Mengonfigurasi enkripsi kunci yang dikelola pelanggan saat tidak aktif di Azure VMware Solution

Artikel
04/12/2024

Artikel ini menggambarkan cara mengenkripsi kunci enkripsi kunci VMware vSAN (KEK) dengan kunci yang dikelola pelanggan (CMK) yang dikelola oleh instans Azure Key Vault milik pelanggan.

Saat enkripsi CMK diaktifkan di cloud privat Azure VMware Solution Anda, Azure VMware Solution menggunakan CMK dari brankas kunci Anda untuk mengenkripsi KEK vSAN. Setiap host ESXi yang berpartisipasi dalam kluster vSAN menggunakan kunci enkripsi disk (DEK) yang dihasilkan secara acak yang digunakan ESXi untuk mengenkripsi data disk tidak aktif. vSAN mengenkripsi semua DEK dengan KEK yang disediakan oleh sistem manajemen kunci Azure VMware Solution. Cloud privat Azure VMware Solution dan brankas kunci tidak perlu berada dalam langganan yang sama.

Saat mengelola kunci enkripsi Anda sendiri, Anda dapat:

Mengontrol akses Azure ke kunci vSAN.
Mengelola siklus hidup CMK secara terpusat.
Mencabut akses Azure ke KEK.

Fitur CMK mendukung jenis kunci berikut dan ukuran kuncinya:

RSA: 2048, 3072, 4096
RSA-HSM: 2048, 3072, 4096

Topologi

Diagram berikut menunjukkan bagaimana Azure VMware Solution menggunakan ID Microsoft Entra dan brankas kunci untuk mengirimkan CMK.

Prasyarat

Sebelum Anda mulai mengaktifkan fungsionalitas CMK, pastikan bahwa persyaratan berikut terpenuhi:

Anda memerlukan brankas kunci untuk menggunakan fungsionalitas CMK. Jika Anda tidak memiliki brankas kunci, Anda dapat membuatnya dengan menggunakan Mulai Cepat: Membuat brankas kunci menggunakan portal Azure.
Jika Anda mengaktifkan akses terbatas ke Key Vault, Anda perlu mengizinkan Layanan Tepercaya Microsoft untuk melewati firewall Key Vault. Buka Mengonfigurasi pengaturan jaringan Azure Key Vault untuk mempelajari selengkapnya.

Catatan

Setelah aturan firewall berlaku, pengguna hanya dapat melakukan operasi sarana data Key Vault ketika permintaan mereka berasal dari rentang alamat VM atau IPv4 yang diizinkan. Pembatasan ini juga berlaku untuk mengakses Key Vault dari portal Azure. Ini juga memengaruhi Pemilih Key Vault oleh Azure VMware Solution. Pengguna mungkin dapat melihat daftar brankas kunci, tetapi tidak mencantumkan kunci, jika aturan firewall mencegah komputer klien mereka atau pengguna tidak memiliki izin daftar di Key Vault.
Aktifkan Identitas yang Ditetapkan Sistem di cloud privat Azure VMware Solution Jika Anda tidak mengaktifkannya selama provisi pusat data yang ditentukan perangkat lunak (SDDC).
- Portal
- Azure CLI
Untuk mengaktifkan identitas yang Ditetapkan Sistem:
1. Masuk ke portal Azure.
2. Buka Azure VMware Solution dan temukan cloud privat Anda.
3. Di panel paling kiri, buka Kelola dan pilih Identitas.
4. Di Sistem Ditetapkan, pilih Aktifkan>Simpan. Identitas yang Ditetapkan Sistem sekarang harus diaktifkan.
Setelah identitas Yang Ditetapkan Sistem diaktifkan, Anda akan melihat tab untuk ID Objek. Catat ID Objek untuk digunakan nanti.
Dapatkan ID sumber daya cloud privat dan simpan ke variabel. Anda memerlukan nilai ini di langkah berikutnya untuk memperbarui sumber daya dengan identitas Yang Ditetapkan Sistem.
```
privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
```
Untuk mengonfigurasi identitas yang ditetapkan sistem di cloud privat Azure VMware Solution dengan Azure CLI, panggil az-resource-update dan berikan variabel untuk ID sumber daya cloud privat yang sebelumnya Anda ambil.
```
az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
```
Konfigurasikan kebijakan akses brankas kunci untuk memberikan izin ke identitas terkelola. Anda menggunakannya untuk mengotorisasi akses ke brankas kunci.
- Portal
- Azure CLI
1. Masuk ke portal Azure.
2. Buka Brankas kunci dan temukan brankas kunci yang ingin Anda gunakan.
3. Di panel paling kiri, di bawah Pengaturan, pilih Kebijakan akses.
4. Di Kebijakan akses, pilih Tambahkan Kebijakan Akses lalu:
  1. Di menu dropdown Izin Kunci, pilih Pilih, Dapatkan, Bungkus Kunci, dan Buka Bungkus Kunci.
  2. Pada Pilih prinsipal, pilih Tidak ada yang dipilih. Jendela Utama baru dengan kotak pencarian terbuka.
  3. Dalam kotak pencarian, tempelkan ID Objek dari langkah sebelumnya. Atau cari nama cloud privat yang ingin Anda gunakan. Pilih Pilih saat Anda selesai.
  4. Pilih TAMBAHKAN.
  5. Verifikasi bahwa kebijakan baru muncul di bawah bagian Aplikasi kebijakan saat ini.
  6. Klik Simpan untuk menerapkan perubahan.
Dapatkan ID utama untuk identitas terkelola yang ditetapkan sistem dan simpan ke variabel. Anda memerlukan nilai ini di langkah berikutnya untuk membuat kebijakan akses brankas kunci.
```
principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
```
Untuk mengonfigurasi kebijakan akses brankas kunci dengan Azure CLI, panggil az keyvault set-policy. Berikan variabel untuk ID utama yang sebelumnya Anda ambil untuk identitas terkelola.
```
az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
```
Pelajari selengkapnya tentang cara menetapkan kebijakan akses Key Vault.

