استخدام مدخل Azure لتمكين التشفير من طرف إلى طرف باستخدام التشفير في المضيف

  • مقالة
  • قراءة خلال 5 دقائق

ينطبق على: ✔️ أجهزة لينكس الظاهرية Windows الأجهزة الظاهرية ✔️

عند تمكين التشفير لدى المضيف، يتم تشفير البيانات المخزنة على مضيف جهاز ظاهري للبيانات غي النشطة ويتم تدفقها مشفرة إلى خدمة التخزين. للحصول على معلومات مفاهيمية حول التشفير في المضيف، وأنواع تشفير الأقراص المدارة الأخرى، راجع: التشفير في المضيف - التشفير من طرف إلى طرف لبيانات الجهاز الظاهري.

يتم تشفير الأقراص المؤقتة وأقراص نظام التشغيل سريعة الزوال في حالة السكون باستخدام المفاتيح المدارة من قبل النظام الأساسي عند تمكين التشفير من طرف إلى طرف. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وقرص البيانات في حالة السكون باستخدام المفاتيح التي يديرها العميل أو التي يديرها النظام الأساسي، اعتمادا على ما تحدده كنوع تشفير القرص. على سبيل المثال، إذا تم تشفير قرص باستخدام مفاتيح يديرها العميل، تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح يديرها العميل، وإذا تم تشفير قرص باستخدام مفاتيح مدارة بواسطة النظام الأساسي، تشفير ذاكرة التخزين المؤقت للقرص باستخدام مفاتيح مدارة بواسطة النظام الأساسي.

القيود

  • لا يدعم الأقراص فائقة.
  • لا يمكن تمكينه إذا تم تمكين تشفير قرص Azure (تشفير الضيف الظاهري باستخدام bitlocker/DM-Crypt) على مجموعات مقياس الأجهزة الظاهرية/الجهاز الظاهري.
  • لا يمكن تمكين Azure Disk Encryption على الأقراص التي تم تمكين التشفير في المضيف عليها.
  • يمكن تمكين التشفير على مجموعة مقياس الجهاز الظاهري الحالية. ومع ذلك، يتم تشفير الأجهزة الظاهرية الجديدة التي تم إنشاؤها بعد تمكين التشفير تلقائيا فقط.
  • يجب إلغاء تخصيص الأجهزة الظاهرية الحالية وإعادة تخصيصها من أجل تشفيرها.
  • يدعم أقراص نظام التشغيل سريعة الزوال ولكن فقط مع المفاتيح المدارة من قبل النظام الأساسي.

أحجام الأجهزة الظاهرية المدعمة

أحجام VM القديمة غير مدعومة. يمكنك العثور على قائمة بأحجام الأجهزة الظاهرية المدعومة إما باستخدام وحدة Azure PowerShell النمطية أو Azure CLI.

المتطلبات الأساسية

يجب تمكين الميزة لاشتراكك قبل استخدام خاصية EncryptionAtHost للجهاز الظاهري / VMSS. اتبع الخطوات أدناه لتمكين ميزة اشتراكك:

  1. مدخل Azure: حدد أيقونة Cloud Shell على مدخل Azure:

    Icon to launch the Cloud Shell from the Azure portal

  2. تنفيذ الأمر التالي لتسجيل الميزة لاشتراكك

     Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. تأكد من أن حالة التسجيل مسجلة (تستغرق بضع دقائق) باستخدام الأمر أدناه قبل تجربة الميزة.

     Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

سجل الدخول إلى مدخل Azure باستخدام الارتباط المتوفر.

هام

يجب عليك استخدام الارتباط المتوفر للوصول إلى مدخل Azure. التشفير في المضيف غير مرئي حاليا في مدخل Azure العام بدون استخدام الرابط.

نشر جهاز ظاهري باستخدام مفاتيح مدارة بواسطة النظام الأساسي

  1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩.

  2. ابحث عن الأجهزة الظاهرية وحدد + إضافة لإنشاء جهاز ظاهري.

  3. قم بإنشاء جهاز ظاهري جديد ، وحدد منطقة مناسبة وحجم VM مدعوم.

  4. املأ القيم الأخرى في الجزء " أساسي" كما تريد، ثم انتقل إلى جزء الأقراص .

    Screenshot of the virtual machine creation basics pane, region and V M size are highlighted.

  5. في جزء الأقراص ، حدد التشفير في المضيف.

  6. قم بإجراء التحديدات المتبقية كما تريد.

    Screenshot of the virtual machine creation disks pane, encryption at host highlighted.

  7. قم بإنهاء عملية نشر الجهاز الظاهري ، وقم بإجراء تحديدات تناسب بيئتك.

لقد قمت الآن بنشر جهاز ظاهري مع تمكين التشفير في المضيف ، ويتم تشفير ذاكرة التخزين المؤقت للقرص باستخدام المفاتيح المدارة بواسطة النظام الأساسي.

نشر جهاز ظاهري باستخدام مفاتيح يديرها العميل

بدلا من ذلك، يمكنك استخدام المفاتيح التي يديرها العميل لتشفير ذاكرة التخزين المؤقت للقرص.

إنشاء مخزن مفاتيح Azure ومجموعة تشفير القرص

بمجرد تمكين الميزة، ستحتاج إلى إعداد Azure Key Vault ومجموعة تشفير القرص، إذا لم تكن قد قمت بذلك بالفعل.

سيتطلب منك إعداد المفاتيح المدارة من قبل العميل لأقراصك إنشاء موارد بترتيب معين، إذا كنت تقوم بذلك لأول مرة. أولا، ستحتاج إلى إنشاء مخزن مفاتيح Azure وإعداده.

إعداد Azure Key Vault الخاص بك

  1. «تسجيل الدخول» إلى ⁧⁩مدخل Azure⁧⁩.

