud add-cmk-encryption. Получите URL-адрес хранилища ключей и сохраните его в переменной. Это значение необходимо на следующем шаге, чтобы включить CMK.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

Следующие варианты 1 и 2 демонстрируют разницу между тем, чтобы не предоставлять определенную версию ключа и предоставлять ее.

Вариант 1

В этом примере показан клиент, не предоставляющий определенную версию ключа.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Вариант 2

Укажите версию ключа в качестве аргумента для использования cmKs с определенной версией ключа, как ранее упоминание в параметре портал Azure 2. В следующем примере показан клиент, предоставляющий определенную версию ключа.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Переход с управляемого клиентом ключа на управляемый корпорацией Майкрософт

Когда клиент хочет изменить ключ CMK на управляемый корпорацией Майкрософт ключ (MMK), рабочая нагрузка виртуальной машины не прерывается. Чтобы внести изменения из CMK в MMK:

1. В разделе "Управление" выберите "Шифрование" из Решение Azure VMware частного облака.
2. Выберите управляемые корпорацией Майкрософт ключи (MMK).
3. Выберите Сохранить.

Ограничения

Key Vault должен быть настроен как доступный для восстановления. Вам нужно:

• Настройте Key Vault с параметром обратимого удаления .
• Включите защиту от очистки, чтобы защититься от принудительного удаления хранилища секретов, даже после обратимого удаления.

Обновление параметров CMK не работает, если срок действия ключа истек или был отменен ключ доступа Решение Azure VMware.

Диагностика и рекомендации

Ниже приведены советы по устранению некоторых распространенных проблем, которые могут возникнуть, а также рекомендации.

Случайное удаление ключа

Если вы случайно удалите ключ в хранилище ключей, частное облако не может выполнять некоторые операции изменения кластера. Чтобы избежать этого сценария, рекомендуется сохранить обратимое удаление в хранилище ключей. Этот параметр гарантирует, что при удалении ключа его можно восстановить в течение 90-дневного периода в рамках хранения обратимого удаления по умолчанию. Если вы находитесь в течение 90-дневного периода, вы можете восстановить ключ для устранения проблемы.

Восстановление разрешения хранилища ключей

Если у вас есть частное облако, которое потеряло доступ к CMK, проверка, если управляемое системное удостоверение (MSI) требует разрешений в хранилище ключей. Уведомление об ошибке, возвращенное из Azure, может неправильно указывать, что MSI требует разрешений в хранилище ключей в качестве основной причины. Помните, что необходимые разрешения : getwrapKeyи unwrapKey. См. шаг 4 в предварительных требованиях.

Исправление ключа с истекшим сроком действия

Если вы не используете функцию автозапуска и срок действия CMK истек в Key Vault, можно изменить дату окончания срока действия ключа.

Восстановление доступа к хранилищу ключей

Убедитесь, что MSI используется для предоставления доступа к хранилищу ключей частного облака.

Удаление MSI

При случайном удалении MSI, связанного с частным облаком, необходимо отключить CMK. Затем выполните действия, чтобы включить CMK с начала.

Следующие шаги

• Узнайте о резервном копировании и восстановлении Azure Key Vault.
• Сведения о восстановлении Azure Key Vault.