Crittografia dischi di Azure per Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Panoramica

Crittografia dischi di Azure sfrutta il sottosistema di dm-crypt di Linux per fornire la crittografia completa del disco nelle distribuzioni di Linux Azure selezionate. Questa soluzione è integrata con Azure Key Vault per gestire le chiavi e i segreti di crittografia dei dischi.

Prerequisiti

Per un elenco completo dei prerequisiti, vedere Crittografia dischi di Azure per le macchine virtuali Linux, in particolare le sezioni seguenti:

Schema dell'estensione

Esistono due versioni dello schema di estensione per Crittografia dischi di Azure (ADE):

  • v1.1 - Schema consigliato più recente che non usa le proprietà di Microsoft Entra.
  • v0.1: schema precedente che richiede le proprietà di Microsoft Entra.

Per selezionare uno schema di destinazione, la typeHandlerVersion proprietà deve essere impostata come uguale alla versione dello schema da usare.

Lo schema v1.1 è consigliato e non richiede le proprietà di Microsoft Entra.

Nota

Il DiskFormatQuery parametro è deprecato. La funzionalità è stata sostituita dall'opzione EncryptFormatAll, che è invece il modo consigliato per formattare i dischi dati al momento della crittografia.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v0.1: con Microsoft Entra ID

Lo schema 0.1 richiede AADClientID e AADClientSecret o AADClientCertificate.

Utilizzo di AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Utilizzo di AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Valori delle proprietà

Nota: tutti i valori delle proprietà fanno distinzione tra maiuscole e minuscole.

Nome Valore/Esempio Tipo di dati
apiVersion 2019-07-01 data
publisher Microsoft.Azure.Security string
type AzureDiskEncryptionForLinux string
typeHandlerVersion 1.1, 0.1 int
(schema 0.1) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(schema 0.1) AADClientSecret password string
(schema 0.1) AADClientCertificate thumbprint string
(facoltativo) (schema 0.1) Passphrase password string
DiskFormatQuery {"dev_path":"","name":"","file_system":""} Dizionario JSON
EncryptionOperation EnableEncryption, EnableEncryptionFormatAll string
(facoltativo : impostazione predefinita RSA-OAEP ) KeyEncryptionAlgorithm "RSA-OAEP", "RSA-OAEP-256", "RSA1_5" string
KeyVaultURL URL. string
KeyVaultResourceId URL. string
(facoltativo) KeyEncryptionKeyURL URL. string
(facoltativo) KekVaultResourceId URL. string
(facoltativo) SequenceVersion uniqueidentifier string
VolumeType Sistema operativo, dati, tutti string

Distribuzione modelli

Per un esempio di distribuzione di modelli basata sullo schema v1.1, vedere il modello di avvio rapido di Azure encrypt-running-linux-vm-without-aad.

Per un esempio di distribuzione di modelli basata sullo schema v0.1, vedere il modello di avvio rapido di Azure encrypt-running-linux-vm.

Avviso

  • Se in precedenza è stata usata la funzionalità Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, sarà necessario continuare a usare questa opzione per crittografarla.
  • Durante la crittografia dei volumi del sistema operativo Linux, la macchina virtuale deve essere considerata non disponibile. È consigliabile evitare accessi SSH mentre è in corso la crittografia per evitare che eventuali file aperti a cui è necessario accedere durante il processo di crittografia risultino bloccati. Per controllare lo stato di avanzamento, usare il cmdlet di PowerShell Get-AzVMDiskEncryptionStatus o il comando dell'interfaccia della riga di comando vm encryption show. Questo processo può richiedere alcune ore per un volume di sistema operativo da 30 GB, più un tempo aggiuntivo per la crittografia dei volumi di dati. Il tempo di crittografia del volume dei dati sarà proporzionale alle dimensioni e alla quantità dei volumi di dati; l'opzione encrypt format all è più veloce della crittografia sul posto, ma comporterà la perdita di tutti i dati nei dischi.
  • La disabilitazione della crittografia nelle macchine virtuali Linux è supportata solo per i volumi di dati. Non è supportata nei dati o nei volumi del sistema operativo, se il volume del sistema operativo è stato crittografato.

Nota

Inoltre, se VolumeType il parametro è impostato su Tutti, i dischi dati verranno crittografati solo se sono montati correttamente.

Risoluzione dei problemi e supporto

Risoluzione dei problemi

Per la risoluzione di problemi, consultare la guida alla risoluzione dei problemi di Crittografia dischi di Azure.

Supporto tecnico

Per ricevere assistenza in relazione a qualsiasi punto di questo articolo, contattare gli esperti di Azure nei forum MSDN e Stack Overflow relativi ad Azure.

In alternativa, è possibile archiviare un evento imprevisto di supporto tecnico di Azure. Passare a supporto tecnico di Azure e selezionare Ottieni supporto. Per informazioni sull'uso del Supporto tecnico di Azure, leggere le Domande frequenti sul supporto tecnico di Azure.

Passaggi successivi