Crittografare i dischi delle macchine virtuali esistenti

  • 10 minuti

Si supponga che l'azienda decida di implementare Crittografia dischi di Azure in tutte le macchine virtuali. È necessario valutare come implementare la crittografia nei volumi delle macchine virtuali esistenti. In questo modulo, si esaminano i requisiti per Crittografia dischi di Azure e i passaggi necessari per la crittografia dei dischi nelle macchine virtuali Linux e Windows esistenti. Nell'unità successiva si esegue il processo di crittografia dei dischi delle macchine virtuali esistenti.

Prerequisiti di Crittografia dischi di Azure

Per poter crittografare i dischi di una macchina virtuale è necessario:

  1. Creare un insieme di credenziali delle chiavi.
  2. Definire i criteri di accesso dell'insieme di credenziali delle chiavi per supportare la crittografia dei dischi.
  3. Usare l'insieme di credenziali delle chiavi per archiviare le chiavi di crittografia per Crittografia dischi di Azure.

Azure Key Vault

Le chiavi di crittografia usate da Crittografia dischi di Azure possono essere archiviate in Azure Key Vault. Azure Key Vault è uno strumento che consente di archiviare i segreti e di accedervi in modo sicuro. Un segreto è qualsiasi elemento per cui si vuole controllare rigorosamente l'accesso, ad esempio chiavi API, password o certificati. Azure Key Vault garantisce archiviazione sicura, scalabile e a disponibilità elevata in moduli di protezione hardware conformi a FIPS (Federal Information Processing Standards) 140-2, livello 2. Con Azure Key Vault è possibile avere il controllo completo delle chiavi usate per crittografare i dati e gestire e controllare l'uso delle chiavi.

Nota

Per Crittografia dischi di Azure è necessario che l'istanza dell'insieme di credenziali delle chiavi e le macchine virtuali si trovino nella stessa area di Azure, in modo che i segreti di crittografia non debbano attraversare confini a livello di area.

È possibile configurare e gestire l'insieme di credenziali delle chiavi con:

PowerShell

New-AzKeyVault -Location <location> `
    -ResourceGroupName <resource-group> `
    -VaultName "myKeyVault" `
    -EnabledForDiskEncryption

Interfaccia della riga di comando di Azure

az keyvault create \
    --name "myKeyVault" \
    --resource-group <resource-group> \
    --location <location> \
    --enabled-for-disk-encryption True

Azure portal

Azure Key Vault è una risorsa che può essere creata nel portale di Azure usando il normale processo di creazione delle risorse.

  1. Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.

  2. Nella casella di ricerca cercare e selezionare Key Vault. Viene visualizzato il riquadro Key Vault.

  3. Seleziona Crea. Viene visualizzato il riquadro Crea un insieme di credenziali delle chiavi.

  4. Nella scheda Informazioni di base immettere i valori indicati di seguito per ogni impostazione.

    Impostazione Valore
    Dettagli di progetto
    Abbonamento Selezionare la sottoscrizione in cui inserire l'insieme di credenziali delle chiavi (per impostazione predefinita è la sottoscrizione corrente).
    Gruppo di risorse Selezionare un gruppo di risorse esistente oppure creane uno nuovo.
    Dettagli istanza
    Nome insieme di credenziali delle chiavi Immettere un nome per l'insieme di credenziali delle chiavi.
    Paese Selezionare l'area in cui risiede la macchina virtuale.
    Piano tariffario Standard. È possibile selezionare un piano tariffario Standard o Premium. La differenza principale è che il livello Premium consente chiavi supportate dalla crittografia hardware.

    Screenshot che mostra il riquadro Key Vault.

  5. Selezionare Avanti per passare alla scheda Configurazione di accesso. È necessario modificare i criteri di accesso per supportare la crittografia dei dischi. Per impostazione predefinita, viene aggiunto l'account personale ai criteri.

  6. Nella scheda Configurazione di accesso immettere il valore seguente per l'impostazione.

    Impostazione Valore
    Accesso alle risorse Selezionare la casella Crittografia dischi di Azure per la crittografia dei volumi. È possibile rimuovere l'account, in quanto non è necessario se si intende usare l'insieme di credenziali delle chiavi solo per la crittografia dei dischi.

  7. Selezionare Rivedi e crea.

  8. Al termine della convalida, per creare il nuovo insieme di credenziali delle chiavi selezionare Crea.

Abilitare i criteri di accesso nell'insieme di credenziali delle chiavi

Azure deve avere accesso alle chiavi di crittografia o ai segreti nell'insieme di credenziali delle chiavi per renderli disponibili alla macchina virtuale per l'avvio e la decrittografia dei volumi. Questo accesso è stato abilitato nei passaggi precedenti quando sono stati modificati i criteri di accesso.

