Povolení šifrování disků pro uzly spravovaného clusteru Service Fabric

Spravované clustery Service Fabric podporují dvě možnosti šifrování disků, které pomáhají chránit vaše data, aby splňovaly závazky organizace týkající se zabezpečení a dodržování předpisů. Doporučená možnost je Šifrování na hostiteli, ale podporuje také Službu Azure Disk Encryption. Zkontrolujte možnosti šifrování disku a ujistěte se, že vybraná možnost vyhovuje vašim potřebám.

Povolení šifrování na hostiteli

Tato metoda šifrování vylepšuje službu Azure Disk Encryption tím, že podporuje všechny typy a image operačního systému, včetně vlastních imagí, pro vaše virtuální počítače šifrováním dat ve službě Azure Storage. Tato metoda nepoužívá procesor virtuálních počítačů ani nemá vliv na výkon virtuálních počítačů, který umožňuje úlohám používat všechny dostupné prostředky skladové položky virtuálních počítačů.

Poznámka:

U existujících typů uzlů není možné povolit. Musíte zřídit nový typ uzlu a migrovat úlohu.

Poznámka:

Stav šifrování disku služby Azure Security Center se v tuto chvíli při použití šifrování na hostiteli zobrazí jako není v pořádku.

Pomocí těchto kroků a odkazem na tuto ukázkovou šablonu nasaďte nový spravovaný cluster Service Fabric s povoleným šifrováním hostitele.

1. Zkontrolujte následující omezení a ověřte, že splňují vaše požadavky.

2. Nastavte požadované požadavky před nasazením clusteru.

3. enableEncryptionAtHost Nakonfigurujte vlastnost v šabloně spravovaného clusteru pro každé šifrování disku typu uzlu. Ukázka je předem nakonfigurovaná.

   • Rozhraní API prostředku spravovaného clusteru Service Fabric musí být verze 2021-11-01-preview nebo novější.

        {
               "apiVersion": "[variables('sfApiVersion')]",
               "type": "Microsoft.ServiceFabric/managedclusters/nodetypes",
               "name": "[concat(parameters('clusterName'), '/', parameters('nodeTypeName'))]",
               "location": "[resourcegroup().location]",
               "properties": {
                   "enableEncryptionAtHost": true
                   ...
               }
       }
   

4. Nasazení a ověření

   Nasaďte spravovaný cluster nakonfigurovaný s povoleným šifrováním hostitele.

   $clusterName = "<clustername>" 
   $resourceGroupName = "<rg-name>"
   
   New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose 
   

   Pomocí příkazu můžete zkontrolovat stav šifrování disku v podkladové škálovací sadě Get-AzVmss typu uzlu. Nejprve budete muset najít název podpůrné skupiny prostředků spravovaného clusteru (obsahující základní virtuální síť, nástroj pro vyrovnávání zatížení, veřejnou IP adresu, skupinu zabezpečení sítě, škálovací sady a účty úložiště). Nezapomeňte změnit NodeTypeNAme název libovolného typu uzlu clusteru, který chcete zkontrolovat (jak je uvedeno v šabloně nasazení).

   $NodeTypeName = "NT2"
   $clustername = <clustername>
   $resourceGroupName = "<rg-name>"
   $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId
   $VMSS = Get-AzVmss -ResourceGroupName $supportResourceGroupName -Name $NodeTypeName
   $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
   

   Návratový výstup by se měl podobat tomuto:

   $VMSS.VirtualMachineProfile.SecurityProfile.EncryptionAtHost
   True
   

Povolení služby Azure Disk Encryption

Azure Disk Encryption poskytuje šifrování svazků pro virtuální počítače Azure a datové disky virtuálních počítačů Azure pomocí funkce DM-Crypt v Linuxu nebo funkce BitLockeru pro Windows. Služba ADE je integrovaná se službou Azure Key Vault, která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disku.

V této příručce se dozvíte, jak povolit šifrování disků na uzlech clusteru spravovaném Service Fabric ve Windows pomocí funkce Azure Disk Encryption pro škálovací sady virtuálních počítačů prostřednictvím šablon Azure Resource Manageru (ARM).

1. Registrace služby Azure Disk Encryption

   Šifrování disku ve verzi Preview pro škálovací sadu virtuálních počítačů vyžaduje samoobslužnou registraci. Spusťte následující příkaz:

   Register-AzProviderFeature -FeatureName "UnifiedDiskEncryption" -ProviderNamespace "Microsoft.Compute"
   

   Spuštěním následujícího příkazu zkontrolujte stav registrace:

   Get-AzProviderFeature -ProviderNamespace "Microsoft.Compute" -FeatureName "UnifiedDiskEncryption"
   

   Jakmile se stav změní na Registrované, můžete pokračovat.

2. Zřízení služby Key Vault pro šifrování disků

   Azure Disk Encryption vyžaduje, aby služba Azure Key Vault řídila a spravuje šifrovací klíče a tajné kódy disků. Váš cluster key Vault a Service Fabric se musí nacházet ve stejné oblasti a předplatném Azure. Pokud jsou tyto požadavky splněné, můžete k šifrování disků použít buď nový, nebo existující trezor klíčů Key Vault.

