Usare il portale di Azure per abilitare la crittografia lato server con chiavi gestite dal cliente per i dischi gestiti

  • Procedure

Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows

Archiviazione su disco di Azure consente di gestire le proprie chiavi quando si usa la crittografia lato server per i dischi gestiti, se si vuole. Per informazioni concettuali sulla crittografia lato server con chiavi gestite dal cliente e su altri tipi di crittografia del disco gestito, vedere la sezione Chiavi gestite dal cliente dell'articolo relativo alla crittografia dei dischi: Chiavi gestite dal cliente

Prerequisiti

None

Restrizioni

Per il momento, le chiavi gestite dal cliente presentano le restrizioni seguenti:

  • Se questa funzionalità è abilitata per un disco con snapshot incrementali, non può essere disabilitata su tale disco o sui relativi snapshot. Per risolvere questo problema, copiare tutti i dati in un disco gestito completamente diverso che non usa chiavi gestite dal cliente. A tale scopo, è possibile usare l'interfaccia della riga di comando di Azure o il modulo di Azure PowerShell.
  • Un disco e tutti gli snapshot incrementali associati devono avere lo stesso set di crittografia del disco.
  • Solo chiavi RSA software e HSM di dimensioni pari a 2.048 bit, 3.072 bit e 4.096 bit non sono supportate altre chiavi o dimensioni.
  • Solo per Dischi Ultra e dischi SSD Premium v2:
    • I dischi creati da snapshot crittografati con la crittografia lato server e le chiavi gestite dal cliente devono essere crittografati con lo stesso set di crittografia del disco.
    • Le identità gestite assegnate dall'utente non sono supportate per i Dischi Ultra e i dischi SSD Premium v2 crittografati con chiavi gestite dal cliente.
    • La crittografia di dischi Ultra e dischi SSD Premium v2 con chiavi gestite dal cliente tramite Azure Key Vault archiviati in un tenant diverso di Microsoft Entra ID non è attualmente supportata.
  • La maggior parte delle risorse correlate alle chiavi gestite dal cliente (set di crittografia dischi, macchine virtuali, dischi e snapshot) deve trovarsi nella stessa sottoscrizione e nella stessa area.
    • Gli insiemi di credenziali delle chiavi di Azure possono essere usati da una sottoscrizione diversa, ma devono trovarsi nella stessa area del set di crittografia del disco. Come anteprima, è possibile usare Azure Key Vaults da diversi tenant di Microsoft Entra.
  • I dischi crittografati con chiavi gestite dal cliente possono passare a un altro gruppo di risorse solo se la macchina virtuale a cui sono collegati è deallocata.
  • Non è possibile spostare dischi, snapshot e immagini crittografati con chiavi gestite dal cliente tra sottoscrizioni.
  • I dischi gestiti attualmente o precedentemente crittografati con Crittografia dischi di Azure non possono essere crittografati usando chiavi gestite dal cliente.
  • È possibile creare fino a 5000 set di crittografia dischi per area per sottoscrizione.
  • Per informazioni sull'uso di chiavi gestite dal cliente con raccolte di immagini condivise, vedere Anteprima: Usare chiavi gestite dal cliente per crittografare le immagini.

Le sezioni seguenti illustrano come abilitare e usare le chiavi gestite dal cliente per i dischi gestiti:

La configurazione delle chiavi gestite dal cliente per i dischi richiede la creazione di risorse in un determinato ordine, se viene eseguito per la prima volta. Prima di tutto, è necessario creare e configurare un'istanza di Azure Key Vault.

Impostare l'insieme di credenziali delle chiavi di Azure

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Key Vault.

    Screenshot del portale di Azure con la finestra di dialogo di ricerca espansa.

    Importante

    Il set di crittografia del disco, la macchina virtuale, i dischi e gli snapshot devono trovarsi nella stessa area e nella stessa sottoscrizione per il completamento della distribuzione. Gli insiemi di credenziali delle chiavi di Azure possono essere usati da una sottoscrizione diversa, ma devono trovarsi nella stessa area e tenant del set di crittografia del disco.

  3. Selezionare + Crea per creare un nuovo insieme di credenziali delle chiavi.

  4. Creare un nuovo gruppo di risorse.

  5. Immettere un nome dell'insieme di credenziali delle chiavi, selezionare un'area e selezionare un piano tariffario.

    Nota

    Quando si crea l'istanza di Key Vault, è necessario abilitare l'eliminazione temporanea e la protezione dall'eliminazione. L'eliminazione temporanea assicura che l'insieme di credenziali delle chiavi mantenga una chiave eliminata per un determinato periodo di conservazione (valore predefinito di 90 giorni). La protezione dall'eliminazione garantisce che una chiave eliminata non possa essere eliminata definitivamente fino a quando non scade il periodo di conservazione. Queste impostazioni consentono di evitare la perdita di dati a causa dell'eliminazione accidentale. Queste impostazioni sono obbligatorie quando si usa un insieme di credenziali delle chiavi per la crittografia dei dischi gestiti.

  6. Selezionare Rivedi + crea, verificare le scelte, quindi selezionare Crea.

    Screenshot dell'esperienza di creazione di Azure Key Vault, che mostra i valori specifici creati.

  7. Al termine della distribuzione dell'insieme di credenziali delle chiavi, selezionarlo.

  8. Selezionare Chiavi in Oggetti.

  9. Seleziona Genera/Importa.

    Screenshot del riquadro delle impostazioni delle risorse di Key Vault, che mostra il pulsante genera/importa all'interno delle impostazioni.

  10. Lasciare Tipo di chiave impostato su RSA e Dimensione chiave RSA impostato su 2048.

  11. Compilare le selezioni rimanenti desiderate e quindi selezionare Crea.

    Screenshot del riquadro Crea una chiave che viene visualizzato dopo aver selezionato il pulsante genera/importa.

