استخدام مدخل Microsoft Azure لتمكين التشفير من جانب الخادم باستخدام مفاتيح يديرها العميل للأقراص المدارة.

  • مقالة
  • قراءة خلال 5 دقائق

ينطبق على: ✔️ أجهزة لينكس الظاهرية Windows الأجهزة الظاهرية ✔️ ✔️

يتيح لك Azure Disk Storage إدارة المفاتيح الخاصة بك عند استخدام التشفير من جانب الخادم (SSE) للأقراص المدارة، إذا اخترت ذلك. للحصول على معلومات مفاهيمية حول SSE مع المفاتيح المدارة من قبل العميل، بالإضافة إلى أنواع تشفير الأقراص المدارة الأخرى، راجع قسم المفاتيح المدارة بواسطة العميل في مقالة تشفير القرص: المفاتيح المدارة بواسطة العميل

القيود

في الوقت الحالي، تحتوي المفاتيح التي يديرها العميل على القيود التالية:

  • إذا تم تمكين هذه الميزة للقرص، فلا يمكنك تعطيلها. إذا كنت بحاجة إلى حل هذه المشكلة، فيجب نسخ كافة البيانات إلى قرص مدار مختلف تماما لا يستخدم المفاتيح التي يديرها العميل:

  • يتم دعم البرامج ومفاتيح HSM RSA ذات الأحجام 2048 بت و 3072 بت و 4096 بت فقط ، ولا توجد مفاتيح أو أحجام أخرى.
    • تتطلب مفاتيح HSM الطبقة المتميزة من خزائن مفاتيح Azure.
  • يجب تشفير الأقراص التي تم إنشاؤها من الصور المخصصة التي يتم تشفيرها باستخدام التشفير من جانب الخادم والمفاتيح المدارة من قبل العميل باستخدام نفس المفاتيح التي يديرها العميل ويجب أن تكون في نفس الاشتراك.
  • يجب تشفير اللقطات التي تم إنشاؤها من الأقراص المشفرة باستخدام التشفير من جانب الخادم والمفاتيح المدارة من قبل العميل بنفس المفاتيح التي يديرها العميل.
  • يجب أن تكون معظم الموارد المتعلقة بالمفاتيح التي يديرها العميل (مجموعات تشفير القرص والأجهزة الظاهرية والأقراص واللقطات) في نفس الاشتراك والمنطقة.
    • يمكن استخدام Azure Key Vaults من اشتراك مختلف ولكن يجب أن يكون في نفس المنطقة والمستأجر مثل مجموعة تشفير القرص الخاصة بك.
  • لا يمكن نقل الأقراص واللقطات والصور المشفرة باستخدام المفاتيح التي يديرها العميل إلى مجموعة موارد واشتراك آخر.
  • لا يمكن تشفير الأقراص المدارة المشفرة حاليا أو سابقا باستخدام Azure Disk Encryption باستخدام المفاتيح التي يديرها العميل.
  • يمكن فقط إنشاء ما يصل إلى 1000 مجموعة تشفير قرص لكل منطقة لكل اشتراك.
  • للحصول على معلومات حول استخدام المفاتيح التي يديرها العميل مع معارض الصور المشتركة، راجع معاينة: استخدام المفاتيح التي يديرها العميل لتشفير الصور.

تغطي الأقسام التالية كيفية تمكين المفاتيح المدارة من قبل العميل واستخدامها للأقراص المدارة:

سيتطلب منك إعداد المفاتيح المدارة من قبل العميل لأقراصك إنشاء موارد بترتيب معين، إذا كنت تقوم بذلك لأول مرة. أولا، ستحتاج إلى إنشاء مخزن مفاتيح Azure وإعداده.

إعداد Azure Key Vault الخاص بك

  1. تسجيل الدخول إلى مدخل Azure.

  2. ابحث عن الخزائن الرئيسية وحددها.

    Screenshot of the Azure portal with the search dialog box expanded.

    هام

    يجب أن يكون كل من مخزن مفاتيح Azure ومجموعة تشفير القرص والجهاز الظاهري والأقراص واللقطات في نفس المنطقة والاشتراك حتى ينجح النشر.

  3. حدد +إنشاء لإنشاء مخزن مفاتيح جديد.

  4. إنشاء مجموعة موارد جديدة.

  5. أدخل اسم مخزن رئيسي، وحدد منطقة، وحدد طبقة تسعير.

    ملاحظة

    عند إنشاء مثيل Key Vault، يجب تمكين الحماية من الحذف والتطهير الناعمين. يضمن الحذف الناعم أن يحتفظ Key Vault بمفتاح محذوف لفترة احتفاظ معينة (افتراضي لمدة 90 يوما). تضمن حماية التطهير عدم إمكانية حذف المفتاح المحذوف نهائيا حتى تنقضي فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف العرضي. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المدارة.

  6. حدد مراجعة + إنشاء، وتحقق من اختياراتك، ثم حدد إنشاء.

    Screenshot of the Azure Key Vault creation experience. Showing the particular values you create

  7. بمجرد انتهاء نشر المخزن الرئيسي، حدده.

  8. حدد المفاتيح ضمن الإعدادات.

  9. حدد إنشاء/استرداد.

    Screenshot of the Key Vault resource settings pane. Shows the generate/import button inside settings.

  10. اترك كلا من نوع المفتاح مضبوطا على RSA وحجم مفتاح RSA مضبوطا على 2048.

  11. املأ التحديدات المتبقية كما تريد، ثم حدد إنشاء.

