Doppelte Verschlüsselung auf verwalteten Datenträgern

Sie können einen Maschinenkatalog mit doppelter Verschlüsselung erstellen. Bei mit diesem Feature erstellten Katalogen werden alle Datenträger serverseitig mit plattformseitig und kundenseitig verwalteten Schlüsseln verschlüsselt. Sie besitzen und verwalten den Azure Key Vault, den Verschlüsselungsschlüssel und die Datenträgerverschlüsselungssätze (DES).

Die doppelte Verschlüsselung besteht aus der plattformseitigen Verschlüsselung (Standard) und der vom Kunden verwalteten Verschlüsselung. Kunden, die ein hohes Sicherheitsniveau erfordern und Risiken bezüglich des Verschlüsselungsalgorithmus, der Implementierung oder kompromittierter Schlüssel befürchten, können die doppelte Verschlüsselung wählen. Persistente Datenträger für OS und Daten, Snapshots und Images werden sämtlich im Ruhezustand doppelt verschlüsselt.

Hinweis

• Sie können einen Maschinenkatalog mit doppelter Verschlüsselung über die Benutzeroberfläche für die vollständige Konfiguration und mit PowerShell-Befehlen erstellen und aktualisieren.
• Sie können einen nicht auf Maschinenprofilen basierenden Workflow oder einen auf Maschinenprofilen basierenden Workflow verwenden, um einen Maschinenkatalog mit doppelter Verschlüsselung zu erstellen oder zu aktualisieren.
• Wenn Sie zum Erstellen eines Maschinenkatalogs einen nicht auf Maschinenprofilen basierenden Workflow verwenden, können Sie die gespeicherte DiskEncryptionSetId wiederverwenden.
• Wenn Sie ein Maschinenprofil verwenden, können Sie eine VM- oder Vorlagenspezifikation als Eingabe für das Maschinenprofil verwenden.

Einschränkungen

• Die doppelte Verschlüsselung wird für Ultra Disk- und Premium SSD v2-Datenträgern nicht unterstützt.
• Die doppelte Verschlüsselung wird für nicht verwaltete Datenträger nicht unterstützt.
• Wenn Sie den Schlüssel für einen Datenträgerverschlüsselungssatz deaktivieren, der mit einem Katalog verknüpft ist, werden die VMs des Katalogs deaktiviert.
• Alle zu von Kunden verwalteten Schlüsseln gehörenden Ressourcen (Azure Key Vaults, Datenträgerverschlüsselungssätze, VMs, Datenträger und Snapshots) müssen demselben Abonnement und derselben Region angehören.
• Sie können maximal 50 Datenträgerverschlüsselungssätze pro Region und Abonnement erstellen.
• Sie können einen Maschinenkatalog, der bereits eine DiskEncryptionSetId hat, nicht mit einer anderen DiskEncryptionSetId aktualisieren.

Maschinenkatalog mit doppelter Verschlüsselung erstellen

Sie können einen Maschinenkatalog mit doppelter Verschlüsselung über die Benutzeroberfläche für die vollständige Konfiguration und mit PowerShell-Befehlen erstellen und aktualisieren.

Schritte zum Erstellen eines Maschinenkatalogs mit doppelter Verschlüsselung:

1. Erstellen Sie einen Azure Key Vault und DES mit plattformseitig und kundenseitig verwalteten Schlüsseln. Informationen zum Erstellen eines Azure Key Vault und eines DES finden Sie unter Verwenden des Azure-Portals zum Aktivieren der doppelten Verschlüsselung von ruhenden Daten auf verwalteten Datenträgern.
2. Um die in Ihrer Hostingeinheit verfügbaren DES anzuzeigen, gehen Sie wie folgt vor:
   1. Öffnen Sie ein PowerShell-Fenster.
   2. Führen Sie die folgenden PowerShell-Befehle aus:
      1. asnp citrix*
      2. cd xdhyp:
      3. cd HostingUnits
      4. cd YourHostingUnitName (ex. azure-east)
      5. cd diskencryptionset.folder
      6. dir

   Sie können eine ID des DiskEncryptionSet verwenden, um einen Katalog mit benutzerdefinierten Eigenschaften zu erstellen oder zu aktualisieren.

3. Wenn Sie einen Maschinenprofilworkflow verwenden möchten, erstellen Sie eine VM- oder Vorlagenspezifikation als Eingabe für das Maschinenprofil.
   • Wenn Sie eine VM als Maschinenprofileingabe verwenden möchten:
     1. Erstellen Sie eine VM im Azure-Portal.
     2. Navigieren Sie zu Datenträger>Schlüsselverwaltung, um die VM direkt mit einer beliebigen DiskEncryptionSetID zu verschlüsseln.
   • Wenn Sie eine Vorlagenspezifikation als Maschinenprofileingabe verwenden möchten:
     1. Fügen Sie in der Vorlage unter Eigenschaften>Speicherprofil>osDisk>verwalteteDisk den Parameter DiskEncryptionSet und die ID des DES mit doppelter Verschlüsselung hinzu.
4. Erstellen Sie den Maschinenkatalog.
   • Wenn Sie die Benutzeroberfläche für die vollständige Konfiguration verwenden, führen Sie zusätzlich zu den Schritten unter Maschinenkataloge erstellen einen der folgenden Schritte aus.
     • Wenn Sie keinen auf Maschinenprofilen basierenden Workflow verwenden, wählen Sie auf der Seite Datenträgereinstellungen die Option Verwenden Sie den folgenden Schlüssel, um Daten auf jeder Maschine zu verschlüsseln. Wählen Sie dann den DES für die doppelte Verschlüsselung aus der Dropdownliste aus. Fahren Sie mit der Erstellung des Katalogs fort.
     • Wenn Sie den Maschinenprofil-Workflow verwenden, wählen Sie auf der Seite Image ein Masterimage (oder “vorbereitetes Image”) und ein Maschinenprofil aus. Vergewissern Sie sich, dass die Eigenschaften des Maschinenprofils eine DES-ID enthalten.