Aggiungere un ruolo Controllo degli accessi in base al ruolo di Azure

Dopo aver creato l'insieme di credenziali delle chiavi di Azure e una chiave, è necessario aggiungere un ruolo controllo degli accessi in base al ruolo di Azure, in modo da poter usare l'insieme di credenziali delle chiavi di Azure con il set di crittografia dischi.

  1. Selezionare Controllo di accesso (IAM) e aggiungere un ruolo.
  2. Aggiungere i ruoli di Amministratore dell'insieme di credenziali delle chiavi, Proprietario o Collaboratore.

Configurare il set di crittografia del disco

  1. Cercare set di crittografia dischi e selezionarlo.

  2. Nel riquadro Set di crittografia dischi, selezionare + Crea.

  3. Selezionare il gruppo di risorse, assegnare un nome al set di crittografia e selezionare la stessa area dell'insieme di credenziali delle chiavi.

  4. In Tipo di crittografia selezionare Crittografia dati inattivi con chiave gestita dal cliente.

    Nota

    Dopo aver creato un set di crittografia del disco con un particolare tipo di crittografia, non può essere modificato. Se si vuole usare un tipo di crittografia diverso, è necessario creare un nuovo set di crittografia del disco.

  5. Assicurarsi che Seleziona insieme di credenziali delle chiavi di Azure sia selezionato.

  6. Selezionare l'insieme di credenziali delle chiavi e la chiave creati in precedenza e la versione.

  7. Per abilitare la rotazione automatica delle chiavi gestite dal cliente, selezionare Rotazione automatica delle chiavi.

  8. Selezionare Rivedi e crea e quindi Crea.

    Screenshot del riquadro di creazione della crittografia del disco. Visualizzazione della sottoscrizione, del gruppo di risorse, del nome del set di crittografia del disco, dell'area e del selettore di chiavi + key vault.

  9. Passare al set di crittografia del disco dopo la distribuzione e selezionare l'avviso visualizzato.

    Screenshot dell'utente che seleziona l'avviso

  10. In questo modo si concedono all'insieme di credenziali delle chiavi le autorizzazioni per il set di crittografia del disco.

    Screenshot della conferma che sono state concesse le autorizzazioni.

Distribuire una macchina virtuale

Dopo aver creato e configurato l'insieme di credenziali delle chiavi e il set di crittografia dischi, è possibile distribuire una macchina virtuale usando la crittografia. Il processo di distribuzione delle macchine virtuali è simile al processo di distribuzione standard. Le uniche differenze sono che è necessario distribuire la macchina virtuale nella stessa area delle altre risorse e che si sceglie di usare una chiave gestita dal cliente.

  1. Cercare macchine virtuali e selezionare + Crea per creare una macchina virtuale.

  2. Nel riquadro Basic selezionare la stessa area del set di crittografia dischi e di Azure Key Vault.

  3. Compilare gli altri valori nel riquadro Basic come desiderato.

    Screenshot dell'esperienza di creazione della macchina virtuale con il valore dell'area evidenziato.

  4. Nel riquadro Dischi selezionare il set di crittografia dischi, l'insieme di credenziali delle chiavi e la chiave nell'elenco a discesa di Gestione chiavi.

  5. Effettuare le selezioni rimanenti come desiderato.

    Screenshot dell'esperienza di creazione della macchina virtuale, del riquadro dischi, della chiave gestita dal cliente selezionata.

Abilitare in un disco esistente

Attenzione

Per abilitare la crittografia del disco in qualsiasi disco collegato a una macchina virtuale è necessario arrestare la macchina virtuale.

  1. Passare a una macchina virtuale che si trova nella stessa area di uno dei set di crittografia dischi.

  2. Aprire la macchina virtuale e selezionare Arresta.

Screenshot della sovrimpressione principale della macchina virtuale di esempio, con il pulsante Arresta evidenziato.

  1. Al termine dell'arresto della macchina virtuale, selezionare Dischi e quindi selezionare il disco da crittografare.

Screenshot della macchina virtuale di esempio, con il riquadro Dischi aperto, il disco del sistema operativo è evidenziato come disco di esempio da selezionare.

  1. Selezionare Crittografia e in Gestione chiavi selezionare l'insieme di credenziali delle chiavi e la chiave nell'elenco a discesa in Chiave gestita dal cliente.

  2. Seleziona Salva.

Screenshot del disco del sistema operativo di esempio, il riquadro di crittografia è aperto, la crittografia dei dati inattivi con una chiave gestita dal cliente è selezionata, così come l'istanza di Azure Key Vault di esempio.

  1. Ripetere questo processo per tutti gli altri dischi collegati alla macchina virtuale da crittografare.

  2. Una volta terminato il passaggio dei dischi alle chiavi gestite dal cliente, se non sono presenti altri dischi collegati da crittografare, avviare la macchina virtuale.

Importante

Le chiavi gestite dal cliente si basano sulle identità gestite per le risorse di Azure, una funzionalità di Microsoft Entra ID. Quando si configurano le chiavi gestite dal cliente, un'identità gestita viene assegnata automaticamente alle risorse dietro le quinte. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o il disco gestito da una directory di Microsoft Entra a un'altra, l'identità gestita associata ai dischi gestiti non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra le directory di Microsoft Entra.

Abilitare la rotazione automatica delle chiavi in un set di crittografia dischi esistente

  1. Passare al set di crittografia dischi per cui si vuole abilitare la rotazione automatica delle chiavi.

  2. In Impostazioni selezionare Chiave.

  3. Selezionare Rotazione chiave automatica e selezionare Salva.

Contenuto correlato