È possibile abilitare tre criteri:

  • Crittografia del disco: Obbligatorio per Crittografia dischi di Azure.
  • Distribuzione: (Facoltativo) Consente al provider di risorse Microsoft.Compute di recuperare i segreti da questo insieme di credenziali delle chiavi quando si fa riferimento a questo insieme di credenziali delle chiavi nella creazione di risorse. Ad esempio, quando si crea una macchina virtuale.
  • Distribuzione del modello: (Facoltativo) Consente ad Azure Resource Manager di recuperare segreti da questo insieme di credenziali delle chiavi quando vi viene fatto riferimento durante la distribuzione di un modello.

Di seguito viene illustrato come abilitare i criteri di crittografia del disco. Gli altri due criteri sono simili, ma usano flag diversi.

Set-AzKeyVaultAccessPolicy -VaultName <keyvault-name> -ResourceGroupName <resource-group> -EnabledForDiskEncryption

az keyvault update --name <keyvault-name> --resource-group <resource-group> --enabled-for-disk-encryption true

Crittografare un disco di una macchina virtuale esistente

Dopo aver configurato l'insieme di credenziali delle chiavi, è possibile crittografare la macchina virtuale usando l'interfaccia della riga di comando di Azure o Azure PowerShell. La prima volta che si crittografa una macchina virtuale Windows, è possibile scegliere di crittografare tutti i dischi o solo il disco del sistema operativo. In alcune distribuzioni, Linux è possibile crittografare solo i dischi dati. Per essere idonei per la crittografia, i dischi di Windows devono essere formattati come volumi NTFS (New Technology File System).

Avviso

Prima di poter attivare la crittografia, è necessario eseguire uno snapshot o un backup dei dischi gestiti. Il flag SkipVmBackup seguente informa lo strumento che il backup è stato completato nei dischi gestiti. Senza il backup, non è possibile ripristinare la macchina virtuale se la crittografia ha esito negativo per qualche motivo.

Per abilitare la crittografia tramite PowerShell, eseguire il cmdlet Set-AzVmDiskEncryptionExtension.


Set-AzVmDiskEncryptionExtension `
    -ResourceGroupName <resource-group> `
    -VMName <vm-name> `
    -VolumeType [All | OS | Data]
    -DiskEncryptionKeyVaultId <keyVault.ResourceId> `
    -DiskEncryptionKeyVaultUrl <keyVault.VaultUri> `
     -SkipVmBackup

Per abilitare la crittografia nell'interfaccia della riga di comando di Azure, eseguire il comando az vm encryption enable e specificare il volume da crittografare usando il parametro --volume-type [all | os | data]. Ecco un esempio di crittografia di tutti i volumi per una macchina virtuale:

az vm encryption enable \
    --resource-group <resource-group> \
    --name <vm-name> \
    --disk-encryption-keyvault <keyvault-name> \
    --volume-type all

Visualizzare lo stato del disco

È possibile controllare se dischi specifici sono crittografati.

Get-AzVmDiskEncryptionStatus  -ResourceGroupName <resource-group> -VMName <vm-name>

az vm encryption show --resource-group <resource-group> --name <vm-name>

Entrambi questi comandi restituiscono lo stato di ogni disco collegato alla macchina virtuale specificata.

Decrittografare le unità

Per invertire la crittografia tramite PowerShell, eseguire il cmdlet Disable-AzVMDiskEncryption.

Disable-AzVMDiskEncryption -ResourceGroupName <resource-group> -VMName <vm-name>

Per l'interfaccia della riga di comando di Azure eseguire il comando vm encryption disable.

az vm encryption disable --resource-group <resource-group> --name <vm-name>

Questi comandi disabilitano la crittografia per i volumi di tipo all per la macchina virtuale specificata. Proprio come per la versione di crittografia, è possibile specificare un parametro -VolumeType [All | OS | Data] per decidere quali dischi decrittografare. L'impostazione predefinita è All, se non ne viene specificata una.

Avviso

La disabilitazione della crittografia dei dischi dati nella macchina virtuale Windows quando sia i dischi dati che il disco del sistema operativo sono stati crittografati non funziona come previsto. È infatti necessario disabilitare la crittografia su tutti i dischi.

Nell'esercizio successivo, si vanno a provare alcuni di questi comandi in una nuova macchina virtuale.