Cryptage de disque sur l’hôte Azure
Vous pouvez créer un catalogue de machines MCS avec fonctionnalité de cryptage sur l’hôte. Actuellement, MCS prend uniquement en charge le workflow de profil de machine pour cette fonctionnalité. Vous pouvez utiliser une machine virtuelle ou une spécification de modèle comme entrée pour un profil de machine.
Cette méthode de chiffrement ne chiffre pas les données via le stockage Azure. Le serveur hébergeant la machine virtuelle chiffre les données, puis les données chiffrées circulent via le serveur de stockage Azure. Par conséquent, cette méthode de chiffrement chiffre les données de bout en bout.
Limitations
Limites du chiffrement de disque Azure sur l’hôte :
- Non pris en charge pour toutes les tailles de machines Azure
- Incompatible avec le chiffrement de disque Azure
Créer un catalogue de machines avec une fonctionnalité de chiffrement sur l’hôte
Pour créer un catalogue de machines avec une fonctionnalité de chiffrement sur l’hôte, procédez comme suit :
- Vérifiez si la fonctionnalité de chiffrement sur l’hôte est activée ou non dans l’abonnement. Pour ce faire, consultez l’article https://learn.microsoft.com/fr-fr/rest/api/resources/features/get?tabs=HTTP/. Si elle n’est pas activée, vous devez activer la fonctionnalité pour l’abonnement. Pour plus d’informations sur l’activation de la fonctionnalité pour votre abonnement, consultez https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#preRequirements/.
-
Vérifiez si une taille de machine virtuelle Azure particulière prend en charge le chiffrement sur l’hôte ou non. Pour ce faire, dans une fenêtre PowerShell, exécutez l’une des opérations suivantes :
PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder> <!--NeedCopy-->PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder> <!--NeedCopy--> -
Créez une machine virtuelle ou une spécification de modèle en tant qu’entrée pour le profil de la machine dans le portail Azure avec le chiffrement sur l’hôte activé.
- Si vous souhaitez créer une machine virtuelle, sélectionnez une taille de machine virtuelle qui prend en charge le chiffrement sur l’hôte. Une fois la machine virtuelle créée, la propriété de la machine virtuelle Chiffrement sur l’hôte est activée.
- Si vous souhaitez utiliser une spécification de modèle, affectez le paramètre
Chiffrement sur l'hôtesur true danssecurityProfile.
-
Créez un catalogue de machines MCS avec un workflow de profil de machine en sélectionnant une machine virtuelle ou une spécification de modèle.
- Disque d’OS/disque de données : chiffré via une clé gérée par le client et une clé gérée par la plate-forme
- Disque d’OS éphémère : chiffré uniquement via une clé gérée par la plate-forme
- Disque cache : chiffré via une clé gérée par le client et une clé gérée par la plate-forme
Vous pouvez créer le catalogue de machines à l’aide de l’interface Configuration complète ou en exécutant des commandes PowerShell.
Récupérer les informations de chiffrement sur l’hôte à partir d’un profil de machine
Vous pouvez récupérer les informations de chiffrement sur l’hôte à partir d’un profil de machine lorsque vous exécutez la commande PowerShell avec le paramètre AdditionalData. Si le paramètre EncryptionAtHost est défini sur True, cela indique que le chiffrement sur l’hôte est activé pour le profil de la machine.
Par exemple : lorsque l’entrée du profil de machine est une machine virtuelle, exécutez la commande suivante :
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->
Par exemple : lorsque l’entrée du profil de la machine est une spécification de modèle, exécutez la commande suivante :
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->