3. Vytvoření služby Key Vault s povoleným šifrováním disků

   Spuštěním následujících příkazů vytvořte novou službu Key Vault pro šifrování disků. Ujistěte se, že je oblast služby Key Vault ve stejné oblasti jako váš cluster.

   PowerShell

   $resourceGroupName = "<rg-name>" 
   $keyvaultName = "<kv-name>" 
   
   New-AzResourceGroup -Name $resourceGroupName -Location eastus2 
   New-AzKeyVault -ResourceGroupName $resourceGroupName -Name $keyvaultName -Location eastus2 -EnabledForDiskEncryption
   

   Azure CLI

   $resourceGroupName = "<rg-name>" 
   $keyvaultName = "<kv-name>" 
   
   az keyvault create --resource-group $resourceGroupName --name $keyvaultName --enabled-for-disk-encryption
   

---

4. Aktualizace existující služby Key Vault za účelem povolení šifrování disků

   Spuštěním následujících příkazů povolte šifrování disků pro existující službu Key Vault.

   PowerShell

   Set-AzKeyVaultAccessPolicy -ResourceGroupName $resourceGroupName -VaultName $keyvaultName -EnabledForDiskEncryption
   

   Azure CLI

   az keyvault update --name keyvaultName --enabled-for-disk-encryption 
   

---

Aktualizace šablony a souborů parametrů pro šifrování disků

Následující krok vás provede požadovanými změnami šablony pro povolení šifrování disků v existujícím spravovaném clusteru. Alternativně můžete nasadit nový spravovaný cluster Service Fabric s povoleným šifrováním disků pomocí této šablony: https://github.com/Azure-Samples/service-fabric-cluster-templates/tree/master/SF-Managed-Standard-SKU-1-NT-DiskEncryption

1. Do šablony přidejte následující parametry, nahraďte vlastní předplatné, název skupiny prostředků a název trezoru v části keyVaultResourceId:

   "parameters": {
    "keyVaultResourceId": { 
      "type": "string", 
      "defaultValue": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>", 
      "metadata": { 
      "description": "Full resource id of the Key Vault used for disk encryption." 
   } 
    },
    "volumeType": { 
     "type": "string", 
     "defaultValue": "All", 
     "metadata": { 
      "description": "Type of the volume OS or Data to perform encryption operation" 
   }
   }
   }, 
   

2. Dále přidejte AzureDiskEncryption rozšíření virtuálního počítače do typů uzlů spravovaného clusteru v šabloně:

   "properties": { 
   "vmExtensions": [ 
   { 
   "name": "AzureDiskEncryption", 
   "properties": { 
     "publisher": "Microsoft.Azure.Security", 
     "type": "AzureDiskEncryption", 
     "typeHandlerVersion": "2.2", 
     "autoUpgradeMinorVersion": true, 
     "settings": {      
           "EncryptionOperation": "EnableEncryption", 
           "KeyVaultURL": "[reference(parameters('keyVaultResourceId'),'2016-10-01').vaultUri]", 
        "KeyVaultResourceId": "[parameters('keyVaultResourceID')]",
        "VolumeType": "[parameters('volumeType')]" 
        } 
      } 
   } 
   ] 
   } 
   

3. Nakonec aktualizujte soubor parametrů a nahraďte vlastní předplatné, skupinu prostředků a název trezoru klíčů v keyVaultResourceId:

   "parameters": { 
   ...
    "keyVaultResourceId": { 
     "value": "/subscriptions/########-####-####-####-############/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<kv-name>" 
    },   
    "volumeType": { 
     "value": "All" 
    }    
   } 
   

4. Nasazení a ověření změn

   Jakmile budete připraveni, nasaďte změny, které povolí šifrování disků ve spravovaném clusteru.

   $clusterName = "<clustername>" 
   
   New-AzResourceGroupDeployment -Name $resourceGroupName -ResourceGroupName $resourceGroupName .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug -Verbose 
   

   Pomocí příkazu můžete zkontrolovat stav šifrování disku v podkladové škálovací sadě Get-AzVmssDiskEncryption typu uzlu. Nejprve budete muset najít název podpůrné skupiny prostředků spravovaného clusteru (obsahující základní virtuální síť, nástroj pro vyrovnávání zatížení, veřejnou IP adresu, skupinu zabezpečení sítě, škálovací sady a účty úložiště). Nezapomeňte změnit VmssName název libovolného typu uzlu clusteru, který chcete zkontrolovat (jak je uvedeno v šabloně nasazení).

   $VmssName = "NT1"
   $clustername = <clustername>
   $supportResourceGroupName = "SFC_" + (Get-AzServiceFabricManagedCluster -ResourceGroupName $resourceGroupName -Name $clustername).ClusterId
   Get-AzVmssDiskEncryption -ResourceGroupName $supportResourceGroupName -VMScaleSetName $VmssName
   

   Výstup by se měl podobat tomuto:

   ResourceGroupName            : SFC_########-####-####-####-############
   VmScaleSetName               : NT1
   EncryptionEnabled            : True
   EncryptionExtensionInstalled : True
   

Další kroky

Ukázka: Spravovaný cluster Service Fabric úrovně Standard, jeden typ uzlu s povoleným šifrováním disku

Azure Disk Encryption pro virtuální počítače s Windows

Šifrování škálovacích sad virtuálních počítačů pomocí Azure Resource Manageru