Konfigurera kundhanterad nyckelkryptering i vila i Azure VMware Solution

Den här artikeln visar hur du krypterar VMware vSAN-nyckelkrypteringsnycklar (KEK:er) med kundhanterade nycklar (CMK:er) som hanteras av en kundägd Azure Key Vault-instans.

När CMK-kryptering är aktiverat i ditt privata Azure VMware Solution-moln använder Azure VMware Solution CMK:en från nyckelvalvet för att kryptera vSAN KEK:erna. Varje ESXi-värd som deltar i vSAN-klustret använder slumpmässigt genererade diskkrypteringsnycklar (DEK: er) som ESXi använder för att kryptera diskdata i vila. vSAN krypterar alla DEK:er med en KEK som tillhandahålls av Nyckelhanteringssystemet för Azure VMware Solution. Det privata Azure VMware Solution-molnet och nyckelvalvet behöver inte finnas i samma prenumeration.

När du hanterar dina egna krypteringsnycklar kan du:

• Kontrollera Azure-åtkomst till vSAN-nycklar.
• Hantera livscykeln för CMK:er centralt.
• Återkalla Azure-åtkomst till KEK.

Funktionen CMK:er stöder följande nyckeltyper och deras nyckelstorlekar:

• RSA: 2048, 3072, 4096
• RSA-HSM: 2048, 3072, 4096

Topologi

Följande diagram visar hur Azure VMware Solution använder Microsoft Entra-ID och ett nyckelvalv för att leverera CMK:t.

Förutsättningar

Innan du börjar aktivera CMK-funktioner måste du se till att följande krav uppfylls:

• Du behöver ett nyckelvalv för att använda CMK-funktioner. Om du inte har något nyckelvalv kan du skapa ett med hjälp av Snabbstart: Skapa ett nyckelvalv med Hjälp av Azure-portalen.

• Om du har aktiverat begränsad åtkomst till Key Vault måste du tillåta att Microsoft Trusted Services kringgår Key Vault-brandväggen. Gå till Konfigurera nätverksinställningar för Azure Key Vault om du vill veta mer.

  Kommentar

  När brandväggsregler är i kraft kan användarna bara utföra key vault-dataplansåtgärder när deras begäranden kommer från tillåtna virtuella datorer eller IPv4-adressintervall. Den här begränsningen gäller även för åtkomst till Key Vault från Azure-portalen. Det påverkar även Key Vault Picker by Azure VMware Solution. Användare kanske kan se en lista över nyckelvalv, men inte listnycklar, om brandväggsregler förhindrar klientdatorn eller om användaren inte har listbehörighet i Key Vault.

• Aktivera systemtilldelad identitet i ditt privata Azure VMware Solution-moln om du inte aktiverade den under programvarudefinierad datacenteretablering (SDDC).

  Portal

  Så här aktiverar du systemtilldelad identitet:

  1. Logga in på Azure-portalen.

  2. Gå till Azure VMware Solution och leta reda på ditt privata moln.

  3. Öppna Hantera i den vänstra rutan och välj Identitet.

  4. I Systemtilldelade väljer du Aktivera>Spara. Systemtilldelad identitet ska nu vara aktiverad.

  När systemtilldelad identitet har aktiverats visas fliken för objekt-ID. Anteckna objekt-ID:t för senare användning.

  Azure CLI

  Hämta resurs-ID:t för det privata molnet och spara det i en variabel. Du behöver det här värdet i nästa steg för att uppdatera resursen med systemtilldelad identitet.

  privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
  

  Om du vill konfigurera den systemtilldelade identiteten i det privata Azure VMware Solution-molnet med Azure CLI anropar du az-resource-update och anger variabeln för det privata molnresurs-ID som du hämtade tidigare.

  az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
  

• Konfigurera åtkomstprincipen för nyckelvalvet för att bevilja behörigheter till den hanterade identiteten. Du använder den för att auktorisera åtkomst till nyckelvalvet.

