為了增強虛擬機 (VM) 的安全性以及符合性,可以加密 Azure 中的虛擬磁盤。 磁盤是使用 Azure 密鑰保管庫中受保護的加密密鑰加密的。 可以控制這些加密密鑰,以及審核對它們的使用。 本文詳細闡述如何使用 Azure PowerShell 加密 Windows VM 上的虛擬磁盤。 還可使用 Azure CLI 2.0 加密 Linux VM。
磁盤加密概述
Windows VM 上的虛擬磁盤使用 Bitlocker 進行靜態加密。 加密 Azure 中的虛擬磁盤不會產生費用。 使用軟件保護將加密密鑰存儲在 Azure 密鑰保管庫中,或者,可在已通過 FIPS 140-2 級別 2 標准認證的硬件安全模塊 (HSM) 中導入或生成密鑰。 這些加密密鑰用於加密和解密附加到 VM 的虛擬磁盤。 可以控制這些加密密鑰,以及審核對它們的使用。 打開和關閉 VM 時,Azure Active Directory 服務主體提供一個安全機制用於頒發這些加密密鑰。
加密 VM 的過程如下:
- 在 Azure 密鑰保管庫中創建加密密鑰。
- 配置可用於加密磁盤的加密密鑰。
- 若要從 Azure Key Vault 中讀取加密密鑰,可創建具有相應權限的 Azure Active Directory 服務主體。
- 發出加密虛擬磁盤的命令,指定要使用的 Azure Active Directory 服務主體和相應的加密密鑰。
- Azure Active Directory 服務主體將從 Azure Key Vault 請求所需的加密密鑰。
- 使用提供的加密密鑰加密虛擬磁盤。
加密過程
磁盤加密依賴於以下附加組件:
- Azure 密鑰保管庫 - 用於保護磁盤加密/解密過程中使用的加密密鑰和機密。
- 可以使用現有的 Azure 密鑰保管庫(如果有)。 不需要專門使用某個密鑰保管庫來加密磁盤。
- 要將管理邊界和密鑰可見性隔離開來,可以創建專用的密鑰保管庫。
- Azure Active Directory - 處理所需加密密鑰的安全交換,以及對請求的操作執行的身份驗證。
- 通常,可以使用現有的 Azure Active Directory 實例來容裝應用程序。
- 服務主體提供了安全機制,可用於請求和獲取相應的加密密鑰。 實際並不需要開發與 Azure Active Directory 集成的應用程序。
要求和限制
磁盤加密支持的方案和要求
- 在來自 Azure 應用商店映像或自定義 VHD 映像的新 Windows VM 上啟用加密。
- 在現有的 Azure Windows VM 上啟用加密。
- 在使用存儲空間配置的 Windows VM 上啟用加密。
- 在 Windows VM 的 OS 和數據驅動器上禁用加密。
- 所有資源(例如密鑰保管庫、存儲帳戶和 VM)必須在同一個 Azure 區域和訂閱中。
- 標准層 VM,例如 A、D 和 DS 系列 VM。
以下方案目前不支持磁盤加密:
- 基本層 VM。
- 使用經典部署模型創建的 VM。
- 在已加密的 VM 上更新加密密鑰。
- 與本地密鑰管理服務集成。
創建 Azure Key Vault 和密鑰
在開始之前,請確保已安裝了 Azure PowerShell 模塊的最新版本。 有關詳細信息,請參閱如何安裝和配置 Azure PowerShell。 在整個命令示例中,請將所有示例參數替換為自己的名稱、位置和密鑰值。 以下示例使用 myResourceGroup、myKeyVault、myVM 等的約定。
第一步是創建用於存儲加密密鑰的 Azure 密鑰保管庫。 Azure 密鑰保管庫可以存儲能夠在應用程序和服務中安全實現的密鑰、機密或密碼。 對於虛擬磁盤加密,可以創建 Key Vault 來存儲用於加密或解密虛擬磁盤的加密密鑰。
在 Azure 訂閱中使用 Register-AzureRmResourceProvider 啟用 Azure Key Vault 提供程序,並使用 New-AzureRmResourceGroup 創建一個資源組。 以下示例在“中國東部”位置創建名為 myResourceGroup 的資源組。
$rgName = "myResourceGroup" $location = "China East" Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault" New-AzureRmResourceGroup -Location $location -Name $rgName 包含加密密鑰和關聯的計算資源(例如存儲和 VM 本身)的 Azure 密鑰保管庫必須位於同一區域。 使用 New-AzureRmKeyVault 創建 Azure Key Vault,並啟用該 Key Vault 進行磁盤加密。 指定 keyVaultName 的唯一 Key Vault 名稱,如下所示:
$keyVaultName = "myUniqueKeyVaultName" New-AzureRmKeyVault -Location $location ` -ResourceGroupName $rgName ` -VaultName $keyVaultName ` -EnabledForDiskEncryption 可以使用軟件或硬件安全模型 (HSM) 保護來存儲加密密鑰。 使用 HSM 時需要高級密鑰保管庫。 與用於存儲受軟件保護的密鑰的標准密鑰保管庫不同,創建高級密鑰保管庫會產生額外的費用。 若要創建高級 Key Vault,請在上一步中添加 -Sku "Premium" 參數。 由於我們創建的是標准密鑰保管庫,以下示例使用了受軟件保護的密鑰。
對於這兩種保護模型,在啟動 VM 解密虛擬磁盤時,都需要向 Azure 平台授予請求加密密鑰的訪問權限。 使用 Add-AzureKeyVaultKey 在 Key Vault 中創建加密密鑰。 以下示例創建名為 myKey 的密鑰:
Add-AzureKeyVaultKey -VaultName $keyVaultName ` -Name "myKey" ` -Destination "Software" 創建 Azure Active Directory 服務主體
加密或解密虛擬磁盤時,將指定一個帳戶來處理身份驗證,以及從 Key Vault 交換加密密鑰。 此帳戶(Azure Active Directory 服務主體)允許 Azure 平台代表 VM 請求相應的加密密鑰。 訂閱中提供了一個默認的 Azure Active Directory 實例,不過,許多組織使用專用的 Azure Active Directory 目錄。
使用 New-AzureRmADServicePrincipal 在 Azure Active Directory 中創建服務主體。 若要指定安全密碼,請遵循 Azure Active Directory 中的密碼策略和限制:
$appName = "My App" $securePassword = "P@ssword!" $app = New-AzureRmADApplication -DisplayName $appName ` -HomePage "https://myapp.contoso.com" ` -IdentifierUris "https://contoso.com/myapp" ` -Password $securePassword New-AzureRmADServicePrincipal -ApplicationId $app.ApplicationId 要成功加密或解密虛擬磁盤,必須將 Key Vault 中存儲的加密密鑰的權限設置為允許 Azure Active Directory 服務主體讀取密鑰。 使用 Set-AzureRmKeyVaultAccessPolicy 設置 Key Vault 的權限:
