Share via

Azure DevTest Labs'da müşteri tarafından yönetilen anahtarları kullanarak diskleri şifreleme

  • Makale

Sunucu tarafı şifreleme (SSE), verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. SSE, Azure'da yönetilen disklerde (işletim sistemi ve veri diskleri) depolanan verilerinizi bulutta kalıcı hale getirilirken varsayılan olarak otomatik olarak şifreler. Azure'da Disk Şifrelemesi hakkında daha fazla bilgi edinin.

DevTest Labs içinde, bir laboratuvarın parçası olarak oluşturulan tüm işletim sistemi diskleri ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak şifrelenir. Ancak, laboratuvar sahibi olarak laboratuvar sanal makine disklerini kendi anahtarlarınızı kullanarak şifrelemeyi seçebilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, laboratuvar disklerindeki verileri şifrelemek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz. Müşteri tarafından yönetilen anahtarlar ve diğer yönetilen disk şifreleme türleriyle Sunucu tarafı şifrelemesi (SSE) hakkında daha fazla bilgi edinmek için bkz. Müşteri tarafından yönetilen anahtarlar. Ayrıca bkz. Müşteri tarafından yönetilen anahtarların kullanımıyla ilgili kısıtlamalar.

Not

  • Bu ayar laboratuvarda yeni oluşturulan diskler için geçerlidir. Bir noktada disk şifreleme kümesini değiştirmeyi seçerseniz, laboratuvardaki eski diskler önceki disk şifreleme kümesi kullanılarak şifrelenmiş olarak kalmaya devam eder.

Aşağıdaki bölümde laboratuvar sahibinin müşteri tarafından yönetilen bir anahtar kullanarak şifrelemeyi nasıl ayarlayabildiği gösterilmektedir.

Ön koşullar

  1. Disk şifreleme kümeniz yoksa, Key Vault ve Disk Şifreleme Kümesi ayarlamak için bu makaleyi izleyin. Disk şifreleme kümesi için aşağıdaki gereksinimlere dikkat edin:

    • Disk şifreleme kümesinin laboratuvarınızla aynı bölgede ve abonelikte olması gerekir.
    • Laboratuvar disklerini şifrelemek için kullanılacak disk şifreleme kümesine (laboratuvar sahibi) en az okuyucu düzeyinde erişiminiz olduğundan emin olun.

  2. 1/8/2020 tarihinden önce oluşturulan laboratuvarlar için laboratuvar sahibinin laboratuvar sistemi tarafından atanan kimliğin etkinleştirildiğinden emin olması gerekir. Bunu yapmak için laboratuvar sahibi laboratuvarına gidebilir, Yapılandırma ve ilkeler'e tıklayabilir, Kimlik (Önizleme) dikey penceresine tıklayabilir, Sistem Tarafından Atanan kimlik Durumu'nu Açık olarak değiştirebilir ve Kaydet'e tıklayabilir. 1/8/2020 sonrasında oluşturulan yeni laboratuvarlar için, laboratuvarın sistem tarafından atanan kimliği varsayılan olarak etkinleştirilir.

    Yönetilen anahtarlar

  3. Laboratuvarın tüm laboratuvar diskleri için şifrelemeyi işlemesi için laboratuvar sahibinin disk şifreleme kümesinde laboratuvarın sistem tarafından atanan kimlik okuyucu rolünü ve temel alınan Azure aboneliğinde sanal makine katkıda bulunanı rolünü açıkça vermesi gerekir. Laboratuvar sahibi aşağıdaki adımları tamamlayarak bunu yapabilir:

    1. Azure kaynaklarına kullanıcı erişimini yönetebilmek için Azure abonelik düzeyinde Kullanıcı Erişimi Yöneticisi rolünün üyesi olduğunuzdan emin olun.

    2. Disk Şifreleme Kümesi sayfasında, disk şifreleme kümesinin kullanılacağı laboratuvar adına en azından Okuyucu rolünü atayın.

      Ayrıntılı adımlar için bkz. Azure portalı kullanarak Azure rolleri atama.

    3. Azure portal Abonelik sayfasına gidin.

    4. Sanal Makine Katılımcısı rolünü laboratuvar adına (laboratuvar için sistem tarafından atanan kimlik) atayın.

Laboratuvar işletim sistemi disklerini müşteri tarafından yönetilen bir anahtarla şifreleme

  1. Azure portal laboratuvarınızın giriş sayfasında sol menüden Yapılandırma ve ilkeler'i seçin.

  2. Yapılandırma ve ilkeler sayfasında Şifreleme bölümünde Diskler (Önizleme) öğesini seçin. Varsayılan olarak, Şifreleme türü, platform tarafından yönetilen bir anahtarla bekleyen şifreleme olarak ayarlanır.

    Yapılandırma ve ilkeler sayfasının Diskler sekmesi

  3. Şifreleme türü için açılan listeden Müşteri tarafından yönetilen anahtarla bekleyen şifreleme'yi seçin.

  4. Disk şifreleme kümesi için daha önce oluşturduğunuz disk şifreleme kümesini seçin. Bu, laboratuvarın sistem tarafından atanan kimliğinin erişebildiği disk şifreleme kümesiyle aynıdır.

  5. Araç çubuğunda Kaydet’i seçin.

    Müşteri tarafından yönetilen anahtarla şifrelemeyi etkinleştirme

  6. İleti kutusunda şu metni içerir: Bu ayar laboratuvarda yeni oluşturulan makineler için geçerlidir. Eski işletim sistemi diski eski disk şifreleme kümesiyle şifrelenmiş olarak kalır, Tamam'ı seçin.

    Yapılandırıldıktan sonra laboratuvar diskleri, disk şifreleme kümesi kullanılarak sağlanan müşteri tarafından yönetilen anahtarla şifrelenir.

Disklerin şifrelenip şifrelenmediğini doğrulama

  1. Laboratuvarda müşteri tarafından yönetilen bir anahtarla disk şifrelemesini etkinleştirdikten sonra oluşturulan laboratuvar sanal makinesine gidin.

    Disk şifrelemesi etkinleştirilmiş VM

  2. VM'nin kaynak grubuna tıklayın ve işletim sistemi diskini tıklatın.

    VM kaynak grubu

  3. Şifreleme'ye gidin ve şifrelemenin seçtiğiniz Disk Şifreleme Kümesi ile müşteri tarafından yönetilen anahtara ayarlanıp ayarlanmadığını doğrulayın.

    Şifrelemeyi doğrulama

Sonraki adımlar

Aşağıdaki makalelere bakın: