Door de klant beheerde sleutelversleuteling at rest configureren in Azure VMware Solution

In dit artikel wordt uitgelegd hoe u VMware vSAN-sleutelversleutelingssleutels (KKS) versleutelt met door de klant beheerde sleutels (CMK's) die worden beheerd door een Azure Key Vault-exemplaar dat eigendom is van de klant.

Wanneer CMK-versleuteling is ingeschakeld in uw Azure VMware Solution-privécloud, gebruikt Azure VMware Solution de CMK uit uw sleutelkluis om de vSAN-KKS te versleutelen. Elke ESXi-host die deelneemt aan het vSAN-cluster maakt gebruik van willekeurig gegenereerde schijfversleutelingssleutels (DEK's) die door ESXi worden gebruikt om schijfgegevens at rest te versleutelen. vSAN versleutelt alle DEK's met een KEK die wordt geleverd door het Azure VMware Solution-sleutelbeheersysteem. De privécloud van Azure VMware Solution en de sleutelkluis hoeven zich niet in hetzelfde abonnement te bevinden.

Wanneer u uw eigen versleutelingssleutels beheert, kunt u het volgende doen:

• Azure-toegang tot vSAN-sleutels beheren.
• Beheer de levenscyclus van CMK's centraal.
• Azure-toegang tot de KEK intrekken.

De functie CMK's ondersteunt de volgende sleuteltypen en de bijbehorende sleutelgrootten:

• RSA: 2048, 3072, 4096
• RSA-HSM: 2048, 3072, 4096

Topologie

In het volgende diagram ziet u hoe Azure VMware Solution gebruikmaakt van Microsoft Entra ID en een sleutelkluis om de CMK te leveren.

Vereisten

Voordat u CMK-functionaliteit gaat inschakelen, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:

• U hebt een sleutelkluis nodig om CMK-functionaliteit te kunnen gebruiken. Als u geen sleutelkluis hebt, kunt u er een maken met behulp van quickstart: Een sleutelkluis maken met behulp van Azure Portal.

• Als u beperkte toegang tot Key Vault hebt ingeschakeld, moet u microsoft Trusted Services toestaan om de Key Vault-firewall te omzeilen. Ga naar Azure Key Vault-netwerkinstellingen configureren voor meer informatie.

  Notitie

  Nadat firewallregels van kracht zijn, kunnen gebruikers alleen Key Vault-gegevensvlakbewerkingen uitvoeren wanneer hun aanvragen afkomstig zijn van toegestane VM's of IPv4-adresbereiken. Deze beperking geldt ook voor toegang tot Key Vault vanuit Azure Portal. Dit is ook van invloed op de Key Vault-kiezer van Azure VMware Solution. Gebruikers kunnen mogelijk een lijst met sleutelkluizen zien, maar geen lijstsleutels weergeven als firewallregels voorkomen dat hun clientcomputer of de gebruiker geen lijstmachtiging heeft in Key Vault.

• Schakel door het systeem toegewezen identiteit in uw Azure VMware Solution-privécloud in als u deze niet hebt ingeschakeld tijdens het inrichten van softwaregedefinieerde datacenters (SDDC).

  Portal

  Door het systeem toegewezen identiteit inschakelen:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Azure VMware Solution en zoek uw privécloud.

  3. Open Beheren en selecteer Identiteit in het meest linkse deelvenster.

  4. Selecteer Opslaan in> Systeem toegewezen. Door het systeem toegewezen identiteit moet nu zijn ingeschakeld.

  Nadat de door het systeem toegewezen identiteit is ingeschakeld, ziet u het tabblad voor object-id. Noteer de object-id voor later gebruik.

  Azure-CLI

  Haal de resource-id van de privécloud op en sla deze op in een variabele. U hebt deze waarde nodig in de volgende stap om de resource bij te werken met een door het systeem toegewezen identiteit.

  privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
  

  Als u de door het systeem toegewezen identiteit in de privécloud van Azure VMware Solution wilt configureren met de Azure CLI, roept u az-resource-update aan en geeft u de variabele op voor de resource-id van de privécloud die u eerder hebt opgehaald.

  az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
  

• Configureer het toegangsbeleid voor de sleutelkluis om machtigingen te verlenen aan de beheerde identiteit. U gebruikt deze om toegang tot de sleutelkluis te autoriseren.