Set-AzureRmKeyVaultAccessPolicy -VaultName $keyvaultName ` -ServicePrincipalName $app.ApplicationId ` -PermissionsToKeys "WrapKey" ` -PermissionsToSecrets "Set" 創建虛擬機
若要測試加密過程,請創建 VM。 以下示例使用 Windows Server 2016 Datacenter 映像創建名為 myVM 的 VM:
$subnetConfig = New-AzureRmVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24 $vnet = New-AzureRmVirtualNetwork -ResourceGroupName $rgName ` -Location $location ` -Name myVnet ` -AddressPrefix 192.168.0.0/16 ` -Subnet $subnetConfig $pip = New-AzureRmPublicIpAddress -ResourceGroupName $rgName ` -Location $location ` -AllocationMethod Static ` -IdleTimeoutInMinutes 4 ` -Name "mypublicdns$(Get-Random)" $nsgRuleRDP = New-AzureRmNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP ` -Protocol Tcp ` -Direction Inbound ` -Priority 1000 ` -SourceAddressPrefix * ` -SourcePortRange * ` -DestinationAddressPrefix * ` -DestinationPortRange 3389 ` -Access Allow $nsg = New-AzureRmNetworkSecurityGroup -ResourceGroupName $rgName ` -Location $location ` -Name myNetworkSecurityGroup ` -SecurityRules $nsgRuleRDP $nic = New-AzureRmNetworkInterface -Name myNic ` -ResourceGroupName $rgName ` -Location $location ` -SubnetId $vnet.Subnets[0].Id ` -PublicIpAddressId $pip.Id ` -NetworkSecurityGroupId $nsg.Id $cred = Get-Credential $vmName = "myVM" $vmConfig = New-AzureRmVMConfig -VMName $vmName -VMSize Standard_D1 | ` Set-AzureRmVMOperatingSystem -Windows -ComputerName myVM -Credential $cred | ` Set-AzureRmVMSourceImage -PublisherName MicrosoftWindowsServer ` -Offer WindowsServer -Skus 2016-Datacenter -Version latest | ` Add-AzureRmVMNetworkInterface -Id $nic.Id New-AzureRmVM -ResourceGroupName $rgName -Location $location -VM $vmConfig 加密虛擬機
要加密虛擬磁盤,可將前面的所有組件合並在一起:
- 指定 Azure Active Directory 服務主體和密碼。
- 指定用於存儲加密磁盤元數據的密鑰保管庫。
- 指定用於實際加密和解密的加密密鑰。
- 指定是要加密 OS 磁盤、數據磁盤還是所有磁盤。
使用 Azure Key Vault 密鑰和 Azure Active Directory 服務主體憑據通過 Set-AzureRmVMDiskEncryptionExtension 加密 VM。 以下示例檢索所有密鑰信息,並對名為 myVM 的 VM 進行加密:
$keyVault = Get-AzureRmKeyVault -VaultName $keyVaultName -ResourceGroupName $rgName; $diskEncryptionKeyVaultUrl = $keyVault.VaultUri; $keyVaultResourceId = $keyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzureKeyVaultKey -VaultName $keyVaultName -Name myKey).Key.kid; Set-AzureRmVMDiskEncryptionExtension -ResourceGroupName $rgName ` -VMName $vmName ` -AadClientID $app.ApplicationId ` -AadClientSecret $securePassword ` -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl ` -DiskEncryptionKeyVaultId $keyVaultResourceId ` -KeyEncryptionKeyUrl $keyEncryptionKeyUrl ` -KeyEncryptionKeyVaultId $keyVaultResourceId 接受提示以繼續進行 VM 加密。 此過程中將重啟 VM。 加密過程完成並重啟 VM 后,使用 Get-AzureRmVmDiskEncryptionStatus 查看加密狀態:
Get-AzureRmVmDiskEncryptionStatus -ResourceGroupName $rgName -VMName $vmName 輸出類似於以下示例:
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : Encrypted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OsVolume: Encrypted, DataVolumes: Encrypted
后續步驟
- 有關 Azure Key Vault 管理的詳細信息,請參閱為虛擬機設置 Key Vault。
- 有關磁盤加密的詳細信息,例如准備要上傳到 Azure 的已加密自定義 VM,請參閱 Azure Disk Encryption(Azure 磁盤加密)。立即訪問http://market.azure.cn