Siklus hidup versi kunci yang dikelola pelanggan

Anda dapat mengubah CMK dengan membuat versi baru kunci. Pembuatan versi baru tidak mengganggu alur kerja komputer virtual (VM).

Di Azure VMware Solution, rotasi versi kunci CMK bergantung pada pengaturan pemilihan kunci yang Anda pilih selama penyiapan CMK.

Pengaturan pemilihan kunci 1

Pelanggan mengaktifkan enkripsi CMK tanpa menyediakan versi kunci tertentu untuk CMK. Azure VMware Solution memilih versi kunci terbaru untuk CMK dari brankas kunci pelanggan untuk mengenkripsi KEK vSAN. Azure VMware Solution melacak CMK untuk rotasi versi. Ketika versi baru kunci CMK di Key Vault dibuat, kunci akan ditangkap oleh Azure VMware Solution secara otomatis untuk mengenkripsi KEK vSAN.

Catatan

Azure VMware Solution dapat memakan waktu hingga 10 menit untuk mendeteksi versi kunci baru yang dirotasi otomatis.

Pengaturan pemilihan kunci 2

Pelanggan dapat mengaktifkan enkripsi CMK untuk versi kunci CMK tertentu untuk menyediakan URI versi kunci lengkap di bawah opsi Masukkan Kunci dari URI . Ketika kunci pelanggan saat ini kedaluwarsa, mereka perlu memperpanjang kedaluwarsa kunci CMK atau menonaktifkan CMK.

Mengaktifkan CMK dengan identitas yang ditetapkan sistem

Identitas yang ditetapkan sistem dibatasi untuk satu per sumber daya dan terkait dengan siklus hidup sumber daya. Anda dapat memberikan izin ke identitas terkelola di sumber daya Azure. Identitas terkelola diautentikasi dengan ID Microsoft Entra, sehingga Anda tidak perlu menyimpan kredensial apa pun dalam kode.

Penting

Pastikan Key Vault berada di wilayah yang sama dengan cloud privat Azure VMware Solution.

Portal
Azure CLI

Buka instans Key Vault Anda dan berikan akses ke SDDC di Key Vault dengan menggunakan ID utama yang diambil pada tab Aktifkan MSI .

Dari cloud privat Azure VMware Solution Anda, di bawah Kelola, pilih Enkripsi. Lalu pilih Kunci yang dikelola pelanggan (CMK).
CMK menyediakan dua opsi untuk Pemilihan Kunci dari Key Vault:

Opsi 1:
1. Di bawah Kunci enkripsi, pilih dari Key Vault.
2. Pilih jenis enkripsi. Lalu pilih opsi Pilih Key Vault dan kunci .
3. Pilih Key Vault dan kunci dari menu dropdown. Lalu pilih Pilih.
Opsi 2:
1. Di bawah Kunci enkripsi, pilih Masukkan kunci dari URI.
2. Masukkan URI Kunci tertentu dalam kotak URI Kunci.
Penting

Jika Anda ingin memilih versi kunci tertentu alih-alih versi terbaru yang dipilih secara otomatis, Anda perlu menentukan URI Kunci dengan versi kunci. Pilihan ini memengaruhi siklus hidup versi kunci CMK.