  Portal

  1. Meld u aan bij het Azure-portaal.
  2. Ga naar Sleutelkluizen en zoek de sleutelkluis die u wilt gebruiken.
  3. Selecteer toegangsbeleid in het meest linkse deelvenster onder Instellingen.
  4. Selecteer Toegangsbeleid toevoegen in Access-beleid en selecteer vervolgens:
     1. Kies in de vervolgkeuzelijst Sleutelmachtigingen selecteren, Ophalen, Sleutel verpakken en Sleutel uitpakken.
     2. Selecteer Onder Principal selecteren de optie Geen geselecteerd. Er wordt een nieuw principal-venster geopend met een zoekvak.
     3. Plak in het zoekvak de object-id uit de vorige stap. Of zoek de naam van de privécloud die u wilt gebruiken. Kies Selecteren wanneer u klaar bent.
     4. Selecteer ADD (Toevoegen).
     5. Controleer of het nieuwe beleid wordt weergegeven onder de sectie Toepassing van het huidige beleid.
     6. Selecteer Opslaan om wijzigingen door te voeren.

  Azure-CLI

  Haal de principal-id op voor de door het systeem toegewezen beheerde identiteit en sla deze op in een variabele. U hebt deze waarde nodig in de volgende stap om het toegangsbeleid voor de sleutelkluis te maken.

  principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
  

  Als u het toegangsbeleid voor de sleutelkluis wilt configureren met de Azure CLI, roept u az keyvault set-policy aan. Geef de variabele op voor de principal-id die u eerder hebt opgehaald voor de beheerde identiteit.

  az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
  

  Meer informatie over het toewijzen van een Key Vault-toegangsbeleid.

Levenscyclus van door de klant beheerde sleutelversie

U kunt de CMK wijzigen door een nieuwe versie van de sleutel te maken. Het maken van een nieuwe versie onderbreekt de werkstroom van de virtuele machine (VM) niet.

In Azure VMware Solution is het roteren van CMK-sleutelversies afhankelijk van de instelling voor sleutelselectie die u hebt gekozen tijdens de INSTALLATIE van CMK.

Instelling voor sleutelselectie 1

Een klant schakelt CMK-versleuteling in zonder een specifieke sleutelversie voor CMK op te geven. Azure VMware Solution selecteert de meest recente sleutelversie voor CMK in de sleutelkluis van de klant om de vSAN-KKS te versleutelen. Azure VMware Solution houdt de CMK bij voor versierotatie. Wanneer er een nieuwe versie van de CMK-sleutel in Key Vault wordt gemaakt, wordt deze automatisch vastgelegd door Azure VMware Solution om vSAN KEKs te versleutelen.

Notitie

Azure VMware Solution kan maximaal tien minuten duren om een nieuwe, automatisch geroteerde sleutelversie te detecteren.

Instelling voor sleutelselectie 2

Een klant kan CMK-versleuteling inschakelen voor een opgegeven CMK-sleutelversie om de volledige sleutelversie-URI op te geven onder de optie Enter Key van URI . Wanneer de huidige sleutel van de klant verloopt, moet deze de CMK-sleutel verlengen of CMK uitschakelen.

CMK met door het systeem toegewezen identiteit inschakelen

Door het systeem toegewezen identiteit is beperkt tot één per resource en is gekoppeld aan de levenscyclus van de resource. U kunt machtigingen verlenen aan de beheerde identiteit in de Azure-resource. De beheerde identiteit wordt geverifieerd met Microsoft Entra-id, zodat u geen referenties hoeft op te slaan in code.

Belangrijk

Zorg ervoor dat Key Vault zich in dezelfde regio bevindt als de azure VMware Solution-privécloud.

Portal

Ga naar uw Key Vault-exemplaar en geef toegang tot het SDDC op Key Vault met behulp van de principal-id die is vastgelegd op het tabblad MSI inschakelen.

1. Selecteer Versleuteling in uw Azure VMware Solution-privécloud onder Beheren. Selecteer vervolgens door de klant beheerde sleutels (CMK's).

2. CMK biedt twee opties voor sleutelselectie uit Key Vault:

   Optie 1:

   1. Kies onder Versleutelingssleutel de optie uit Key Vault.
   2. Selecteer het versleutelingstype. Selecteer vervolgens de optie Sleutelkluis en sleutel selecteren.
   3. Selecteer de sleutelkluis en sleutel in de vervolgkeuzelijst. Kies Selecteren.

   Optie 2:

   1. Selecteer onder Versleutelingssleutel Enter-sleutel in de URI.
   2. Voer een specifieke sleutel-URI in het vak Sleutel-URI in.

