Sdílet prostřednictvím


Šifrování disků pomocí klíčů spravovaných zákazníkem v Azure DevTest Labs

Šifrování na straně serveru (SSE) chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Služba SSE automaticky šifruje neaktivní uložená data na spravovaných discích v Azure (disky s operačním systémem a datovými disky) při zachování do cloudu. Přečtěte si další informace o službě Disk Encryption v Azure.

V devTest Labs se všechny disky s operačním systémem a datové disky vytvořené v rámci testovacího prostředí šifrují pomocí klíčů spravovaných platformou. Jako vlastník testovacího prostředí se ale můžete rozhodnout šifrovat disky virtuálních počítačů testovacího prostředí pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování dat na discích testovacího prostředí. Další informace o šifrování na straně serveru (SSE) s klíči spravovanými zákazníkem a dalších typech šifrování spravovaných disků najdete v tématu Klíče spravované zákazníkem. Podívejte se také na omezení použití klíčů spravovaných zákazníkem.

Poznámka:

  • Nastavení platí pro nově vytvořené disky v testovacím prostředí. Pokud se rozhodnete v určitém okamžiku změnit nastavení šifrování disku, starší disky v testovacím prostředí zůstanou zašifrované pomocí předchozí sady šifrování disku.

Následující část ukazuje, jak může vlastník testovacího prostředí nastavit šifrování pomocí klíče spravovaného zákazníkem.

Požadavky

  1. Pokud nemáte nastavené šifrování disku, nastavte službu Key Vault a sadu šifrování disků podle tohoto článku. Všimněte si následujících požadavků pro sadu šifrování disků:

    • Sada šifrování disků musí být ve stejné oblasti a předplatném jako vaše testovací prostředí.
    • Ujistěte se, že máte alespoň přístup na úrovni čtenáře k sadě šifrování disků, která se použije k šifrování disků testovacího prostředí.
  2. U testovacích prostředí vytvořených před 1. 8. 2020 bude vlastník testovacího prostředí muset zajistit, aby byla povolena identita přiřazená systémem testovacího prostředí. Vlastník testovacího prostředí tak může přejít do testovacího prostředí, kliknout na Konfigurace a zásady, kliknout na okno Identita (Preview), změnit stav identity přiřazené systémem na Zapnuto a kliknout na Uložit. Pro nová testovací prostředí vytvořená po 1. 8. 2020 bude ve výchozím nastavení povolená identita přiřazená systémem testovacího prostředí.

    Spravované klíče

  3. Aby testovací prostředí zvládlo šifrování pro všechny disky testovacího prostředí, musí vlastník testovacího prostředí explicitně udělit roli čtenáře identity přiřazené systémem v sadě šifrování disku a také roli přispěvatele virtuálních počítačů v podkladovém předplatném Azure. Vlastník testovacího prostředí to může provést provedením následujících kroků:

    1. Ujistěte se, že jste členem role Správce uživatelských přístupů na úrovni předplatného Azure, abyste mohli spravovat přístup uživatelů k prostředkům Azure.

    2. Na stránce Sada šifrování disku přiřaďte alespoň roli Čtenář názvu testovacího prostředí, pro který se použije sada šifrování disku.

      Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

    3. Na webu Azure Portal přejděte na stránku Předplatné .

    4. Přiřaďte roli Přispěvatel virtuálních počítačů k názvu testovacího prostředí (identita přiřazená systémem pro testovací prostředí).

Šifrování disků testovacího operačního systému pomocí klíče spravovaného zákazníkem

  1. Na domovské stránce testovacího prostředí na webu Azure Portal vyberte v nabídce vlevo konfiguraci a zásady .

  2. Na stránce Konfigurace a zásady vyberte Disky (Preview) v části Šifrování. Ve výchozím nastavení je typ šifrování nastavený na Šifrování neaktivních uložených dat pomocí spravovaného klíče platformy.

    Karta Disky na stránce Konfigurace a zásady

  3. Jako typ šifrování vyberte v rozevíracím seznamu Šifrování neaktivní uložený klíč se spravovaným zákazníkem.

  4. V případě sady šifrování disků vyberte sadu šifrování disku, kterou jste vytvořili dříve. Je to stejná sada šifrování disků, ke které má přístup identita přiřazená systémem testovacího prostředí.

  5. Na panelu nástrojů vyberte Uložit.

    Povolení šifrování pomocí klíče spravovaného zákazníkem

  6. V poli zprávy s následujícím textem: Toto nastavení se použije u nově vytvořených počítačů v testovacím prostředí. Starý disk s operačním systémem zůstane zašifrovaný pomocí staré sady šifrování disku, vyberte OK.

    Po nakonfigurování se disky testovacího prostředí zašifrují pomocí klíče spravovaného zákazníkem poskytnutého pomocí sady šifrování disku.

Jak ověřit, jestli se disky šifrují

  1. Přejděte na virtuální počítač testovacího prostředí vytvořený po povolení šifrování disků pomocí klíče spravovaného zákazníkem v testovacím prostředí.

    Virtuální počítač s povoleným šifrováním disků

  2. Klikněte na skupinu prostředků virtuálního počítače a klikněte na disk s operačním systémem.

    VM resource group

  3. Přejděte na Šifrování a ověřte, jestli je šifrování nastavené na klíč spravovaný zákazníkem s vybranou sadou šifrování disků.

    Ověření šifrování

Podívejte se na následující články: