Azure VMware Çözümü bekleyen müşteri tarafından yönetilen anahtar şifrelemesini yapılandırma

Bu makalede, VMware vSAN anahtar şifreleme anahtarlarının (KEK) müşteriye ait Azure Key Vault örneği tarafından yönetilen müşteri tarafından yönetilen anahtarlarla (CMK' ler) nasıl şifrelendiği gösterilmektedir.

Azure VMware Çözümü özel bulutunuzda CMK şifrelemeleri etkinleştirildiğinde Azure VMware Çözümü vSAN KEK'lerini şifrelemek için anahtar kasanızdaki CMK'yi kullanır. vSAN kümesine katılan her ESXi konağı, ESXi'nin bekleyen disk verilerini şifrelemek için kullandığı rastgele oluşturulan disk şifreleme anahtarlarını (DEK' ler) kullanır. vSAN, tüm DEK'leri Azure VMware Çözümü anahtar yönetim sistemi tarafından sağlanan bir KEK ile şifreler. Azure VMware Çözümü özel bulut ve anahtar kasasının aynı abonelikte olması gerekmez.

Kendi şifreleme anahtarlarınızı yönetirken şunları yapabilirsiniz:

• vSAN anahtarlarına Azure erişimini denetleme.
• CMK'lerin yaşam döngüsünü merkezi olarak yönetin.
• KEK'ye Azure erişimini iptal etme.

CMK'ler özelliği aşağıdaki anahtar türlerini ve bunların anahtar boyutlarını destekler:

• RSA: 2048, 3072, 4096
• RSA-HSM: 2048, 3072, 4096

Topoloji

Aşağıdaki diyagramda Azure VMware Çözümü CMK'yi teslim etmek için Microsoft Entra Kimliğini ve anahtar kasasını nasıl kullandığı gösterilmektedir.

Önkoşullar

CMK işlevselliğini etkinleştirmeye başlamadan önce aşağıdaki gereksinimlerin karşılandığından emin olun:

• CMK işlevselliğini kullanmak için bir anahtar kasasına ihtiyacınız vardır. Anahtar kasanız yoksa Hızlı Başlangıç: Azure portalını kullanarak anahtar kasası oluşturma'yı kullanarak bir anahtar kasası oluşturabilirsiniz.

• Key Vault'a kısıtlı erişimi etkinleştirdiyseniz, Microsoft Güvenilen Hizmetler'in Key Vault güvenlik duvarını atlamasına izin vermeniz gerekir. Daha fazla bilgi edinmek için Azure Key Vault ağ ayarlarını yapılandırma bölümüne gidin.

  Not

  Güvenlik duvarı kuralları yürürlüğe girildikten sonra, kullanıcılar yalnızca istekleri izin verilen VM'lerden veya IPv4 adres aralıklarından geldiğinde Key Vault veri düzlemi işlemleri gerçekleştirebilir. Bu kısıtlama, Azure portalından Key Vault'a erişim için de geçerlidir. Ayrıca Azure VMware Çözümü tarafından Key Vault Seçici'yi de etkiler. Güvenlik duvarı kuralları istemci makinelerini engelliyorsa veya kullanıcının Key Vault'ta liste izni yoksa, kullanıcılar anahtar kasalarının listesini görebilir ancak liste anahtarlarını göremez.

• Yazılım tanımlı veri merkezi (SDDC) sağlama sırasında Azure VMware Çözümü özel bulutunuzda Sistem Tarafından Atanan kimliği etkinleştirin.

  Portal

  Sistem Tarafından Atanan kimliği etkinleştirmek için:

  1. Azure Portal’ında oturum açın.

  2. Azure VMware Çözümü gidin ve özel bulutunuzu bulun.

  3. En soldaki bölmede Yönet'i açın ve Kimlik'i seçin.

  4. Sistem Atandı bölümünde Kaydetmeyi Etkinleştir'i>seçin. Sistem Tarafından Atanan kimlik artık etkinleştirilmelidir.

  Sistem Tarafından Atanan kimlik etkinleştirildikten sonra Nesne Kimliği sekmesini görürsünüz. Daha sonra kullanmak üzere Nesne Kimliğini not edin.

  Azure CLI

  Özel bulut kaynak kimliğini alın ve bir değişkene kaydedin. Kaynağı Sistem Tarafından Atanan kimlikle güncelleştirmek için sonraki adımda bu değere ihtiyacınız vardır.

  privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
  

  Azure CLI ile özel Azure VMware Çözümü bulutta sistem tarafından atanan kimliği yapılandırmak için az-resource-update çağrısı yapın ve daha önce aldığınız özel bulut kaynak kimliği için değişkeni sağlayın.

  az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
  

• Yönetilen kimliğe izin vermek için anahtar kasası erişim ilkesini yapılandırın. Anahtar kasasına erişimi yetkilendirmek için bunu kullanırsınız.

