Crittografia dischi di Azure per Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Panoramica
Crittografia dischi di Azure sfrutta il sottosistema di dm-crypt di Linux per fornire la crittografia completa del disco nelle distribuzioni di Linux Azure selezionate. Questa soluzione è integrata con Azure Key Vault per gestire le chiavi e i segreti di crittografia dei dischi.
Prerequisiti
Per un elenco completo dei prerequisiti, vedere Crittografia dischi di Azure per le macchine virtuali Linux, in particolare le sezioni seguenti:
- Macchine virtuali e sistemi operativi supportati
- Requisiti aggiuntivi per le macchine virtuali
- Requisiti di rete
- Requisiti di archiviazione delle chiavi di crittografia
Schema dell'estensione
Esistono due versioni dello schema di estensione per Crittografia dischi di Azure (ADE):
- v1.1 - Schema consigliato più recente che non usa le proprietà di Microsoft Entra.
- v0.1: schema precedente che richiede le proprietà di Microsoft Entra.
Per selezionare uno schema di destinazione, la typeHandlerVersion proprietà deve essere impostata come uguale alla versione dello schema da usare.
Schema v1.1: Nessun ID Microsoft Entra (scelta consigliata)
Lo schema v1.1 è consigliato e non richiede le proprietà di Microsoft Entra.
Nota
Il DiskFormatQuery parametro è deprecato. La funzionalità è stata sostituita dall'opzione EncryptFormatAll, che è invece il modo consigliato per formattare i dischi dati al momento della crittografia.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schema v0.1: con Microsoft Entra ID
Lo schema 0.1 richiede AADClientID e AADClientSecret o AADClientCertificate.
Utilizzo di AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Utilizzo di AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valori delle proprietà
Nota: tutti i valori delle proprietà fanno distinzione tra maiuscole e minuscole.
| Nome | Valore/Esempio | Tipo di dati |
|---|---|---|
| apiVersion | 2019-07-01 | data |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryptionForLinux | string |
| typeHandlerVersion | 1.1, 0.1 | int |
| (schema 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (schema 0.1) AADClientSecret | password | string |
| (schema 0.1) AADClientCertificate | thumbprint | string |
| (facoltativo) (schema 0.1) Passphrase | password | string |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | Dizionario JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
| (facoltativo : impostazione predefinita RSA-OAEP ) KeyEncryptionAlgorithm | "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" | string |
| KeyVaultURL | URL. | string |
| KeyVaultResourceId | URL. | string |
| (facoltativo) KeyEncryptionKeyURL | URL. | string |
| (facoltativo) KekVaultResourceId | URL. | string |
| (facoltativo) SequenceVersion | uniqueidentifier | string |
| VolumeType | Sistema operativo, dati, tutti | string |
Distribuzione modelli
Per un esempio di distribuzione di modelli basata sullo schema v1.1, vedere il modello di avvio rapido di Azure encrypt-running-linux-vm-without-aad.
Per un esempio di distribuzione di modelli basata sullo schema v0.1, vedere il modello di avvio rapido di Azure encrypt-running-linux-vm.
Avviso
- Se in precedenza è stata usata la funzionalità Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, sarà necessario continuare a usare questa opzione per crittografarla.
- Durante la crittografia dei volumi del sistema operativo Linux, la macchina virtuale deve essere considerata non disponibile. È consigliabile evitare accessi SSH mentre è in corso la crittografia per evitare che eventuali file aperti a cui è necessario accedere durante il processo di crittografia risultino bloccati. Per controllare lo stato di avanzamento, usare il cmdlet di PowerShell Get-AzVMDiskEncryptionStatus o il comando dell'interfaccia della riga di comando vm encryption show. Questo processo può richiedere alcune ore per un volume di sistema operativo da 30 GB, più un tempo aggiuntivo per la crittografia dei volumi di dati. Il tempo di crittografia del volume dei dati sarà proporzionale alle dimensioni e alla quantità dei volumi di dati; l'opzione
encrypt format allè più veloce della crittografia sul posto, ma comporterà la perdita di tutti i dati nei dischi. - La disabilitazione della crittografia nelle macchine virtuali Linux è supportata solo per i volumi di dati. Non è supportata nei dati o nei volumi del sistema operativo, se il volume del sistema operativo è stato crittografato.
Nota
Inoltre, se VolumeType il parametro è impostato su Tutti, i dischi dati verranno crittografati solo se sono montati correttamente.
Risoluzione dei problemi e supporto
Risoluzione dei problemi
Per la risoluzione di problemi, consultare la guida alla risoluzione dei problemi di Crittografia dischi di Azure.
Supporto tecnico
Per ricevere assistenza in relazione a qualsiasi punto di questo articolo, contattare gli esperti di Azure nei forum MSDN e Stack Overflow relativi ad Azure.
In alternativa, è possibile archiviare un evento imprevisto di supporto tecnico di Azure. Passare a supporto tecnico di Azure e selezionare Ottieni supporto. Per informazioni sull'uso del Supporto tecnico di Azure, leggere le Domande frequenti sul supporto tecnico di Azure.
Passaggi successivi
- Per altre informazioni sulle estensioni della macchina virtuale, vedere Estensioni e funzionalità della macchina virtuale per Linux.
- Per altre informazioni sulle Crittografia dischi di Azure per Linux, vedere Macchine virtuali Linux.