    Screenshot of the create a key pane that appears once generate/import button is selected

إضافة دور Azure RBAC

الآن بعد أن قمت بإنشاء مخزن مفاتيح Azure ومفتاح، يجب عليك إضافة دور Azure RBAC، حتى تتمكن من استخدام مخزن مفاتيح Azure مع مجموعة تشفير القرص.

  1. حدد التحكم في الوصول (IAM) وأضف دورا.
  2. أضف أدوار مشرف المخزن الرئيسي أو المالك أو المساهم .

إعداد مجموعة تشفير القرص

  1. ابحث عن مجموعات تشفير القرص وحددها.

  2. في جزء مجموعات تشفير القرص ، حدد +إنشاء.

  3. حدد مجموعة الموارد الخاصة بك، وقم بتسمية مجموعة التشفير، وحدد نفس المنطقة مثل مخزن المفاتيح.

  4. بالنسبة لنوع تشفير SSE، حدد التشفير في وضع السكون باستخدام مفتاح يديره العميل.

    ملاحظة

    بمجرد إنشاء مجموعة تشفير قرص بنوع تشفير معين، لا يمكن تغييره. إذا كنت تريد استخدام نوع تشفير مختلف، فيجب عليك إنشاء مجموعة تشفير قرص جديدة.

  5. حدد انقر لتحديد مفتاح.

  6. حدد مخزن المفاتيح والمفتاح الذي أنشأته مسبقا والإصدار.

  7. اضغط على تحديد.

  8. إذا كنت تريد تمكين التدوير التلقائي للمفاتيح المدارة من قبل العميل، فحدد التدوير التلقائي للمفاتيح.

  9. حدد ⁧⁩Review + Create⁧⁩، ثم ⁧⁩Create⁧⁩.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  10. انتقل إلى مجموعة تشفير القرص بمجرد نشرها، وحدد التنبيه المعروض.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  11. سيؤدي ذلك إلى منح أذونات المخزن الرئيسي لمجموعة تشفير القرص.

    Screenshot of confirmation that permissions have been granted.

توزيع جهاز ظاهري

الآن بعد أن قمت بإنشاء وإعداد مخزن المفاتيح ومجموعة تشفير القرص، يمكنك نشر جهاز ظاهري باستخدام التشفير. تشبه عملية نشر VM عملية النشر القياسية ، والاختلافات الوحيدة هي أنك تحتاج إلى نشر VM في نفس المنطقة مثل مواردك الأخرى وتختار استخدام مفتاح مدار من قبل العميل.

  1. ابحث عن الأجهزة الظاهرية وحدد + إضافة لإنشاء جهاز ظاهري.

  2. على الشفرة الأساسية ، حدد نفس المنطقة التي توجد بها مجموعة تشفير القرص وAzure Key Vault.

  3. املأ القيم الأخرى على الشفرة الأساسية كما تريد.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. على شفرة الأقراص ، حدد التشفير في وضع السكون باستخدام مفتاح يديره العميل.

  5. حدد مجموعة تشفير القرص في القائمة المنسدلة مجموعة تشفير القرص .

  6. قم بإجراء التحديدات المتبقية كما تريد.

    Screenshot of the VM creation experience, the disks blade. With the disk encryption set drop-down highlighted.

تمكين على قرص موجود

تنبيه

سيتطلب تمكين تشفير القرص على أي أقراص متصلة بجهاز ظاهري إيقاف الجهاز الظاهري.

  1. انتقل إلى جهاز ظاهري موجود في نفس المنطقة مثل إحدى مجموعات تشفير القرص.

  2. افتح الجهاز الظاهري وحدد إيقاف.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. بعد انتهاء إيقاف الجهاز الظاهري، حدد الأقراص ، ثم حدد القرص الذي تريد تشفيره.

    Screenshot of your example VM, with the Disks blade open. The OS disk is highlighted, as an example disk for you to select.

  4. حدد التشفير وحدد التشفير في وضع السكون باستخدام مفتاح يديره العميل، ثم حدد تشفير القرص الذي تم تعيينه في القائمة المنسدلة.

  5. حدد ⁧⁩حفظ⁧⁩.

    Screenshot of your example OS disk. The encryption blade is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault. After making those selections, the save button is selected.

  6. كرر هذه العملية لأي أقراص أخرى متصلة بالجهاز الظاهري الذي ترغب في تشفيره.

  7. عند انتهاء الأقراص من التبديل إلى المفاتيح التي يديرها العميل، إذا لم تكن هناك أقراص مرفقة أخرى ترغب في تشفيرها، فيمكنك بدء تشغيل الجهاز الظاهري.

هام

تعتمد المفاتيح المدارة من قبل العميل على الهويات المدارة لموارد Azure، وهي ميزة من ميزات Azure Active Directory (Azure AD). عند تكوين المفاتيح التي يديرها العميل، يتم تعيين هوية مدارة تلقائيا لمواردك تحت التغطيات. إذا قمت لاحقا بنقل الاشتراك أو مجموعة الموارد أو القرص المدار من دليل Azure AD إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالأقراص المدارة إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح المدارة من قبل العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Azure AD.

تمكين التدوير التلقائي للمفاتيح على مجموعة تشفير قرص موجودة

  1. انتقل إلى مجموعة تشفير القرص التي تريد تمكين التدوير التلقائي للمفاتيح عليها.
  2. ضمن الإعدادات، حدد مفتاح.
  3. حدد التدوير التلقائي للمفتاح وحدد حفظ.

الخطوات التالية