Condividi tramite

Crittografare i dischi usando chiavi gestite dal cliente in Azure DevTest Labs

  • Articolo

La crittografia lato server (SSE) protegge i dati e consente di soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. La crittografia del servizio di archiviazione crittografa automaticamente i dati archiviati in dischi gestiti in Azure (sistema operativo e dischi dati) inattivi per impostazione predefinita quando vengono salvati in modo permanente nel cloud. Altre informazioni su Crittografia dischi in Azure.

All'interno di DevTest Labs, tutti i dischi del sistema operativo e i dischi dati creati come parte di un lab vengono crittografati usando chiavi gestite dalla piattaforma. In qualità di proprietario del lab, tuttavia, è possibile scegliere di crittografare i dischi delle macchine virtuali del lab usando le proprie chiavi. Se si sceglie di gestire la crittografia con le proprie chiavi, è possibile specificare una chiave gestita dal cliente da usare per crittografare i dati nei dischi lab. Per altre informazioni sulla crittografia lato server con chiavi gestite dal cliente e altri tipi di crittografia dischi gestiti dal cliente, vedere Chiavi gestite dal cliente. Vedere anche restrizioni con l'uso delle chiavi gestite dal cliente.

Nota

  • L'impostazione si applica ai dischi appena creati nel lab. Se si sceglie di modificare il set di crittografia del disco a un certo punto, i dischi meno recenti nel lab continueranno a rimanere crittografati usando il set di crittografia del disco precedente.

La sezione seguente illustra come un proprietario del lab può configurare la crittografia usando una chiave gestita dal cliente.

Prerequisiti

  1. Se non si dispone di un set di crittografia del disco, seguire questo articolo per configurare un Key Vault e un set di crittografia dischi. Si notino i requisiti seguenti per il set di crittografia del disco:

    • Il set di crittografia del disco deve trovarsi nella stessa area e nella stessa sottoscrizione del lab.
    • Assicurarsi che il proprietario del lab disponga almeno di un accesso a livello di lettore al set di crittografia del disco che verrà usato per crittografare i dischi lab.

  2. Per i lab creati prima dell'1/8/2020, il proprietario del lab dovrà assicurarsi che l'identità assegnata dal sistema lab sia abilitata. A tale scopo, il proprietario del lab può passare al lab, fare clic su Configurazione e criteri, fare clic sul pannello Identità (anteprima), modificare Stato identità assegnata dal sistema su e fare clic su Salva. Per i nuovi lab creati dopo l'1/08/2020, l'identità assegnata dal sistema del lab verrà abilitata per impostazione predefinita.

    Chiavi gestite

  3. Affinché il lab gestisca la crittografia per tutti i dischi del lab, il proprietario del lab deve concedere in modo esplicito il ruolo di lettore di identità assegnato dal lab nel set di crittografia dischi, nonché il ruolo collaboratore macchina virtuale nella sottoscrizione di Azure sottostante. Il proprietario del lab può eseguire questa operazione completando i passaggi seguenti:

    1. Assicurarsi di essere membri del ruolo Amministratore accesso utenti a livello di sottoscrizione di Azure in modo da poter gestire l'accesso utente alle risorse di Azure.

    2. Nella pagina Set di crittografia dischi assegnare almeno il ruolo Lettore al nome del lab per il quale verrà usato il set di crittografia del disco.

      Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

    3. Passare alla pagina Sottoscrizione nel portale di Azure.

    4. Assegnare il ruolo Collaboratore macchina virtuale al nome del lab (identità assegnata dal sistema per il lab).

Crittografare i dischi del sistema operativo lab con una chiave gestita dal cliente

  1. Nella home page del lab nel portale di Azure selezionare Configurazione e criteri nel menu a sinistra.

  2. Nella pagina Configurazione e criteri selezionare Dischi (anteprima) nella sezione Crittografia . Per impostazione predefinita, il tipo di crittografia è impostato su Crittografia dei dati inattivi con una chiave gestita dalla piattaforma.

    Scheda Dischi della pagina Configurazione e criteri

  3. Per Tipo di crittografia selezionare Crittografia dei dati inattivi con una chiave gestita dal cliente dall'elenco a discesa.

  4. Per Set di crittografia del disco selezionare il set di crittografia del disco creato in precedenza. È lo stesso set di crittografia del disco a cui può accedere l'identità assegnata dal sistema del lab.

  5. Sulla barra degli strumenti selezionare Salva.

    Abilitare la crittografia con la chiave gestita dal cliente

  6. Nella finestra di messaggio con il testo seguente: questa impostazione verrà applicata ai computer appena creati nel lab. Il disco del sistema operativo precedente rimarrà crittografato con il set di crittografia del disco precedente, selezionare OK.

    Una volta configurati, i dischi lab verranno crittografati con la chiave gestita dal cliente fornita usando il set di crittografia del disco.

Come convalidare se i dischi vengono crittografati

  1. Passare a una macchina virtuale lab creata dopo aver abilitato la crittografia del disco con una chiave gestita dal cliente nel lab.

    Macchina virtuale con crittografia del disco abilitata

  2. Fare clic sul gruppo di risorse della macchina virtuale e fare clic sul disco del sistema operativo.

    Gruppo di risorse della macchina virtuale

  3. Passare a Crittografia e verificare se la crittografia è impostata sulla chiave gestita dal cliente con il set di crittografia dischi selezionato.

    Convalidare la crittografia

Passaggi successivi

Vedere gli articoli seguenti: