Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirmek için Azure portal kullanma

  • Makale

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri

Konakta şifrelemeyi etkinleştirdiğinizde, VM ana bilgisayarında depolanan veriler bekleme durumunda şifrelenir ve Depolama hizmetine akışlar şifrelenir. Konakta şifreleme ve diğer yönetilen disk şifreleme türleri hakkında kavramsal bilgi için bkz. Konakta şifreleme - VM verileriniz için uçtan uca şifreleme.

Geçici diskler ve kısa ömürlü işletim sistemi diskleri, uçtan uca şifrelemeyi etkinleştirdiğinizde bekleyen platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi ve veri diski önbellekleri, disk şifreleme türü olarak ne seçtiğinize bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarlarla bekleme durumunda şifrelenir. Örneğin, bir disk müşteri tarafından yönetilen anahtarlarla şifrelenirse, diskin önbelleği müşteri tarafından yönetilen anahtarlarla şifrelenir ve disk platform tarafından yönetilen anahtarlarla şifrelenirse diskin önbelleği platform tarafından yönetilen anahtarlarla şifrelenir.

Kısıtlamalar

  • 4k kesim boyutu Ultra Diskler ve Premium SSD v2 için desteklenir.
  • Yalnızca 13.05.2023'te oluşturulduklarında 512e kesim boyutu Ultra Diskler ve Premium SSD v2'de desteklenir.
    • Bu tarihten önce oluşturulan diskler için, diskinizin anlık görüntüsünü oluşturun ve anlık görüntüyü kullanarak yeni bir disk oluşturun.
  • Şu anda veya Azure Disk Şifrelemesi etkin olan sanal makinelerde (VM) veya sanal makine ölçek kümelerinde etkinleştirilemiyor.
  • Azure Disk Şifrelemesi, konakta şifreleme etkinleştirilmiş disklerde etkinleştirilemiyor.
  • Şifreleme mevcut sanal makine ölçek kümelerinde etkinleştirilebilir. Ancak, yalnızca şifreleme etkinleştirildikten sonra oluşturulan yeni VM'ler otomatik olarak şifrelenir.
  • Mevcut VM'lerin şifrelenmesi için serbest bırakılması ve yeniden ayrılmaları gerekir.

Bölgesel kullanılabilirlik

Konaktaki şifreleme, tüm disk türleri için tüm bölgelerde kullanılabilir.

Desteklenen VM boyutları

Eski VM Boyutları desteklenmez. Azure PowerShell modülünü veya Azure CLI'yı kullanarak desteklenen VM boyutlarının listesini bulabilirsiniz.

Önkoşullar

VM'niz veya Sanal Makine Ölçek Kümeniz için konakta şifrelemeyi kullanabilmek için önce aboneliğiniz için özelliği etkinleştirmeniz gerekir. Aboneliğiniz için özelliği etkinleştirmek için aşağıdaki adımları kullanın:

  1. Azure portalı: Azure portalında Cloud Shell simgesini seçin:

    Azure portalından Cloud Shell'i başlatma simgesinin ekran görüntüsü.

  2. Özelliği aboneliğinize kaydetmek için aşağıdaki komutu yürütebilirsiniz

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Özelliği denemeden önce aşağıdaki komutu kullanarak kayıt durumunun Kayıtlı olduğunu onaylayın (kayıt birkaç dakika sürebilir).

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Platform tarafından yönetilen anahtarlarla VM dağıtma

  1. Azure Portal’ında oturum açın.

  2. vm oluşturmak için Sanal Makineler arayın ve + Oluştur'u seçin.

  3. Uygun bir bölge ve desteklenen bir VM boyutu seçin.

  4. Temel bölmesindeki diğer değerleri istediğiniz gibi doldurun ve Diskler bölmesine geçin.

    Sanal makine oluşturma temel bilgileri bölmesinin, bölgenin ve VM boyutunun vurgulandığı ekran görüntüsü.