Opsi Modul Keamanan Perangkat Keras Terkelola (HSM) Key Vault hanya didukung dengan opsi URI Kunci.
Pilih Simpan untuk memberikan akses ke sumber daya.

Untuk mengonfigurasi CMK untuk cloud privat Azure VMware Solution dengan pembaruan otomatis versi kunci, panggil az vmware private-cloud enable-cmk-encryption. Dapatkan URL brankas kunci dan simpan ke variabel. Anda memerlukan nilai ini di langkah berikutnya untuk mengaktifkan CMK.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

Opsi berikut 1 dan 2 menunjukkan perbedaan antara tidak menyediakan versi kunci tertentu dan menyediakannya.

Opsi 1

Contoh ini menunjukkan pelanggan tidak menyediakan versi kunci tertentu.

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Opsi 2

Berikan versi kunci sebagai argumen untuk menggunakan CMK dengan versi kunci tertentu, seperti yang disebutkan sebelumnya dalam opsi portal Azure 2. Contoh berikut menunjukkan pelanggan yang menyediakan versi kunci tertentu.

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Mengubah dari kunci yang dikelola pelanggan ke kunci terkelola Microsoft

Ketika pelanggan ingin mengubah dari CMK ke kunci yang dikelola Microsoft (MMK), beban kerja VM tidak terganggu. Untuk membuat perubahan dari CMK ke MMK:

Di bawah Kelola, pilih Enkripsi dari cloud privat Azure VMware Solution Anda.
Pilih Kunci yang dikelola Microsoft (MMK).
Pilih Simpan.

Batasan

Key Vault harus dikonfigurasi sebagai dapat dipulihkan. Anda perlu:

Konfigurasikan Key Vault dengan opsi Penghapusan Sementara.
Aktifkan Perlindungan Penghapusan Menyeluruh untuk melindungi dari penghapusan paksa brankas rahasia, bahkan setelah penghapusan sementara.

Memperbarui pengaturan CMK tidak berfungsi jika kunci kedaluwarsa atau kunci akses Azure VMware Solution dicabut.

Pemecahan masalah dan praktik terbaik

Berikut adalah tips pemecahan masalah untuk beberapa masalah umum yang mungkin Anda temui dan juga praktik terbaik untuk diikuti.

Penghapusan kunci secara tidak sengaja

Jika Anda secara tidak sengaja menghapus kunci di brankas kunci, cloud privat tidak dapat melakukan beberapa operasi modifikasi kluster. Untuk menghindari skenario ini, kami sarankan Anda tetap mengaktifkan penghapusan sementara di brankas kunci. Opsi ini memastikan bahwa jika kunci dihapus, kunci dapat dipulihkan dalam periode 90 hari sebagai bagian dari retensi penghapusan sementara default. Jika Anda berada dalam periode 90 hari, Anda dapat memulihkan kunci untuk mengatasi masalah tersebut.

Memulihkan izin brankas kunci

Jika Anda memiliki cloud privat yang kehilangan akses ke CMK, periksa apakah Identitas Sistem Terkelola (MSI) memerlukan izin di brankas kunci. Pemberitahuan kesalahan yang dikembalikan dari Azure mungkin tidak menunjukkan MSI memerlukan izin dengan benar di brankas kunci sebagai akar penyebabnya. Ingat, izin yang diperlukan adalah get, wrapKey, dan unwrapKey. Lihat langkah 4 di Prasyarat.

Memperbaiki kunci yang kedaluwarsa

Jika Anda tidak menggunakan fungsi autorotate dan CMK kedaluwarsa di Key Vault, Anda dapat mengubah tanggal kedaluwarsa pada kunci.

Memulihkan akses brankas kunci

Pastikan bahwa MSI digunakan untuk menyediakan akses cloud privat ke brankas kunci.

Penghapusan MSI

Jika Anda secara tidak sengaja menghapus MSI yang terkait dengan cloud privat, Anda perlu menonaktifkan CMK. Kemudian ikuti langkah-langkah untuk mengaktifkan CMK dari awal.

Langkah berikutnya

Pelajari tentang pencadangan dan pemulihan Azure Key Vault.
Pelajari tentang pemulihan Azure Key Vault.

Bagikan melalui