Dela via

Använd Azure-portalen för att aktivera kryptering från slutpunkt till slutpunkt med hjälp av värdbaserad kryptering

Gäller för: ✔️ Virtuella Linux-datorer ✔️, virtuella Windows-datorer

När du aktiverar kryptering på värden krypteras data som lagras på den virtuella datorvärden när det är inaktivt, och överföringar krypteras till lagringstjänsten. Konceptuell information om kryptering på värden och andra krypteringstyper för hanterade diskar finns i: Kryptering på värden – Kryptering från slutpunkt till slutpunkt för dina VM-data.

Tillfälliga diskar och tillfälliga OS-diskar krypteras i vila med antingen kundhanterade eller plattformshanterade nycklar, beroende på vad du väljer som diskkrypteringstyp för OS-disken. Cacheminnen för operativsystem och datadiskar krypteras i vila med antingen kundhanterade eller plattformshanterade nycklar, beroende på vad du väljer som diskkrypteringstyp. Om en disk till exempel krypteras med kundhanterade nycklar krypteras cachen för disken med kundhanterade nycklar, och om en disk krypteras med plattformshanterade nycklar krypteras cachen för disken med plattformshanterade nycklar.

Begränsningar

  • Det går inte att aktivera på virtuella datorer (VM) eller vm-skaleringsuppsättningar som för närvarande eller någonsin har haft Azure Diskkryptering aktiverad.
  • Azure Disk Encryption kan inte aktiveras på diskar som har kryptering vid värd aktiverat.
  • Krypteringen kan aktiveras på befintliga VM-skalningsuppsättningar. Men endast nya virtuella datorer som skapas efter aktivering av krypteringen krypteras automatiskt.
  • Befintliga virtuella datorer måste frigöras och omallokeras för att kunna krypteras.

Följande begränsningar gäller endast för Ultra Disks och Premium SSD v2:

  • Diskar med en sektorstorlek på 512e måste ha skapats efter 2023-05-13.

VM-storlekar som stöds

Äldre VM-storlekar stöds inte. Du hittar listan över vm-storlekar som stöds genom att antingen använda Azure PowerShell-modulen eller Azure CLI.

Förutsättningar

Du måste aktivera funktionen för din prenumeration innan du kan använda kryptering på värdnivå för antingen den virtuella datorn eller skalningsuppsättningen för virtuella datorer. Använd följande steg för att aktivera funktionen för din prenumeration:

  1. Azure Portal: Välj Cloud Shell-ikonen på Azure Portal:

    Skärmbild av ikonen för att starta Cloud Shell från Azure Portal.

  2. Kör följande kommando för att ange kontext till aktuell prenumeration

    Set-AzContext -SubscriptionId "<yourSubIDHere>"

  3. Kör följande kommando för att registrera funktionen för din prenumeration

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  4. Kontrollera att registreringstillståndet är Registrerat (registreringen kan ta några minuter) med hjälp av följande kommando innan du testar funktionen.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Distribuera en virtuell dator med plattformshanterade nycklar

  1. Logga in på Azure-portalen.

  2. Sök efter virtuella datorer och välj + Skapa för att skapa en virtuell dator.

  3. Välj en lämplig region och en vm-storlek som stöds.

  4. Fyll i de andra värdena i fönstret Grundläggande som du vill och fortsätt sedan till fönstret Diskar .

  5. I fönstret Diskar väljer du Kryptering för värd.

  6. Gör de återstående valen som du vill.

    Skärmbild av rutan för skapande av virtuella maskinens diskar, kryptering på värd markerad.

  7. För resten av distributionsprocessen för virtuella datorer gör du val som passar din miljö och slutför distributionen.

Du har nu distribuerat en virtuell dator med värdkryptering aktiverad, och cachen för disken krypteras med plattformshanterade nycklar.

Distribuera en virtuell dator med kundhanterade nycklar

Du kan också använda kundhanterade nycklar för att kryptera dina diskcachar.

Skapa en Azure Key Vault- och diskkrypteringsuppsättning

När funktionen är aktiverad måste du konfigurera ett Azure Key Vault och en diskkrypteringsuppsättning, om du inte redan har gjort det.

När du konfigurerar kundhanterade nycklar för diskarna måste du skapa resurser i en viss ordning, om du gör det för första gången. Först måste du skapa och konfigurera ett Azure Key Vault.

Konfigurera ditt Azure Key Vault

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Key Vaults.

    Skärmbild av Azure Portal med sökdialogrutan expanderad.

    Viktigt!

    Diskkrypteringsuppsättningen, den virtuella datorn, diskarna och ögonblicksbilderna måste alla finnas i samma region och prenumeration för att distributionen ska lyckas. Azure Key Vaults kan användas från en annan prenumeration men måste finnas i samma region och klientorganisation som diskkrypteringsuppsättningen.