  Portal

  1. Azure Portal’ında oturum açın.
  2. Anahtar kasaları'na gidin ve kullanmak istediğiniz anahtar kasasını bulun.
  3. En soldaki bölmedeki Ayarlar'ın altında Erişim ilkeleri'ni seçin.
  4. Erişim ilkeleri'nde Erişim İlkesi Ekle'yi seçin ve ardından:
     1. Anahtar İzinleri açılan listesinde Seç, Al, Anahtarı Kaydır ve Anahtarı Aç'ı seçin.
     2. Sorumlu seç'in altında Hiçbiri seçilmedi'yi seçin. Arama kutusu içeren yeni bir Sorumlu penceresi açılır.
     3. Arama kutusuna önceki adımdaki Nesne Kimliğini yapıştırın. Veya kullanmak istediğiniz özel bulut adını arayın. İşiniz bittiğinde Seç'i seçin.
     4. EKLE'yi seçin.
     5. Yeni ilkenin geçerli ilkenin Uygulama bölümünde göründüğünü doğrulayın.
     6. Değişiklikleri işlemek için Kaydet'i seçin.

  Azure CLI

  Sistem tarafından atanan yönetilen kimliğin asıl kimliğini alın ve bir değişkene kaydedin. Bir sonraki adımda anahtar kasası erişim ilkesini oluşturmak için bu değere ihtiyacınız vardır.

  principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
  

  Azure CLI ile anahtar kasası erişim ilkesini yapılandırmak için az keyvault set-policy çağrısı yapın. Yönetilen kimlik için daha önce aldığınız asıl kimliğin değişkenini belirtin.

  az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
  

  Key Vault erişim ilkesi atama hakkında daha fazla bilgi edinin.

Müşteri tarafından yönetilen anahtar sürümü yaşam döngüsü

Anahtarın yeni bir sürümünü oluşturarak CMK'yi değiştirebilirsiniz. Yeni bir sürümün oluşturulması, sanal makine (VM) iş akışını kesintiye uğratmaz.

Azure VMware Çözümü CMK anahtar sürümü döndürme, CMK kurulumu sırasında seçtiğiniz anahtar seçimi ayarına bağlıdır.

Anahtar seçimi ayarı 1

Müşteri, CMK için belirli bir anahtar sürümü sağlamadan CMK şifrelemesini etkinleştirir. Azure VMware Çözümü, vSAN KEK'lerini şifrelemek için müşterinin anahtar kasasından CMK için en son anahtar sürümünü seçer. Azure VMware Çözümü sürüm döndürme için CMK'yi izler. Key Vault'ta CMK anahtarının yeni bir sürümü oluşturulduğunda, vSAN KEK'lerini şifrelemek için Azure VMware Çözümü tarafından otomatik olarak yakalanır.

Not

Azure VMware Çözümü yeni bir otomatik anahtar sürümünü algılaması 10 dakika kadar sürebilir.

Anahtar seçimi ayarı 2

Müşteri, URI'den Anahtar Gir seçeneği altında tam anahtar sürümü URI'sini sağlamak üzere belirtilen CMK anahtarı sürümü için CMK şifrelemesini etkinleştirebilir. Müşterinin geçerli anahtarının süresi dolduğunda, CMK anahtarının süre sonunu uzatması veya CMK'yi devre dışı bırakması gerekir.

Sistem tarafından atanan kimlikle CMK'yi etkinleştirme

Sistem tarafından atanan kimlik, kaynak başına bir kimlikle sınırlıdır ve kaynağın yaşam döngüsüne bağlıdır. Azure kaynağında yönetilen kimliğe izin vekleyebilirsiniz. Yönetilen kimliğin kimliği Microsoft Entra Id ile doğrulanır, bu nedenle kodda herhangi bir kimlik bilgisi depolamanız gerekmez.

Önemli

Key Vault'un Azure VMware Çözümü özel bulutla aynı bölgede olduğundan emin olun.

Portal

Key Vault örneğine gidin ve MSI'yi Etkinleştir sekmesinde yakalanan asıl kimliği kullanarak Key Vault'ta SDDC'ye erişim sağlayın.

1. Azure VMware Çözümü özel bulutunuzda Yönet'in altında Şifreleme'yi seçin. Ardından Müşteri tarafından yönetilen anahtarlar (CMK)'yi seçin.

2. CMK, Key Vault'tan Anahtar Seçimi için iki seçenek sağlar:

   Seçenek 1:

   1. Şifreleme anahtarı'nın altında Key Vault'tan seçim yapın.
   2. Şifreleme türünü seçin. Ardından Anahtar Kasası ve Anahtar Seç seçeneğini belirleyin.
   3. Açılan listeden Key Vault ve anahtarı seçin. Ardından Seç'i belirleyin.

   2. Seçenek:

   1. Şifreleme anahtarı'nın altında URI'den anahtarı girin'i seçin.
   2. Anahtar URI'si kutusuna belirli bir Anahtar URI'sini girin.