   Belangrijk

   Als u een specifieke sleutelversie wilt selecteren in plaats van de automatisch geselecteerde meest recente versie, moet u de sleutel-URI opgeven met de sleutelversie. Deze keuze is van invloed op de levenscyclus van de CMK-sleutelversie.

   De optie Key Vault Managed Hardware Security Module (HSM) wordt alleen ondersteund met de optie Sleutel-URI.

3. Selecteer Opslaan om toegang te verlenen tot de resource.

Azure-CLI

Als u CMK's wilt configureren voor een Azure VMware Solution-privécloud met automatisch bijwerken van de sleutelversie, roept u az vmware private-cloud add-cmk-encryption aan. Haal de URL van de sleutelkluis op en sla deze op in een variabele. U hebt deze waarde nodig in de volgende stap om CMK in te schakelen.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

In de volgende opties 1 en 2 ziet u het verschil tussen het niet leveren van een specifieke sleutelversie en het opgeven van een sleutelversie.

Optie 1

In dit voorbeeld ziet u dat de klant geen specifieke sleutelversie opgeeft.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Optie 2

Geef de sleutelversie op als argument voor het gebruik van CMK's met een specifieke sleutelversie, zoals eerder vermeld in azure Portal optie 2. In het volgende voorbeeld ziet u hoe de klant een specifieke sleutelversie opgeeft.

az vmware private-cloud add-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Wijzigen van een door de klant beheerde sleutel in een door Microsoft beheerde sleutel

Wanneer een klant wil overstappen van een CMK naar een door Microsoft beheerde sleutel (MMK), wordt de VM-workload niet onderbroken. De wijziging van een CMK naar een MMK aanbrengen:

1. Selecteer onder Beheren versleuteling in uw Azure VMware Solution-privécloud.
2. Selecteer Door Microsoft beheerde sleutels (MMK).
3. Selecteer Opslaan.

Beperkingen

Key Vault moet worden geconfigureerd als herstelbaar. U moet het volgende doen:

• Configureer Key Vault met de optie Voorlopig verwijderen .
• Schakel Opschoningsbeveiliging in om te voorkomen dat de geheime kluis geforceerd wordt verwijderd, zelfs na voorlopig verwijderen.

Het bijwerken van CMK-instellingen werkt niet als de sleutel is verlopen of als de Azure VMware Solution-toegangssleutel is ingetrokken.

Probleemoplossing en best practices

Hier vindt u tips voor probleemoplossing voor enkele veelvoorkomende problemen die u kunt tegenkomen en ook aanbevolen procedures om te volgen.

Onbedoeld verwijderen van een sleutel

Als u uw sleutel per ongeluk verwijdert in de sleutelkluis, kan de privécloud bepaalde bewerkingen voor het wijzigen van clusters niet uitvoeren. Om dit scenario te voorkomen, raden we u aan om voorlopig verwijderen ingeschakeld te houden in de sleutelkluis. Deze optie zorgt ervoor dat als een sleutel wordt verwijderd, deze binnen een periode van 90 dagen kan worden hersteld als onderdeel van de standaardretentie voor voorlopig verwijderen. Als u zich binnen de periode van 90 dagen bevindt, kunt u de sleutel herstellen om het probleem op te lossen.

Sleutelkluismachtiging herstellen

Als u een privécloud hebt die geen toegang meer heeft tot de CMK, controleert u of Voor Managed System Identity (MSI) machtigingen zijn vereist in de sleutelkluis. De foutmelding die vanuit Azure wordt geretourneerd, geeft mogelijk niet juist aan dat MSI machtigingen in de sleutelkluis vereist als de hoofdoorzaak. Onthoud dat de vereiste machtigingen zijnget, en wrapKeyunwrapKey. Zie stap 4 in Vereisten.

Een verlopen sleutel herstellen

Als u de functie autorotatie niet gebruikt en de CMK is verlopen in Key Vault, kunt u de vervaldatum van de sleutel wijzigen.

Toegang tot key vault herstellen

Zorg ervoor dat de MSI wordt gebruikt voor het verlenen van privécloudtoegang tot de sleutelkluis.

Verwijderen van MSI

Als u per ongeluk de MSI verwijdert die is gekoppeld aan een privécloud, moet u de CMK uitschakelen. Volg vervolgens de stappen om de CMK vanaf het begin in te schakelen.

Volgende stappen

• Meer informatie over back-up en herstel van Azure Key Vault.
• Meer informatie over Azure Key Vault-herstel.