Bestaande VM-schijven versleutelen

  • 10 minuten

Stel dat uw bedrijf heeft besloten om Azure Disk Encryption (ADE) op alle VM’s te implementeren. U moet evalueren hoe u de versleuteling naar bestaande VM-volumes moet uitrollen. We kijken hier naar de eisen voor ADE en de stappen die nodig zijn om schijven op bestaande Linux- en Windows-VM's te versleutelen. In de volgende les doorloopt u het proces van het versleutelen van bestaande VM-schijven.

Vereisten voor Azure Disk Encryption

Voordat u uw VM-schijven kunt versleutelen, moet u:

  1. Een sleutelkluis maken.
  2. Stel het toegangsbeleid voor de sleutelkluis in voor de ondersteuning voor schijfversleuteling.
  3. Gebruik de sleutelkluis voor het opslaan van de versleutelingssleutels voor ADE.

Azure Key Vault

De versleutelingssleutels die ADE gebruikt, kunnen worden opgeslagen in Azure Key Vault. Azure Key Vault is een hulpprogramma om geheimen veilig op te slaan en te openen. Een geheim is alles waarvoor u de toegang strikt wilt beheren, zoals API-sleutels, wachtwoorden of certificaten. Dit biedt uiterst beschikbare en schaalbare beveiligde opslag, zoals gedefinieerd in Federal Information Processing Standard (FIPS) 140-2 Level 2-gevalideerde Hardware Security Modules (HSM). Met Key Vault houdt u volledige controle over de sleutels die worden gebruikt om uw gegevens te versleutelen en kunt u uw sleutelgebruik beheren en controleren.

Notitie

Azure Disk Encryption vereist dat uw sleutelkluis en VM's zich in dezelfde Azure-regio bevinden; dit garandeert dat de versleutelingsgeheimen geen regionale grenzen overschrijden.

U kunt uw sleutelkluis configureren en beheren met:

PowerShell

New-AzKeyVault -Location <location> `
    -ResourceGroupName <resource-group> `
    -VaultName "myKeyVault" `
    -EnabledForDiskEncryption

Azure-CLI

az keyvault create \
    --name "myKeyVault" \
    --resource-group <resource-group> \
    --location <location> \
    --enabled-for-disk-encryption True

Azure Portal

Een Azure Key Vault is een resource die u in Azure Portal kunt maken met behulp van het normale proces voor het maken van resources.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Zoek en selecteer Key Vault in het zoekvak. Het deelvenster Key Vault wordt weergegeven.

  3. Selecteer Maken. Het deelvenster Een sleutelkluis maken wordt weergegeven.

  4. Voer op het tabblad Basisinformatie de volgende waarden in voor elke instelling.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer het abonnement waarin u de sleutelkluis wilt plaatsen (standaard ingesteld op uw huidige abonnement)
    Resourcegroep Selecteer een bestaande resourcegroep of maak een nieuwe om eigenaar te zijn van de sleutelkluis
    Exemplaardetails
    Naam van sleutelkluis Voer een naam in voor uw sleutelkluis
    Regio Selecteer de regio waarin de VM zich bevindt
    Prijscategorie Standard. U kunt Standard of Premium selecteren voor de prijscategorie. Het belangrijkste verschil is dat de Premium-laag hardwareversleutelingssleutels toestaat

    Screenshot showing Key vault pane.

  5. Selecteer Volgende om naar het tabblad Access-configuratie te gaan. U moet het toegangsbeleid wijzigen om Schijfversleuteling te ondersteunen. Standaard wordt uw account toegevoegd aan het beleid.

  6. Voer op het tabblad Access-configuratie de volgende waarde in voor de instelling.

    Instelling Weergegeven als
    Toegang tot resources Schakel het selectievakje voor Azure Disk Encryption in voor volumeversleuteling. U kunt uw account desgewenst verwijderen, omdat dit niet nodig is als u alleen de sleutelkluis wilt gebruiken voor schijfversleuteling.

  7. Selecteer Controleren + maken.

  8. Nadat de validatie is geslaagd, selecteert u Maken om de nieuwe Sleutelkluis te maken.

Toegangsbeleid inschakelen in de sleutelkluis

U moet Azure ook toegang tot de versleutelingssleutels of geheimen in uw sleutelkluis geven, zodat deze beschikbaar zijn voor de VM voor het opstarten en ontsleutelen van de volumes. U hebt dit in de voorgaande stappen gedaan toen u het toegangsbeleid hebt gewijzigd.

