Udostępnij za pośrednictwem

Szyfrowanie dysków przy użyciu kluczy zarządzanych przez klienta w usłudze Azure DevTest Labs

  • Artykuł

Szyfrowanie po stronie serwera chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Funkcja SSE automatycznie szyfruje dane przechowywane na dyskach zarządzanych na platformie Azure (dyskach systemu operacyjnego i danych) magazynowanych domyślnie podczas utrwalania ich w chmurze. Dowiedz się więcej o usłudze Disk Encryption na platformie Azure.

W usłudze DevTest Labs wszystkie dyski systemu operacyjnego i dyski danych utworzone w ramach laboratorium są szyfrowane przy użyciu kluczy zarządzanych przez platformę. Jednak jako właściciel laboratorium możesz wybrać szyfrowanie dysków maszyn wirtualnych laboratorium przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania danych na dyskach laboratoryjnych. Aby dowiedzieć się więcej na temat szyfrowania po stronie serwera (SSE) przy użyciu kluczy zarządzanych przez klienta i innych typów szyfrowania dysków zarządzanych przez klienta, zobacz Klucze zarządzane przez klienta. Zobacz również ograniczenia dotyczące używania kluczy zarządzanych przez klienta.

Uwaga

  • Ustawienie dotyczy nowo utworzonych dysków w laboratorium. Jeśli zdecydujesz się zmienić ustawienie szyfrowania dysku w pewnym momencie, starsze dyski w laboratorium będą nadal szyfrowane przy użyciu poprzedniego zestawu szyfrowania dysku.

W poniższej sekcji pokazano, jak właściciel laboratorium może skonfigurować szyfrowanie przy użyciu klucza zarządzanego przez klienta.

Wymagania wstępne

  1. Jeśli nie masz ustawionego szyfrowania dysku, postępuj zgodnie z tym artykułem, aby skonfigurować usługę Key Vault i zestaw szyfrowania dysków. Zwróć uwagę na następujące wymagania dotyczące zestawu szyfrowania dysków:

    • Zestaw szyfrowania dysków musi znajdować się w tym samym regionie i subskrypcji co laboratorium.
    • Upewnij się, że użytkownik (właściciel laboratorium) ma co najmniej dostęp na poziomie czytelnika do zestawu szyfrowania dysków, który będzie używany do szyfrowania dysków laboratoryjnych.

  2. W przypadku laboratoriów utworzonych przed 1.08.2020 właściciel laboratorium musi upewnić się, że tożsamość przypisana przez system laboratorium jest włączona. Aby to zrobić, właściciel laboratorium może przejść do laboratorium, kliknąć pozycję Konfiguracja i zasady, kliknąć blok Tożsamość (wersja zapoznawcza), zmienić pozycję Stan tożsamości przypisanej przez system na ., a następnie kliknąć pozycję Zapisz. W przypadku nowych laboratoriów utworzonych po 1.08.2020 tożsamość przypisana przez system laboratorium zostanie domyślnie włączona.

    Klucze zarządzane

  3. Aby laboratorium obsługiwało szyfrowanie dla wszystkich dysków laboratoryjnych, właściciel laboratorium musi jawnie udzielić roli czytelnika tożsamości przypisanej przez system laboratorium w zestawie szyfrowania dysków, a także roli współautora maszyny wirtualnej w podstawowej subskrypcji platformy Azure. Właściciel laboratorium może to zrobić, wykonując następujące czynności:

    1. Upewnij się, że jesteś członkiem roli Administrator dostępu użytkowników na poziomie subskrypcji platformy Azure, aby zarządzać dostępem użytkowników do zasobów platformy Azure.

    2. Na stronie Zestaw szyfrowania dysków przypisz co najmniej rolę Czytelnik do nazwy laboratorium, dla której zostanie użyty zestaw szyfrowania dysku.

      Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    3. Przejdź do strony Subskrypcja w witrynie Azure Portal.

    4. Przypisz rolę Współautor maszyny wirtualnej do nazwy laboratorium (tożsamości przypisanej przez system dla laboratorium).

Szyfrowanie dysków systemu operacyjnego laboratorium przy użyciu klucza zarządzanego przez klienta

  1. Na stronie głównej laboratorium w witrynie Azure Portal wybierz pozycję Konfiguracja i zasady w menu po lewej stronie.

  2. Na stronie Konfiguracja i zasady wybierz pozycję Dyski (wersja zapoznawcza) w sekcji Szyfrowanie . Domyślnie typ szyfrowania jest ustawiony na Szyfrowanie magazynowane przy użyciu klucza zarządzanego platformy.

    Karta Dyski na stronie Konfiguracja i zasady

  3. W polu Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta z listy rozwijanej.

  4. W polu Zestaw szyfrowania dysków wybierz utworzony wcześniej zestaw szyfrowania dysków. Jest to ten sam zestaw szyfrowania dysków, do którego może uzyskać dostęp tożsamość przypisana przez system laboratorium.

  5. Wybierz pozycję Zapisz na pasku narzędzi.

    Włączanie szyfrowania przy użyciu klucza zarządzanego przez klienta

  6. W oknie komunikatu z następującym tekstem: to ustawienie będzie miało zastosowanie do nowo utworzonych maszyn w laboratorium. Stary dysk systemu operacyjnego pozostanie zaszyfrowany przy użyciu starego zestawu szyfrowania dysku, wybierz przycisk OK.

    Po skonfigurowaniu dyski laboratorium będą szyfrowane przy użyciu klucza zarządzanego przez klienta przy użyciu zestawu szyfrowania dysków.

Jak sprawdzić, czy dyski są szyfrowane

  1. Przejdź do maszyny wirtualnej laboratorium utworzonej po włączeniu szyfrowania dysków przy użyciu klucza zarządzanego przez klienta w laboratorium.

    Maszyna wirtualna z włączonym szyfrowaniem dysków

  2. Kliknij grupę zasobów maszyny wirtualnej i kliknij dysk systemu operacyjnego.

    VM resource group

  3. Przejdź do pozycji Szyfrowanie i sprawdź, czy szyfrowanie jest ustawione na klucz zarządzany przez klienta przy użyciu wybranego zestawu szyfrowania dysków.

    Weryfikowanie szyfrowania

Powiązana zawartość

Odwiedź następujące artykuły: