Azure Disk Encryption pour Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

Vue d’ensemble

Azure Disk Encryption tire profit du sous-système dm-crypt de Linux pour fournir un chiffrement de disque complet sur une sélection de distributions Linux Azure. Cette solution est intégrée à Azure Key Vault pour gérer les secrets et clés de chiffrement de disque.

Prérequis

Pour obtenir la liste complète des conditions préalables requises, consultez Azure Disk Encryption pour les machines virtuelles Linux, en particulier les sections suivantes :

• Machines virtuelles et systèmes d’exploitation pris en charge
• Configuration requise supplémentaire pour les machines virtuelles
• Exigences réseau
• Exigences liées au stockage des clés de chiffrement

Schéma de l’extension

Il existe deux versions du schéma d’extension pour Azure Disk Encryption (ADE) :

• v1.1 : un schéma recommandé plus récent qui n’utilise pas les propriétés Microsoft Entra.
• v0.1 : un schéma plus ancien qui nécessite les propriétés Microsoft Entra.

Pour pouvoir sélectionner un schéma cible, vous devez définir la propriété typeHandlerVersion sur la version du schéma que vous souhaitez utiliser.

Schéma v1.1 :pas de Microsoft Entra ID (recommandé)

Le schéma v1.1 est recommandé et ne nécessite pas de propriétés Microsoft Entra.

Remarque

Le paramètre DiskFormatQuery est déconseillé. Sa fonctionnalité a été remplacée par l’option EncryptFormatAll, qui est la méthode recommandée pour formater les disques de données au moment du chiffrement.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schéma v0.1 : avec Microsoft Entra ID

Le schéma 0.1 exige AADClientID et AADClientSecret ou AADClientCertificate.

Utilisation de AADClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Utilisation de AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Valeurs de propriétés

Remarque : toutes les valeurs de propriété respectent la casse.

Nom	Valeur/Exemple	Type de données
apiVersion	2019-07-01	Date
publisher	Microsoft.Azure.Security	string
type	AzureDiskEncryptionForLinux	string
typeHandlerVersion	1.1, 0.1	int
(schéma 0.1) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(schéma 0.1) AADClientSecret	mot de passe	string
(schéma 0.1) AADClientCertificate	thumbprint	string
(facultatif) (schéma 0.1) Passphrase	mot de passe	string
DiskFormatQuery	{"dev_path":"","name":"","file_system":""}	Dictionnaire JSON
EncryptionOperation	EnableEncryption, EnableEncryptionFormatAll	string
(facultatif – par défaut, RSA-OAEP) KeyEncryptionAlgorithm	« RSA-OAEP », « RSA-OAEP-256 », « RSA1_5 »	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(facultatif) KeyEncryptionKeyURL	url	string
(facultatif) KekVaultResourceId	url	string
(facultatif) SequenceVersion	UNIQUEIDENTIFIER	string
VolumeType	Système d’exploitation, données, tout	string

Déploiement de modèle

Pour un exemple de déploiement de modèle basé sur le schéma v1.1, consultez le modèle de démarrage rapide Azure encrypt-running-linux-vm-without-aad.

Pour un exemple de déploiement de modèle basé sur le schéma v0.1, consultez le modèle de démarrage rapide Azure encrypt-running-linux-vm.

Avertissement

• Si vous avez déjà utilisé Azure Disk Encryption avec Microsoft Entra ID pour chiffrer une machine virtuelle, vous devez continuer à utiliser cette option pour chiffrer votre machine virtuelle.
• Lors du chiffrement de volumes de système d’exploitation Linux, la machine virtuelle ne devrait pas être disponible. Nous vous recommandons vivement d'éviter les connexions SSH pendant le chiffrement afin d'éviter tout problème risquant de bloquer les fichiers ouverts qui devront être accessibles pendant le processus de chiffrement. Pour vérifier la progression, utilisez la cmdlet PowerShell Get-AzVMDiskEncryptionStatus ou la commande CLI vm encryption show. Ce processus peut prendre quelques heures pour un volume de système d’exploitation de 30 Go, et du temps supplémentaire pour le chiffrement des volumes de données. Le temps de chiffrement du volume de données est proportionnel à la taille et à la quantité des volumes de données. L’option encrypt format all est plus rapide que le chiffrement sur place, mais entraîne la perte de toutes les données sur les disques.
• La désactivation du chiffrement sur les machines virtuelles Linux est prise en charge seulement pour les volumes de données. Elle n’est pas prise en charge sur les volumes de données ou de système d’exploitation si le volume du système d’exploitation a été chiffré.

Notes

Par ailleurs, si le paramètre VolumeType a la valeur All, les disques de données ne sont chiffrés que s’ils sont correctement montés.

Dépannage et support technique

Dépanner

Pour la résolution des problèmes, reportez-vous au guide de dépannage Azure Disk Encryption.

Support

Si vous avez besoin d’une aide supplémentaire à quelque étape que ce soit dans cet article, vous pouvez contacter les experts Azure sur les forums MSDN Azure et Stack Overflow.

Vous pouvez également signaler un incident au support Azure. Accédez à Support Azure, puis sélectionnez Obtenir de l’aide. Pour plus d’informations sur l’utilisation du support Azure, lisez la FAQ du support Microsoft Azure.

Étapes suivantes

• Pour plus d’informations sur les extensions de machine virtuelle, consultez la page Extensions et fonctionnalités de machine virtuelle pour Linux.
• Pour plus d’informations sur Azure Disk Encryption pour Linux, consultez Machines virtuelles Linux.