  Portal

  1. Logga in på Azure-portalen.
  2. Gå till Nyckelvalv och leta reda på det nyckelvalv som du vill använda.
  3. I den vänstra rutan under Inställningar väljer du Åtkomstprinciper.
  4. I Åtkomstprinciper väljer du Lägg till åtkomstprincip och sedan:
     1. I listrutan Nyckelbehörigheter väljer du Välj, Hämta, Radbryt nyckel och Packa upp nyckel.
     2. Under Välj huvudnamn väljer du Ingen markerad. Ett nytt huvudnamnfönster med en sökruta öppnas.
     3. I sökrutan klistrar du in objekt-ID :t från föregående steg. Eller sök efter det privata molnnamn som du vill använda. Välj Välj när du är klar.
     4. Välj LÄGG till.
     5. Kontrollera att den nya principen visas under den aktuella principens programavsnitt.
     6. Välj Spara för att checka in ändringar.

  Azure CLI

  Hämta huvud-ID:t för den systemtilldelade hanterade identiteten och spara det i en variabel. Du behöver det här värdet i nästa steg för att skapa åtkomstprincipen för nyckelvalvet.

  principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
  

  Om du vill konfigurera åtkomstprincipen för nyckelvalvet med Azure CLI anropar du az keyvault set-policy. Ange variabeln för huvud-ID:t som du tidigare hämtade för den hanterade identiteten.

  az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
  

  Läs mer om hur du tilldelar en Key Vault-åtkomstprincip.

Livscykel för kundhanterad nyckelversion

Du kan ändra CMK:n genom att skapa en ny version av nyckeln. Skapandet av en ny version avbryter inte arbetsflödet för den virtuella datorn (VM).

I Azure VMware Solution beror cmk-nyckelversionsrotation på den inställning för nyckelval som du valde under CMK-installationen.

Inställning för nyckelval 1

En kund aktiverar CMK-kryptering utan att ange en specifik nyckelversion för CMK. Azure VMware Solution väljer den senaste nyckelversionen för CMK från kundens nyckelvalv för att kryptera vSAN KEK:erna. Azure VMware Solution spårar CMK för versionsrotation. När en ny version av CMK-nyckeln i Key Vault skapas hämtas den automatiskt av Azure VMware Solution för att kryptera vSAN KEK:er.

Kommentar

Azure VMware Solution kan ta upp till 10 minuter att identifiera en ny autoroterad nyckelversion.

Inställning för nyckelval 2

En kund kan aktivera CMK-kryptering för en angiven CMK-nyckelversion för att ange fullständig nyckelversions-URI under alternativet Ange nyckel från URI . När kundens aktuella nyckel upphör att gälla måste de förlänga CMK-nyckelns giltighetstid eller inaktivera CMK.

Aktivera CMK med systemtilldelad identitet

Systemtilldelad identitet är begränsad till en per resurs och är kopplad till resursens livscykel. Du kan bevilja behörigheter till den hanterade identiteten på Azure-resursen. Den hanterade identiteten autentiseras med Microsoft Entra-ID, så du behöver inte lagra några autentiseringsuppgifter i kod.

Viktigt!

Kontrollera att Key Vault finns i samma region som det privata azure VMware Solution-molnet.

Portal

Gå till din Key Vault-instans och ge åtkomst till SDDC på Key Vault med hjälp av huvud-ID:t som samlas in på fliken Aktivera MSI .

1. Från ditt privata Azure VMware Solution-moln går du till Hantera och väljer Kryptering. Välj sedan Kundhanterade nycklar (CMK:er).

2. CMK innehåller två alternativ för nyckelval från Key Vault:

   Alternativ 1:

   1. Under Krypteringsnyckel väljer du från Nyckelvalv.
   2. Välj krypteringstyp. Välj sedan alternativet Välj nyckelvalv och nyckel .
   3. Välj Nyckelvalv och nyckel i listrutan. Välj sedan Välj.

   Alternativ 2:

   1. Under Krypteringsnyckel väljer du Ange nyckel från URI.
   2. Ange en specifik nyckel-URI i rutan Nyckel-URI .

   Viktigt!

   Om du vill välja en specifik nyckelversion i stället för den automatiskt valda senaste versionen måste du ange nyckel-URI:n med nyckelversionen. Det här valet påverkar livscykeln för CMK-nyckelversionen.

   Alternativet Key Vault Managed Hardware Security Module (HSM) stöds endast med alternativet Nyckel-URI.

3. Välj Spara för att bevilja åtkomst till resursen.

Azure CLI

Om du vill konfigurera CMK:er för ett privat Azure VMware Solution-moln med automatisk uppdatering av nyckelversionen anropar du az vmware private-cloud add-cmk-encryption. Hämta url:en för nyckelvalvet och spara den i en variabel. Du behöver det här värdet i nästa steg för att aktivera CMK.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

Följande alternativ 1 och 2 visar skillnaden mellan att inte tillhandahålla en specifik nyckelversion och att tillhandahålla en.

Alternativ 1

Det här exemplet visar att kunden inte tillhandahåller någon specifik nyckelversion.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Alternativ 2

Ange nyckelversionen som ett argument för att använda CMK:er med en specifik nyckelversion, som tidigare nämnts i Azure-portalen alternativ 2. I följande exempel visas kunden som tillhandahåller en specifik nyckelversion.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Ändra från en kundhanterad nyckel till en Microsoft-hanterad nyckel

När en kund vill byta från en CMK till en Microsoft-hanterad nyckel (MMK) avbryts inte den virtuella datorns arbetsbelastning. Så här gör du ändringen från en CMK till en MMK:

1. Under Hantera väljer du Kryptering från ditt privata Azure VMware Solution-moln.
2. Välj Microsoft-hanterade nycklar (MMK).
3. Välj Spara.

Begränsningar

Key Vault måste konfigureras som återställningsbart. Du måste:

• Konfigurera Key Vault med alternativet Mjuk borttagning .
• Aktivera Purge Protection för att skydda mot tvångsborttagning av det hemliga valvet, även efter mjuk borttagning.

Uppdatering av CMK-inställningar fungerar inte om nyckeln har upphört att gälla eller om åtkomstnyckeln för Azure VMware Solution har återkallats.

Felsökning och bästa praxis

Här följer felsökningstips för några vanliga problem som du kan stöta på och även metodtips att följa.

Oavsiktlig borttagning av en nyckel

Om du av misstag tar bort nyckeln i nyckelvalvet kan det privata molnet inte utföra några åtgärder för klusterändring. För att undvika det här scenariot rekommenderar vi att du håller mjuka borttagningar aktiverade i nyckelvalvet. Det här alternativet säkerställer att om en nyckel tas bort kan den återställas inom en 90-dagarsperiod som en del av standardkvarhållningen för mjuk borttagning. Om du är inom 90-dagarsperioden kan du återställa nyckeln för att lösa problemet.

Återställa behörighet för nyckelvalv

Om du har ett privat moln som har förlorat åtkomsten till CMK kontrollerar du om MSI (Managed System Identity) kräver behörigheter i nyckelvalvet. Felmeddelandet som returneras från Azure kanske inte indikerar att MSI kräver behörigheter i nyckelvalvet som rotorsak. Kom ihåg att de behörigheter som krävs är get, wrapKeyoch unwrapKey. Se steg 4 i Krav.

Åtgärda en utgången nyckel

Om du inte använder funktionen autorotate och CMK har upphört att gälla i Key Vault kan du ändra förfallodatumet för nyckeln.

Återställa åtkomst till nyckelvalvet

Se till att MSI används för att ge åtkomst till nyckelvalvet i det privata molnet.

Borttagning av MSI

Om du av misstag tar bort den MSI som är associerad med ett privat moln måste du inaktivera CMK:en. Följ sedan stegen för att aktivera CMK från början.

Nästa steg

• Läs mer om säkerhetskopiering och återställning av Azure Key Vault.
• Läs mer om Azure Key Vault-återställning.