     Alle im Katalog erstellten Maschinen werden mit dem Schlüssel doppelt verschlüsselt, der dem von Ihnen ausgewählten DES zugeordnet ist.

   • Wenn Sie PowerShell-Befehle verwenden, führen Sie einen der folgenden Schritte aus:

     • Wenn Sie keinen maschinenprofilbasierten Workflow verwenden, fügen Sie die benutzerdefinierte Eigenschaft DiskEncryptionSetId im Befehl New-ProvScheme hinzu. Beispiel:

          New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
          <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
          <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
          <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
          </CustomProperties>'
          -HostingUnitName "Redacted"
          -IdentityPoolName "Redacted"
          -InitialBatchSizeHint 1
          -MasterImageVM "Redacted"
          -NetworkMapping @{"0"="Redacted"}
          -ProvisioningSchemeName "Redacted"
          -ServiceOffering "Redacted"
        <!--NeedCopy-->
       

     • Wenn Sie einen maschinenprofilbasierten Workflow verwenden, verwenden Sie eine Maschinenprofileingabe im Befehl New-ProvScheme. Beispiel:

          New-ProvScheme -CleanOnBoot
          -HostingUnitName azure-east
          -IdentityPoolName aio-ip
          -InitialBatchSizeHint 1
          -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot
          -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"}
          -ProvisioningSchemeName aio-test
          -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion
        <!--NeedCopy-->
       

     Schließen Sie die Katalogerstellung mit dem Remote PowerShell SDK ab. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/. Alle im Katalog erstellten Maschinen werden mit dem Schlüssel doppelt verschlüsselt, der dem von Ihnen ausgewählten DES zugeordnet ist.

Unverschlüsselten Katalog zur Verwendung der doppelten Verschlüsselung konvertieren

Sie können den Verschlüsselungstyp eines Maschinenkatalogs nur aktualisieren (mithilfe benutzerdefinierter Eigenschaften oder eines Maschinenprofils), wenn der Katalog zuvor unverschlüsselt war.

• Wenn Sie keinen maschinenprofilbasierten Workflow verwenden, fügen Sie die benutzerdefinierte Eigenschaft DiskEncryptionSetId im Befehl Set-ProvScheme hinzu. Beispiel:

     Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     </CustomProperties>'
   <!--NeedCopy-->
  

• Wenn Sie einen maschinenprofilbasierten Workflow verwenden, verwenden Sie eine Maschinenprofileingabe im Befehl Set-ProvScheme. Beispiel:

     Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
   <!--NeedCopy-->
  

Alle neuen VMs, die Sie dem Katalog hinzufügen, werden nun mit dem Schlüssel doppelt verschlüsselt, der dem von Ihnen ausgewählten DES zugeordnet ist.

Überprüfen, ob ein Katalog doppelt verschlüsselt ist

• In der Benutzeroberfläche für die vollständige Konfiguration gehen Sie wie folgt vor:

  1. Gehen Sie zu Maschinenkataloge.
  2. Wählen Sie den Katalog aus, den Sie überprüfen möchten. Klicken Sie am unteren Bildschirmrand auf die Registerkarte Vorlageneigenschaften.
  3. Überprüfen Sie unter Azure-Details die DES-ID in Datenträgerverschlüsselungssatz. Ist die DES-ID des Katalogs leer, ist der Katalog nicht verschlüsselt.
  4. Vergewissern Sie sich im Azure-Portal, dass es sich bei dem Verschlüsselungstyp des der DES-ID zugeordneten DES um plattformseitig und kundenseitig verwaltete Schlüssel handelt.

• PowerShell-Befehl verwenden:

  1. Öffnen Sie das PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

  3. Verwenden Sie Get-ProvScheme, um die Informationen Ihres Maschinenkatalogs abzurufen. Beispiel:

       Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     <!--NeedCopy-->
     

  4. Rufen Sie die benutzerdefinierte DES-ID-Eigenschaft des Maschinenkatalogs ab. Beispiel:

       <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     <!--NeedCopy-->
     

  5. Vergewissern Sie sich im Azure-Portal, dass es sich bei dem Verschlüsselungstyp des der DES-ID zugeordneten DES um plattformseitig und kundenseitig verwaltete Schlüssel handelt.

So geht es weiter

• Informationen zur Verwaltung von Katalogen finden Sie unter Maschinenkataloge verwalten und Microsoft Azure-Katalog verwalten.

• Informationen zu Features im Zusammenhang mit der Verschlüsselung finden Sie unter:

  • Azure-serverseitige Verschlüsselung
  • Azure-Datenträgerverschlüsselung auf dem Host

• Informationen zu weiteren spezifischen Features finden Sie unter:

  • Storage

Weitere Informationen

• Informationen zum gesamten Konfigurationsprozess finden Sie unter Planen und Erstellen einer Bereitstellung.
• Verbindungen und Ressourcen erstellen und verwalten
• Verbindung zu Microsoft Azure Resource Manager
• Maschinenkataloge erstellen
• Erstellen eines Microsoft Azure-Katalogtests