   Önemli

   Otomatik olarak seçilen en son sürüm yerine belirli bir anahtar sürümü seçmek istiyorsanız Anahtar URI'sini anahtar sürümüyle belirtmeniz gerekir. Bu seçim, CMK anahtarı sürüm yaşam döngüsünü etkiler.

   Key Vault Yönetilen Donanım Güvenlik Modülü (HSM) seçeneği yalnızca Anahtar URI seçeneğiyle desteklenir.

3. Kaynağa erişim vermek için Kaydet'i seçin.

Azure CLI

Anahtar sürümünün otomatik olarak güncelleştirilmesiyle Azure VMware Çözümü bir özel bulut için CMK'leri yapılandırmak için az vmware private-cloud add-cmk-encryption komutunu çağırın. Anahtar kasası URL'sini alın ve bir değişkene kaydedin. CMK'yi etkinleştirmek için sonraki adımda bu değere ihtiyacınız vardır.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

Aşağıdaki 1 ve 2 seçenekleri, belirli bir anahtar sürümü sağlamama ve sağlama arasındaki farkı gösterir.

Seçenek 1

Bu örnekte müşterinin belirli bir anahtar sürümü sağlamadığı gösterilmektedir.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Seçenek 2

Azure portalının 2. seçeneğinde daha önce belirtildiği gibi, cmk'leri belirli bir anahtar sürümüyle kullanmak için anahtar sürümünü bağımsız değişken olarak sağlayın. Aşağıdaki örnek, müşterinin belirli bir anahtar sürümü sağladığını gösterir.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Müşteri tarafından yönetilen anahtardan Microsoft tarafından yönetilen anahtara geçme

Müşteri CMK'den Microsoft tarafından yönetilen anahtara (MMK) geçmek istediğinde VM iş yükü kesintiye uğramaz. CMK'den MMK'ye değişiklik yapmak için:

1. Yönet'in altında Azure VMware Çözümü özel bulutunuzdan Şifreleme'yi seçin.
2. Microsoft tarafından yönetilen anahtarlar (MMK) seçeneğini belirleyin.
3. Kaydet'i seçin.

Sınırlamalar

Key Vault kurtarılabilir olarak yapılandırılmalıdır. Şunları yapmanız gerekir:

• Key Vault'ı Geçici Silme seçeneğiyle yapılandırın.
• Geçici silme işleminden sonra bile gizli kasanın zorla silinmesine karşı koruma sağlamak için Temizleme Koruması'nı açın.

Anahtarın süresi dolduysa veya Azure VMware Çözümü erişim anahtarı iptal edildiyse CMK ayarlarını güncelleştirme işlemi çalışmaz.

Sorun giderme ve en iyi yöntemler

Burada karşılaşabileceğiniz bazı yaygın sorunlar için sorun giderme ipuçları ve izleyebileceğiniz en iyi yöntemler yer alır.

Anahtarın yanlışlıkla silinmesi

Anahtar kasasında anahtarınızı yanlışlıkla silerseniz özel bulut bazı küme değiştirme işlemlerini gerçekleştiremez. Bu senaryoyu önlemek için anahtar kasasında geçici silmeleri etkin tutmanızı öneririz. Bu seçenek, bir anahtar silinirse varsayılan geçici silme saklamanın bir parçası olarak 90 günlük bir süre içinde kurtarılabilmesini sağlar. 90 günlük süre içindeyseniz sorunu çözmek için anahtarı geri yükleyebilirsiniz.

Anahtar kasası iznini geri yükleme

CMK erişimini kaybetmiş bir özel buluta sahipseniz, Yönetilen Sistem Kimliği'nin (MSI) anahtar kasasında izin gerektip gerektirmediğini denetleyin. Azure'dan döndürülen hata bildirimi, kök neden olarak anahtar kasasında izin gerektiren MSI'yi doğru şekilde göstermeyebilir. Gerekli izinlerin , wrapKeyve unwrapKeyolduğunu getunutmayın. Önkoşullar'daki 4. adıma bakın.

Süresi dolan anahtarı düzeltme

Autorotate işlevini kullanmıyorsanız ve CMK'nin süresi Key Vault'ta dolduysa anahtardaki sona erme tarihini değiştirebilirsiniz.

Anahtar kasası erişimini geri yükleme

MSI'nin anahtar kasasına özel bulut erişimi sağlamak için kullanıldığından emin olun.

MSI silme

Özel bulutla ilişkili MSI'yi yanlışlıkla silerseniz, CMK'yi devre dışı bırakmanız gerekir. Ardından cmk'yi baştan etkinleştirmek için adımları izleyin.

Sonraki adımlar

• Azure Key Vault yedekleme ve geri yükleme hakkında bilgi edinin.
• Azure Key Vault kurtarma hakkında bilgi edinin.