  3. Välj +Skapa för att skapa ett nytt Nyckelvalv.

  4. Skapa en ny resursgrupp.

  5. Ange ett nyckelvalvnamn, välj en region och välj en prisnivå.

    Anteckning

    När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden förfaller. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.

  6. Välj Granska + Skapa, verifiera dina val och välj sedan Skapa.

    Skärmbild av skapandeupplevelsen för Azure Key Vault som visar de specifika värden som du skapar.

  7. När distributionen av nyckelvalvet har slutförts, väljer du det.

  8. Välj Nycklar under Objekt.

  9. Välj Generera/Importera.

    Skärmbild av fönstret Key Vault-resursinställningar som visar knappen generera/importera inuti inställningarna.

  10. Låt både nyckeltypen vara inställd på RSA - och RSA-nyckelstorlek inställd på 2048.

  11. Fyll i de återstående valen som du vill och välj sedan Skapa.

    Skärmbild av fönstret Skapa en nyckel som visas när knappen Generera/importera har valts.

Lägga till en Azure RBAC-roll

Nu när du har skapat Azure-nyckelvalvet och en nyckel måste du lägga till en Azure RBAC-roll så att du kan använda ditt Azure-nyckelvalv med diskkrypteringsuppsättningen.

  1. Välj Åtkomstkontroll (IAM) och lägg till en roll.
  2. Lägg till rollerna Key Vault-administratör, ägare eller deltagare .

Konfigurera diskkrypteringsuppsättningen

  1. Sök efter diskkrypteringsuppsättningar och välj det.

  2. I fönstret Diskkrypteringsuppsättningar väljer du +Skapa.

  3. Välj din resursgrupp, namnge krypteringsuppsättningen och välj samma region som ditt nyckelvalv.

  4. Som Krypteringstyp väljer du Kryptering i vila med en kundhanterad nyckel.

    Anteckning

    När du har skapat en diskkrypteringsuppsättning med en viss krypteringstyp kan den inte ändras. Om du vill använda en annan krypteringstyp måste du skapa en ny diskkrypteringsuppsättning.

  5. Kontrollera att Välj Azure-nyckelvalv och nyckel är markerade.

  6. Välj nyckelvalvet och nyckeln som du skapade tidigare och versionen.

  7. Om du vill aktivera automatisk rotation av kundhanterade nycklar väljer du Automatisk nyckelrotation.

  8. Välj Granska och skapa och sedan Skapa.

    Skärmbild av fönstret för att skapa diskkryptering. Visar prenumerationen, resursgruppen, diskkrypteringsuppsättningens namn, region och nyckelvalv + nyckelväljare.

  9. Gå till diskkrypteringsuppsättningen när den har distribuerats och välj aviseringen som visas.

    Skärmbild av användaren som väljer aviseringen

  10. Detta ger nyckelvalvet behörighet till diskkrypteringsuppsättningen.

    Skärmbild av bekräftelse på att behörigheter har beviljats.

Distribuera en virtuell dator

Nu när du har konfigurerat en Azure Key Vault och diskkryptering kan du distribuera en virtuell dator, och den använder kryptering på värdnivå.

  1. Logga in på Azure-portalen.

  2. Sök efter virtuella datorer och välj + Lägg till för att skapa en virtuell dator.

  3. Skapa en ny virtuell dator, välj en lämplig region och en vm-storlek som stöds.

  4. Fyll i de andra värdena i fönstret Grundläggande som du vill och fortsätt sedan till fönstret Diskar .

  5. I fönstret Diskar väljer du Kryptering för värd.

  6. Välj Nyckelhantering och välj en av dina kundhanterade nycklar.

  7. Gör de återstående valen som du vill.

    Skärmbild av fönstret för att skapa virtuella maskindiskar, kryptering vid värdenheten är markerad, kundhanterade nycklar har valts.

  8. För resten av distributionsprocessen för virtuella datorer gör du val som passar din miljö och slutför distributionen.

Du har nu distribuerat en virtuell dator med aktiverad kryptering på värden, med hjälp av kundhanterade nycklar.

Inaktivera värdbaserad kryptering

Deaktivera din virtuella dator först, kryptering på värden kan inte inaktiveras såvida inte den virtuella datorn har blivit deaktiverad.

  1. På den virtuella datorn väljer du Diskar och sedan Ytterligare inställningar.

    Skärmbild av fönstret Diskar på en virtuell dator. Ytterligare inställningar är markerade.

  2. Välj Nej för Kryptering på värden, sedan välj Spara.

Nästa steg

Azure Resource Manager-mallexempel