  5. Diskler bölmesinde Konakta şifreleme'yi seçin.

  6. Kalan seçimleri istediğiniz gibi yapın.

    Sanal makine oluşturma diskleri bölmesinin ekran görüntüsü, konakta şifreleme vurgulanmış.

  7. VM dağıtım işleminin geri kalanı için ortamınıza uygun seçimler yapın ve dağıtımı tamamlayın.

Artık konakta şifreleme etkinleştirilmiş bir VM dağıttınız ve diskin önbelleği platform tarafından yönetilen anahtarlar kullanılarak şifreleniyor.

Müşteri tarafından yönetilen anahtarlarla VM dağıtma

Alternatif olarak, disk önbelleklerinizi şifrelemek için müşteri tarafından yönetilen anahtarları kullanabilirsiniz.

Azure Key Vault ve disk şifreleme kümesi oluşturma

Özellik etkinleştirildikten sonra, henüz yapmadıysanız bir Azure Key Vault ve disk şifreleme kümesi ayarlamanız gerekir.

Diskleriniz için müşteri tarafından yönetilen anahtarları ayarlamak için, ilk kez yapıyorsanız belirli bir sırada kaynak oluşturmanız gerekir. İlk olarak bir Azure Key Vault oluşturup ayarlamanız gerekir.

Azure Key Vault'unuzu ayarlama

  1. Azure Portal’ında oturum açın.

  2. Key Vaults'ı arayın ve seçin.

    Arama iletişim kutusunun genişletildi olduğu Azure portalının ekran görüntüsü.

    Önemli

    Dağıtımın başarılı olması için disk şifreleme kümeniz, VM'niz, diskleriniz ve anlık görüntülerinizin tümü aynı bölgede ve abonelikte olmalıdır. Azure Anahtar Kasaları farklı bir abonelikten kullanılabilir, ancak disk şifreleme kümenizle aynı bölgede ve kiracıda olmalıdır.

  3. Yeni bir Key Vault oluşturmak için +Oluştur'u seçin.

  4. Yeni bir kaynak grubu oluşturma.

  5. Bir anahtar kasası adı girin, bir bölge seçin ve bir fiyatlandırma katmanı seçin.

    Not

    Key Vault örneğini oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Geçici silme, Key Vault'un belirli bir saklama süresi (varsayılan olarak 90 gün) için silinmiş bir anahtar tutmasını sağlar. Temizleme koruması, silinen anahtarın saklama süresi atlayana kadar kalıcı olarak silinememesini sağlar. Bu ayarlar yanlışlıkla silme nedeniyle veri kaybına karşı sizi korur. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir.

  6. Gözden Geçir + Oluştur'u seçin, seçimlerinizi doğrulayın ve ardından Oluştur'u seçin.

    Oluşturduğunuz belirli değerleri gösteren Azure Key Vault oluşturma deneyiminin ekran görüntüsü.

  7. Anahtar kasanızın dağıtımı tamamlandıktan sonra seçin.

  8. Nesneler'in altında Anahtarlar'ı seçin.

  9. Oluştur/İçeri Aktar'ı seçin.

    Key Vault kaynak ayarları bölmesinin ekran görüntüsü, ayarların içindeki oluştur/içeri aktar düğmesini gösterir.

  10. Hem Anahtar Türü'nüRSA hem de RSA Anahtar Boyutu'nu 2048 olarak ayarlayın.

  11. Kalan seçimleri istediğiniz gibi doldurun ve Oluştur'u seçin.

    Oluştur/içeri aktar düğmesi seçildikten sonra görüntülenen anahtar oluştur bölmesinin ekran görüntüsü.

Azure RBAC rolü ekleme

Azure anahtar kasasını ve anahtarı oluşturduğunuza göre, Azure anahtar kasanızı disk şifreleme kümenizle kullanabilmek için bir Azure RBAC rolü eklemeniz gerekir.

  1. Erişim denetimi (IAM) öğesini seçin ve bir rol ekleyin.
  2. Key Vault Yönetici istrator, Owner veya Contributor rollerini ekleyin.

