Azure Red Hat OpenShift'te müşteri tarafından yönetilen bir anahtarla işletim sistemi disklerini şifreleme

Varsayılan olarak, Azure Red Hat OpenShift kümesindeki sanal makinelerin işletim sistemi diskleri Microsoft Azure tarafından yönetilen otomatik olarak oluşturulan anahtarlarla şifrelenir. Ek güvenlik için müşteriler Azure Red Hat OpenShift kümesi dağıtırken işletim sistemi disklerini kendi kendine yönetilen anahtarlarla şifreleyebilir. Bu özellik, gizli verileri müşteri tarafından yönetilen anahtarlarla (CMK) şifreleyerek daha fazla denetim sağlar.

Müşteri tarafından yönetilen anahtarlarla oluşturulan kümelerin anahtarlarıyla birlikte varsayılan bir depolama sınıfı etkinleştirilir. Bu nedenle, hem işletim sistemi diskleri hem de veri diskleri bu anahtarlar tarafından şifrelenir. Müşteri tarafından yönetilen anahtarlar Azure Key Vault'ta depolanır.

Anahtarları oluşturmak ve korumak için Azure Key Vault'u kullanma hakkında daha fazla bilgi için Microsoft Azure belgelerindeki Azure Disk Depolama'nın sunucu tarafı şifrelemesine bakın.

Konak tabanlı şifreleme ile Azure Red Hat OpenShift aracı düğümlerinizin VM'lerinin VM ana bilgisayarında depolanan veriler bekleme sırasında şifrelenir ve Depolama hizmetine akışlar şifrelenir. Ana bilgisayar tabanlı şifreleme, geçici disklerin bekleyen platform tarafından yönetilen anahtarlarla şifrelenmesi anlamına gelir.

İşletim sistemi ve veri disklerinin önbelleği, bu disklerde ayarlanan şifreleme türüne bağlı olarak bekleme durumunda platform tarafından yönetilen anahtarlarla veya müşteri tarafından yönetilen anahtarlarla şifrelenir. Varsayılan olarak, Azure Red Hat OpenShift kullanılırken işletim sistemi ve veri diskleri bekleme sırasında platform tarafından yönetilen anahtarlarla şifrelenir, yani bu disklerin önbellekleri de varsayılan olarak platform tarafından yönetilen anahtarlarla şifrelenir.

Aşağıdaki şifreleme adımlarını izleyerek kendi yönetilen anahtarlarınızı belirtebilirsiniz. Bu diskler için önbellek, bu adımda belirttiğiniz anahtar kullanılarak da şifrelenir.

Sınırlama

Azure'da Key Vault ve Disk Şifreleme Kümesini korumak müşterilerin sorumluluğundadır. Anahtarların bakımının yapılmaması Azure Red Hat OpenShift kümelerinin bozulmasına neden olur. VM'ler çalışmayı durdurur ve sonuç olarak Azure Red Hat OpenShift kümesinin tamamı çalışmayı durdurur.

Azure Red Hat OpenShift Mühendislik ekibi anahtarlara erişemiyor. Bu nedenle, anahtarları yedekleyemez, çoğaltamaz veya alamazlar.

Şifreleme anahtarlarınızı yönetmek için Disk Şifreleme Kümelerini kullanma hakkında ayrıntılı bilgi için Microsoft Azure belgelerindeki Azure Disk Depolama'nın sunucu tarafı şifrelemesine bakın.

Önkoşullar

• İzinlerinizi doğrulayın. Katkıda Bulunan ve Kullanıcı Erişimi Yöneticisi izinlerine veya Sahip izinlerine sahip olmanız gerekir.

• Birden çok Azure aboneliğiniz varsa kaynak sağlayıcılarını kaydedin. Kayıt ayrıntıları için bkz . Kaynak sağlayıcılarını kaydetme.

• Aboneliğinizde EncryptionAtHost özelliğinin etkinleştirilmesi gerekir. Şunu çalıştırarak etkinleştirebilirsiniz:

  az feature register --namespace Microsoft.Compute --name EncryptionAtHost
  

• Aşağıdakini çalıştırarak özelliğin geçerli durumunu de kontrol edebilirsiniz:

  az feature show --namespace Microsoft.Compute --name EncryptionAtHost
  

İki boş alt ağ içeren bir sanal ağ oluşturma

İki boş alt ağ içeren bir sanal ağ oluşturun. Gereksinimlerinizi karşılayan bir sanal ağınız varsa bu adımı atlayabilirsiniz. Sanal ağ oluşturma yordamını gözden geçirmek için bkz . İki boş alt ağ içeren bir sanal ağ oluşturma.

Azure Key Vault örneği oluşturma

Anahtarlarınızı depolamak için bir Azure Key Vault örneği kullanmanız gerekir. Temizleme koruması etkinleştirilmiş yeni bir Key Vault oluşturun. Ardından, kendi özel anahtarınızı depolamak için Key Vault'ta yeni bir anahtar oluşturun.

1. Daha fazla ortam izni ayarlayın:

   export KEYVAULT_NAME=$USER-enckv
   export KEYVAULT_KEY_NAME=$USER-key
   export DISK_ENCRYPTION_SET_NAME=$USER-des
   

2. Key Vault'ta bir Key Vault ve anahtar oluşturun:

   az keyvault create -n $KEYVAULT_NAME \
                  -g $RESOURCEGROUP \
                  -l $LOCATION \
                  --enable-purge-protection true
   
   az keyvault key create --vault-name $KEYVAULT_NAME \
                          -n $KEYVAULT_KEY_NAME \
                          --protection software
   
   KEYVAULT_ID=$(az keyvault show --name $KEYVAULT_NAME --query "[id]" -o tsv)
   
   KEYVAULT_KEY_URL=$(az keyvault key show --vault-name $KEYVAULT_NAME \
                                           --name $KEYVAULT_KEY_NAME \
                                           --query "[key.kid]" -o tsv)
   

Azure Disk Şifrelemesi Kümesi oluşturma

Azure Disk Şifrelemesi Kümesi, Azure Red Hat OpenShift kümelerindeki diskler için başvuru noktası olarak kullanılır. Önceki adımda oluşturduğunuz Azure Key Vault'a bağlanır ve müşteri tarafından yönetilen anahtarları bu konumdan çeker.

az disk-encryption-set create -n $DISK_ENCRYPTION_SET_NAME \
                              -l $LOCATION \
                              -g $RESOURCEGROUP \
                              --source-vault $KEYVAULT_ID \
                              --key-url $KEYVAULT_KEY_URL

DES_ID=$(az disk-encryption-set show -n $DISK_ENCRYPTION_SET_NAME -g $RESOURCEGROUP --query 'id' -o tsv)

DES_IDENTITY=$(az disk-encryption-set show -n $DISK_ENCRYPTION_SET_NAME \
                                           -g $RESOURCEGROUP \
                                           --query "[identity.principalId]" \
                                           -o tsv)

Key Vault'a erişmek için Disk Şifreleme Kümesi için izinler verme

Önceki adımda oluşturduğunuz Disk Şifreleme Kümesi'ni kullanın ve Disk Şifreleme Kümesi'ne Azure Key Vault'a erişme ve kullanma izni verin.

az keyvault set-policy -n $KEYVAULT_NAME \
                       -g $RESOURCEGROUP \
                       --object-id $DES_IDENTITY \
                       --key-permissions wrapkey unwrapkey get

Azure Red Hat OpenShift kümesi oluşturma

Müşteri tarafından yönetilen anahtarları kullanmak için bir Azure Red Hat OpenShift kümesi oluşturun.

az aro create --resource-group $RESOURCEGROUP \
              --name $CLUSTER  \
              --vnet aro-vnet  \
              --master-subnet master-subnet \
              --worker-subnet worker-subnet \
              --disk-encryption-set $DES_ID

Azure Red Hat OpenShift kümesini oluşturduktan sonra tüm VM'ler müşteri tarafından yönetilen şifreleme anahtarlarıyla şifrelenir.

Anahtarları doğru yapılandırdığınızdan emin olmak için aşağıdaki komutları çalıştırın:

1. Küme VM'lerinin, disklerinin vb. bulunduğu küme Kaynak Grubunun adını alın:

   CLUSTERRESOURCEGROUP=$(az aro show --resource-group $RESOURCEGROUP --name $CLUSTER --query 'clusterProfile.resourceGroupId' -o tsv | cut -d '/' -f 5)
   

2. Disklerde doğru Disk Şifreleme Kümesi'nin takılı olup olmadığını denetleyin:

   az disk list -g $CLUSTERRESOURCEGROUP --query '[].encryption'
   

   Çıktıdaki alanın diskEncryptionSetId , Azure Red Hat OpenShift kümesini oluştururken belirttiğiniz Disk Şifreleme Kümesi'ne işaret etmesi gerekir.