Er zijn drie beleidsregels die u kunt inschakelen:

  • Schijfversleuteling: vereist voor Azure Disk Encryption.
  • Implementatie: (Optioneel) Hiermee kan de Microsoft.Compute-resourceprovider geheimen ophalen uit deze sleutelkluis wanneer naar deze sleutelkluis wordt verwezen bij het maken van resources, bijvoorbeeld bij het maken van een VIRTUELE machine.
  • Sjabloonimplementatie: (optioneel) Hiermee kan Azure Resource Manager geheimen ophalen uit deze sleutelkluis wanneer naar deze sleutelkluis wordt verwezen in een sjabloonimplementatie.

Hier volgt hoe u het schijfversleutelingsbeleid inschakelt. De andere twee beleidsregels zijn vergelijkbaar, maar gebruiken verschillende vlaggen.

Set-AzKeyVaultAccessPolicy -VaultName <keyvault-name> -ResourceGroupName <resource-group> -EnabledForDiskEncryption

az keyvault update --name <keyvault-name> --resource-group <resource-group> --enabled-for-disk-encryption true

Een bestaande VM-schijf versleutelen

Nadat u de sleutelkluis hebt ingesteld, kunt u de VIRTUELE machine versleutelen met behulp van Azure CLI of Azure PowerShell. De eerste keer dat u een virtuele Windows-machine versleutelt, kunt u ervoor kiezen om alle schijven te versleutelen of alleen de besturingssysteemschijf. Op sommige Linux-distributies kunnen alleen de gegevensschijven worden versleuteld. Als u in aanmerking wilt komen voor versleuteling, moeten uw Windows-schijven zijn geformatteerd als NTFS-volumes.

Waarschuwing

Voordat u de versleuteling kunt inschakelen, moet u een momentopname of een back-up van beheerde schijven maken. Met de volgende SkipVmBackup vlag wordt het hulpprogramma geïnformeerd dat de back-up is voltooid op beheerde schijven. Zonder de back-up kunt u de VIRTUELE machine niet herstellen als de versleuteling om een of andere reden mislukt.

Als u versleuteling wilt inschakelen met behulp van PowerShell, voert u de Set-AzVmDiskEncryptionExtension cmdlet uit.


Set-AzVmDiskEncryptionExtension `
    -ResourceGroupName <resource-group> `
    -VMName <vm-name> `
    -VolumeType [All | OS | Data]
    -DiskEncryptionKeyVaultId <keyVault.ResourceId> `
    -DiskEncryptionKeyVaultUrl <keyVault.VaultUri> `
     -SkipVmBackup

Als u versleuteling wilt inschakelen met behulp van de Azure CLI, voert u de az vm encryption enable opdracht uit en geeft u het volume op dat u wilt versleutelen met behulp van de --volume-type [all | os | data] parameter. Hier volgt een voorbeeld van het versleutelen van alle volumes voor een virtuele machine:

az vm encryption enable \
    --resource-group <resource-group> \
    --name <vm-name> \
    --disk-encryption-keyvault <keyvault-name> \
    --volume-type all

Status van schijf weergeven

U kunt controleren of specifieke schijven zijn versleuteld.

Get-AzVmDiskEncryptionStatus  -ResourceGroupName <resource-group> -VMName <vm-name>

az vm encryption show --resource-group <resource-group> --name <vm-name>

Deze opdrachten retourneren beide de status van elke schijf die aan de opgegeven virtuele machine is gekoppeld.

Stations ontsleutelen

Als u de versleuteling wilt omkeren via PowerShell, voert u de Disable-AzVMDiskEncryption cmdlet uit.

Disable-AzVMDiskEncryption -ResourceGroupName <resource-group> -VMName <vm-name>

Voor de Azure CLI voert u de opdracht vm encryption disable uit.

az vm encryption disable --resource-group <resource-group> --name <vm-name>

Met deze opdrachten wordt versleuteling voor volumes van het type alle voor de opgegeven VM uitgeschakeld. Net als bij de versleutelingsversie kunt u een -VolumeType parameter [All | OS | Data]opgeven om te bepalen welke schijven moeten worden ontsleuteld. Dit wordt standaard All als u niets opgeeft.

Waarschuwing

Het uitschakelen van gegevensschijfversleuteling voor de Windows-VM wanneer zowel de besturingssysteem als gegevensschijven zijn versleuteld, werkt niet zoals verwacht. In plaats daarvan moet u versleuteling op alle schijven uitschakelen.

In de volgend oefening gaat u een aantal van deze opdrachten uitproberen op een nieuwe virtuele machine.