Disk şifreleme kümenizi ayarlama

  1. Disk Şifreleme Kümelerini arayın ve seçin.

  2. Disk Şifreleme Kümeleri bölmesinde +Oluştur'u seçin.

  3. Kaynak grubunuzu seçin, şifreleme kümenizi adlandırın ve anahtar kasanızla aynı bölgeyi seçin.

  4. Şifreleme türü için Müşteri tarafından yönetilen bir anahtarla bekleyen şifreleme'yi seçin.

    Not

    Belirli bir şifreleme türüne sahip bir disk şifreleme kümesi oluşturduktan sonra değiştirilemez. Farklı bir şifreleme türü kullanmak istiyorsanız, yeni bir disk şifreleme kümesi oluşturmanız gerekir.

  5. Azure anahtar kasası ve anahtarı seç'in seçili olduğundan emin olun.

  6. Daha önce oluşturduğunuz anahtar kasasını ve anahtarı ve sürümü seçin.

  7. Müşteri tarafından yönetilen anahtarların otomatik döndürmesini etkinleştirmek istiyorsanız Otomatik anahtar döndürme'yi seçin.

  8. Gözden Geçir ve Oluştur’u ve sonra Oluştur’u seçin.

    Disk şifreleme oluşturma bölmesinin ekran görüntüsü. Abonelik, kaynak grubu, disk şifreleme kümesi adı, bölgesi ve anahtar kasası + anahtar seçicisi gösteriliyor.

  9. Dağıtıldıktan sonra disk şifreleme kümesine gidin ve görüntülenen uyarıyı seçin.

    'Disk, görüntü veya anlık görüntüyü bu disk şifreleme kümesiyle ilişkilendirmek için anahtar kasasına izin vermelisiniz' uyarısını seçen kullanıcının ekran görüntüsü.

  10. Bu, anahtar kasanıza disk şifreleme kümesi için izinler verir.

    İzinlerin verildiğine dair onayın ekran görüntüsü.

VM'yi dağıtma

Artık bir Azure Key Vault ve disk şifreleme kümesi ayarladığınıza göre, vm'yi dağıtabilirsiniz ve konakta şifreleme kullanır.

  1. Azure Portal’ında oturum açın.

  2. vm oluşturmak için Sanal Makineler arayın ve + Ekle'yi seçin.

  3. Yeni bir sanal makine oluşturun, uygun bir bölge ve desteklenen bir VM boyutu seçin.

  4. Temel bölmesindeki diğer değerleri istediğiniz gibi doldurun, ardından Diskler bölmesine geçin.

    Sanal makine oluşturma temel bilgileri bölmesinin, bölgenin ve VM boyutunun vurgulandığı ekran görüntüsü.

  5. Diskler bölmesinde Konakta şifreleme'yi seçin.

  6. Anahtar yönetimi'ne tıklayın ve müşteri tarafından yönetilen anahtarlarınızdan birini seçin.

  7. Kalan seçimleri istediğiniz gibi yapın.

    Sanal makine oluşturma diskleri bölmesinin ekran görüntüsü, konakta şifreleme vurgulanmış, müşteri tarafından yönetilen anahtarlar seçilmiş.

  8. VM dağıtım işleminin geri kalanı için ortamınıza uygun seçimler yapın ve dağıtımı tamamlayın.

Artık müşteri tarafından yönetilen anahtarları kullanarak konakta şifreleme etkinleştirilmiş bir VM dağıttınız.

Konak tabanlı şifrelemeyi devre dışı bırakma

Önce VM'nizi serbest bırakın; vm'niz serbest bırakılmadığı sürece konakta şifreleme devre dışı bırakılamaz.

  1. VM'nizde Diskler'i ve ardından Ek ayarlar'ı seçin.

    Vm'de Diskler bölmesinin ekran görüntüsü, Ek Ayarlar vurgulanmış.

  2. Konakta Şifreleme için Hayır'ı ve ardından Kaydet'i seçin.

Sonraki adımlar

Azure Resource Manager şablon örnekleri