  2. ابحث عن الخزائن الرئيسية وحددها.

    Screenshot of the Azure portal with the search dialog box expanded.

    هام

    يجب أن يكون كل من مخزن مفاتيح Azure ومجموعة تشفير القرص والجهاز الظاهري والأقراص واللقطات في نفس المنطقة والاشتراك حتى ينجح النشر.

  3. حدد +إنشاء لإنشاء مخزن مفاتيح جديد.

  4. إنشاء مجموعة موارد جديدة.

  5. أدخل اسم مخزن رئيسي، وحدد منطقة، وحدد طبقة تسعير.

    ملاحظة

    عند إنشاء مثيل Key Vault، يجب تمكين الحماية من الحذف والتطهير الناعمين. يضمن الحذف الناعم أن يحتفظ Key Vault بمفتاح محذوف لفترة احتفاظ معينة (افتراضي لمدة 90 يوما). تضمن حماية التطهير عدم إمكانية حذف المفتاح المحذوف نهائيا حتى تنقضي فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف العرضي. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المدارة.

  6. حدد مراجعة + إنشاء، وتحقق من اختياراتك، ثم حدد إنشاء.

    Screenshot of the Azure Key Vault creation experience. Showing the particular values you create

  7. بمجرد انتهاء نشر المخزن الرئيسي، حدده.

  8. حدد المفاتيح ضمن الإعدادات.

  9. حدد إنشاء/استرداد.

    Screenshot of the Key Vault resource settings pane. Shows the generate/import button inside settings.

  10. اترك كلا من نوع المفتاح مضبوطا على RSA وحجم مفتاح RSA مضبوطا على 2048.

  11. املأ التحديدات المتبقية كما تريد، ثم حدد إنشاء.

    Screenshot of the create a key pane that appears once generate/import button is selected

إضافة دور Azure RBAC

الآن بعد أن قمت بإنشاء مخزن مفاتيح Azure ومفتاح، يجب عليك إضافة دور Azure RBAC، حتى تتمكن من استخدام مخزن مفاتيح Azure مع مجموعة تشفير القرص.

  1. حدد التحكم في الوصول (IAM) وأضف دورا.
  2. أضف أدوار مشرف المخزن الرئيسي أو المالك أو المساهم .

إعداد مجموعة تشفير القرص

  1. ابحث عن مجموعات تشفير القرص وحددها.

  2. في جزء مجموعات تشفير القرص ، حدد +إنشاء.

  3. حدد مجموعة الموارد الخاصة بك، وقم بتسمية مجموعة التشفير، وحدد نفس المنطقة مثل مخزن المفاتيح.

  4. بالنسبة لنوع تشفير SSE، حدد التشفير في وضع السكون باستخدام مفتاح يديره العميل.

    ملاحظة

    بمجرد إنشاء مجموعة تشفير قرص بنوع تشفير معين، لا يمكن تغييره. إذا كنت تريد استخدام نوع تشفير مختلف، فيجب عليك إنشاء مجموعة تشفير قرص جديدة.

  5. حدد انقر لتحديد مفتاح.

  6. حدد مخزن المفاتيح والمفتاح الذي أنشأته مسبقا والإصدار.

  7. اضغط على تحديد.

  8. إذا كنت تريد تمكين التدوير التلقائي للمفاتيح المدارة من قبل العميل، فحدد التدوير التلقائي للمفاتيح.

  9. حدد ⁧⁩Review + Create⁧⁩، ثم ⁧⁩Create⁧⁩.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  10. انتقل إلى مجموعة تشفير القرص بمجرد نشرها، وحدد التنبيه المعروض.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  11. سيؤدي ذلك إلى منح أذونات المخزن الرئيسي لمجموعة تشفير القرص.

    Screenshot of confirmation that permissions have been granted.

توزيع جهاز ظاهري

الآن بعد أن قمت بإعداد Azure Key Vault ومجموعة تشفير القرص، يمكنك نشر جهاز ظاهري وسيستخدم التشفير في المضيف.

  1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩.

  2. ابحث عن الأجهزة الظاهرية وحدد + إضافة لإنشاء جهاز ظاهري.

  3. قم بإنشاء جهاز ظاهري جديد ، وحدد منطقة مناسبة وحجم VM مدعوم.

  4. املأ القيم الأخرى في الجزء " أساسي" كما تريد، ثم انتقل إلى جزء الأقراص .

    Screenshot of the virtual machine creation basics pane, region and V M size are highlighted.

  5. في جزء الأقراص ، حدد التشفير في حالة السكون للمفتاح المدار من قبل العميللنوع تشفير SSE وحدد مجموعة تشفير القرص.

  6. حدد التشفير في المضيف.

  7. قم بإجراء التحديدات المتبقية كما تريد.

    Screenshot of the virtual machine creation disks pane, encryption at host is highlighted, customer-managed keys selected.

  8. قم بإنهاء عملية نشر الجهاز الظاهري ، وقم بإجراء تحديدات تناسب بيئتك.

لقد قمت الآن بنشر جهاز ظاهري مع تمكين التشفير في المضيف.

تعطيل التشفير المستند إلى المضيف

تأكد من إلغاء تخصيص الجهاز الظاهري أولا ، ولا يمكنك تعطيل التشفير في المضيف ما لم يتم التعامل مع الجهاز الظاهري الخاص بك.

  1. على الجهاز الظاهري، حدد الأقراص، ثم حدد إعدادات إضافية.

    Screenshot of the Disks pane on a VM, Additional Settings is highlighted.

  2. حدد لاللتشفير في المضيف ثم حدد حفظ.

الخطوات التالية

نماذج قالب Azure Resource Manager