Povolení kompletního šifrování s využitím šifrování na hostiteli – Azure Portal

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️

Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage. Koncepční informace o šifrování na hostiteli a dalších typech šifrování spravovaných disků najdete v tématu: Šifrování na hostiteli – Kompletní šifrování dat virtuálního počítače.

Dočasné disky a dočasné disky s operačním systémem jsou neaktivní zašifrované pomocí klíčů spravovaných zákazníkem nebo spravovaných platformou v závislosti na tom, co vyberete jako typ šifrování disku pro disk s operačním systémem. Neaktivní uložené mezipaměti operačního systému a datového disku se šifrují pomocí klíčů spravovaných zákazníkem nebo spravovaných platformou v závislosti na tom, co vyberete jako typ šifrování disku. Pokud je například disk šifrovaný pomocí klíčů spravovaných zákazníkem, pak se mezipaměť disku zašifruje pomocí klíčů spravovaných zákazníkem a pokud je disk šifrovaný pomocí klíčů spravovaných platformou, mezipaměť disku se zašifruje pomocí klíčů spravovaných platformou.

Omezení

  • Podporováno pro disky Ultra s velikostí 4k sektorů a SSD úrovně Premium v2.
  • Podporuje se pouze na 512e sektorech velikost disků Ultra a SSD úrovně Premium v2, pokud byly vytvořeny po 13. 5. 2023.
  • Na virtuálních počítačích nebo ve škálovacích sadách virtuálních počítačů, které v současné době nebo kdy měly povolenou službu Azure Disk Encryption, není možné povolit.
  • Azure Disk Encryption nejde povolit na discích s povoleným šifrováním na hostiteli.
  • Šifrování je možné povolit ve stávajících škálovacích sadách virtuálních počítačů. Po povolení šifrování se ale automaticky zašifrují jenom nové virtuální počítače vytvořené po povolení šifrování.
  • Aby bylo možné šifrovat stávající virtuální počítače, musí být uvolněné a přerozdělené.

Podporované velikosti virtuálních počítačů

Starší velikosti virtuálních počítačů se nepodporují. Seznam podporovaných velikostí virtuálních počítačů najdete pomocí modulu Azure PowerShellu nebo Azure CLI.

Požadavky

Před použitím šifrování na hostiteli pro virtuální počítač nebo škálovací sadu virtuálních počítačů musíte tuto funkci pro své předplatné povolit. Pomocí následujících kroků povolte funkci pro vaše předplatné:

  1. Azure Portal: Vyberte ikonu Cloud Shellu na webu Azure Portal:

    Snímek obrazovky s ikonou pro spuštění Cloud Shellu z webu Azure Portal

  2. Spuštěním následujícího příkazu zaregistrujte funkci pro vaše předplatné.

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
    
  3. Před vyzkoušením této funkce ověřte, že stav registrace je Zaregistrovaný (registrace může trvat několik minut).

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
    

Nasazení virtuálního počítače s klíči spravovanými platformou

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte virtuální počítače a vyberte + Vytvořit a vytvořte virtuální počítač.

  3. Vyberte odpovídající oblast a podporovanou velikost virtuálního počítače.

  4. Vyplňte další hodnoty v podokně Basic podle potřeby a pokračujte v podokně Disky .

  5. V podokně Disky vyberte Šifrování v hostiteli.

  6. Proveďte zbývající výběry podle potřeby.

    Snímek obrazovky s podoknem disky pro vytváření virtuálních počítačů se zvýrazněným šifrováním na hostiteli

  7. Pro zbytek procesu nasazení virtuálního počítače proveďte výběry, které odpovídají vašemu prostředí, a dokončete nasazení.

Teď jste nasadili virtuální počítač s povoleným šifrováním na hostiteli a mezipaměť disku se šifruje pomocí klíčů spravovaných platformou.

Nasazení virtuálního počítače s klíči spravovanými zákazníkem

Alternativně můžete použít klíče spravované zákazníkem k šifrování mezipaměti disků.

Vytvoření služby Azure Key Vault a sady šifrování disků

Jakmile je tato funkce povolená, musíte nastavit Službu Azure Key Vault a sadu šifrování disků, pokud jste to ještě neudělali.

Nastavení klíčů spravovaných zákazníkem pro vaše disky vyžaduje, abyste vytvořili prostředky v určitém pořadí, pokud to děláte poprvé. Nejprve budete muset vytvořit a nastavit Azure Key Vault.

Nastavení služby Azure Key Vault

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte trezory klíčů.

    Snímek obrazovky webu Azure Portal s rozbaleným dialogovým oknem hledání

    Důležité

    Aby bylo nasazení úspěšné, musí být vaše sada šifrování disků, virtuální počítač, disky a snímky ve stejné oblasti a předplatné. Služby Azure Key Vault se můžou používat z jiného předplatného, ale musí být ve stejné oblasti a tenantovi jako vaše sada šifrování disků.

  3. Vyberte +Vytvořit a vytvořte novou službu Key Vault.

  4. Vytvoříte novou skupinu prostředků.

  5. Zadejte název trezoru klíčů, vyberte oblast a vyberte cenovou úroveň.

    Poznámka:

    Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud doba uchovávání nepřesběne. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.

  6. Vyberte Zkontrolovat a vytvořit, ověřte své volby a pak vyberte Vytvořit.

    Snímek obrazovky s prostředím pro vytváření služby Azure Key Vault zobrazující konkrétní hodnoty, které vytvoříte

  7. Jakmile trezor klíčů dokončí nasazení, vyberte ho.

  8. V části Objekty vyberte klíče.

  9. Vyberte Generovat/importovat.

    Snímek obrazovky s podoknem nastavení prostředků služby Key Vault a tlačítkem generovat/importovat uvnitř nastavení

  10. U obou typů klíčů ponechte nastavenou hodnotu RSA a velikost klíče RSA nastavenou na hodnotu 2048.

  11. Vyplňte zbývající výběry podle potřeby a pak vyberte Vytvořit.

    Snímek obrazovky s podoknem vytvořit klíč, které se zobrazí po výběru tlačítka vygenerovat/importovat

Přidání role Azure RBAC

Teď, když jste vytvořili trezor klíčů Azure a klíč, musíte přidat roli Azure RBAC, abyste mohli použít trezor klíčů Azure se sadou šifrování disků.

  1. Vyberte Řízení přístupu (IAM) a přidejte roli.
  2. Přidejte role správce, vlastníka nebo přispěvatele služby Key Vault.

Nastavení sady šifrování disku

  1. Vyhledejte sady šifrování disků a vyberte ji.

  2. V podokně Sady šifrování disků vyberte +Vytvořit.

  3. Vyberte skupinu prostředků, pojmenujte sadu šifrování a vyberte stejnou oblast jako trezor klíčů.

  4. Jako typ šifrování vyberte Šifrování neaktivních uložených uložených dat pomocí klíče spravovaného zákazníkem.

    Poznámka:

    Jakmile vytvoříte sadu šifrování disku s určitým typem šifrování, nedá se změnit. Pokud chcete použít jiný typ šifrování, musíte vytvořit novou sadu šifrování disku.

  5. Ujistěte se, že je vybraná možnost Vybrat trezor klíčů Azure a klíč .

  6. Vyberte trezor klíčů a klíč, který jste vytvořili dříve, a verzi.

  7. Pokud chcete povolit automatickou obměnu klíčů spravovaných zákazníkem, vyberte Automatické obměně klíčů.

  8. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

    Snímek obrazovky s podoknem vytvoření šifrování disku Zobrazuje se předplatné, skupina prostředků, název sady šifrování disků, oblast a trezor klíčů + selektor klíčů.

  9. Po nasazení přejděte na sadu šifrování disku a vyberte zobrazenou výstrahu.

    Snímek obrazovky uživatele, který vybere upozornění

  10. Tím udělíte vašemu trezoru klíčů oprávnění k sadě šifrování disku.

    Snímek obrazovky s potvrzením, že byla udělena oprávnění

Nasazení virtuálního počítače

Teď, když máte nastavenou službu Azure Key Vault a sadu šifrování disků, můžete nasadit virtuální počítač a používá šifrování na hostiteli.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte virtuální počítače a vyberte + Přidat a vytvořte virtuální počítač.

  3. Vytvořte nový virtuální počítač, vyberte odpovídající oblast a podporovanou velikost virtuálního počítače.

  4. Vyplňte další hodnoty v podokně Basic podle potřeby a pak přejděte do podokna Disky .

  5. V podokně Disky vyberte Šifrování v hostiteli.

  6. Vyberte správu klíčů a vyberte jeden z klíčů spravovaných zákazníkem.

  7. Proveďte zbývající výběry podle potřeby.

    Snímek obrazovky s podoknem disky pro vytváření virtuálních počítačů a zvýrazněným výběrem klíčů spravovaných zákazníkem je šifrování v hostiteli.

  8. Pro zbytek procesu nasazení virtuálního počítače proveďte výběry, které odpovídají vašemu prostředí, a dokončete nasazení.

Teď jste nasadili virtuální počítač s šifrováním na hostiteli, který je povolený pomocí klíčů spravovaných zákazníkem.

Zakázání šifrování na základě hostitele

Nejprve uvolněte virtuální počítač. Šifrování na hostiteli nejde zakázat, pokud se virtuální počítač nevyřadí.

  1. Na virtuálním počítači vyberte Disky a pak vyberte Další nastavení.

    Snímek obrazovky s podoknem Disky na virtuálním počítači a zvýrazněnou možností Další nastavení

  2. Vyberte Možnost Ne pro šifrování u hostitele a pak vyberte Uložit.

Další kroky

Ukázky šablon Azure Resource Manageru