为了提供具有加密功能的虚拟机(VM),我们需要确保我们首咸犴孜稍先拥有所需的关键组件。我们将在我们的场景中进行Azure VM加密,但我想简要介菖霁活裱绍一下Azure Storage Service Encryption(SSE)。这可能有助于查看Azure提供的替代加密方法。 Azure SSE自动加密后台的所有受管磁盘。换句话说,没有用户级别的交互来在存储帐户中显式加密磁盘。一旦启用,Azure SSE将加密磁盘上写入的所有新数据,但加密前的现有数据仍然未加密。
工具/原料
Azure Active Directory
PowerShell
先决条件^
1、我们来看看能够实现Azure VM加密所需的组件。
2、Azure Active Directory(AD)应用程序:我们需要一个Azure AD应用程序与Azure Key Vault进行通信。这将获得关键细节,并在VM上开始加密。
3、Azure Key Vault:Azure VM加密在后台基于BitLocker驱动器加密技术。要使用BitLocker加密虚拟机,我们需要确保我们有一个密钥管理系统来协调整个加密和管理密钥。
4、现有的Azure VM:在我们的方案中,我们将实现磁盘加密作为VM扩展。因此,我们需要有一个现有的VM来启用加密。在不同的情况下,您可能还需要在Azure资源管理器(Azure RM)模板中启用加密,并在虚拟机配置期间对虚拟机进行加密。
登录到Azure ^
1、首先,我们登录到Azure RM(请确保您安装了最新的Azure RM PowerShell模块)。
提供所需信息^
1、这些是我们需要提供的唯一必需值。请注意,此处的ResourceGroupName表示虚拟机正在运行的现有资源组。
创建一个新的Azure AD应用程序^
1、现在我们可以创建我们的Azure AD应用程序。我们将使用此应用程序访问密钥库以获取在我们的虚拟机上启用加密的密钥。
2、由于我们不会将此应用程序用于任何其他目的,而是加密虚拟机,只需为HomePage和IdentifierUris参数提供通用值即可。
3、该AzureADClientSecret值不会在Azure的门户网站显示。如果您想将此应用程序用于任何其他目的,则此密钥将需要继续。为了将来的目的,保存这个密钥很重要。
创建一个新的Azure Key Vault ^
1、现在是时候创建一个新的密钥库来创建和存储加密密钥。我们将能够使用这些密钥来加密虚拟机。
2、创建密钥库后,我们必须配置密钥库访问策略。这将允许Azure AD应用程序获取密钥库详细信息(密钥,策略等),以便能够加密虚拟机。
加密VM ^
1、最后一步是通过设置新的Azure VM扩展来启用VM上的加密。由于我们拥有Azure应用程序和密钥库详细信息方面的所有必需值,我们现在可以开始加密。
2、一拍绫仑懿旦加密开始,需要几个小时才能完成。在此期间,加密将在后台继续进行,我们将能够登录到虚拟机,并在没有任何限制的情况下使用它。我们可以检查该进程是否触发了Azure VM加密扩展以在VM上启动加密。
3、要检查加密状态,您必须登录到VM。
4、可以继续在VM上工作,而无需等待加密完成。
5、一旦加密完成,BitLocker驱动器加密即将到位。
结论^
1、Azure安全中心不断检查虚拟机,并显示未加密的虚拟机。将VM磁盘加密是在VM安全性方面执行的关键任务。
2、以下是您需要加密虚拟机的整个代码:
