Chiffrement double sur disque géré

Vous pouvez créer un catalogue de machines avec chiffrement double. Tous les catalogues créés à l’aide de cette fonctionnalité sont chiffrés côté serveur à l’aide de clés gérées par la plate-forme et par le client. Vous possédez et gérez Azure Key Vault, la clé de chiffrement et les jeux de chiffrement de disque (DES).

Le chiffrement double est un chiffrement côté plate-forme (par défaut) et un chiffrement géré par le client (CMEK). Par conséquent, si vous êtes un client gérant des données sensibles en termes de sécurité et que vous êtes préoccupé par le risque associé à un algorithme de cryptage, à une mise en œuvre ou à une clé compromise, vous pouvez opter pour ce cryptage double. Les disques du système d’exploitation et de données persistants, ainsi que les instantanés et les images sont chiffrés au repos à l’aide du chiffrement double.

Remarque

• Vous pouvez créer et mettre à jour un catalogue de machines utilisant un cryptage double à l’aide de l’interface Configuration complète et des commandes PowerShell.
• Vous pouvez utiliser un workflow non basé sur un profil de machine ou un workflow basé sur un profil de machine pour créer ou mettre à jour un catalogue de machines utilisant un cryptage double.
• Si vous utilisez un workflow non basé sur un profil de machine pour créer un catalogue de machines, vous pouvez réutiliser le DiskEncryptionSetId stocké.
• Si vous utilisez un profil de machine, vous pouvez utiliser une machine virtuelle ou une spécification de modèle comme entrée de profil de machine.

Limitations

• Le chiffrement double n’est pas pris en charge pour les disques Ultra Disks ou Premium SSD v2.
• Le chiffrement double n’est pas pris en charge sur les disques non gérés.
• Si vous désactivez une clé de jeu de chiffrement de disque associée à un catalogue, les machines virtuelles du catalogue sont désactivées.
• Toutes les ressources associées à vos clés gérées par le client (Azure Key Vault, jeux de chiffrement de disque, machines virtuelles, disques et instantanés) doivent résider dans le même abonnement et la même région.
• Vous ne pouvez créer qu’un maximum de 50 jeux de cryptage de disque par région et par abonnement.
• Vous ne pouvez pas mettre à jour un catalogue de machines qui possède déjà un DiskEncryptionSetId avec un DiskEncryptionSetId différent.

Créer un catalogue de machines avec chiffrement double

Vous pouvez créer et mettre à jour un catalogue de machines utilisant un cryptage double à l’aide de l’interface Configuration complète et des commandes PowerShell.

Les étapes détaillées pour créer un catalogue de machines avec chiffrement double sont les suivantes :

1. Créez une instance Azure Key Vault et un jeu de chiffrement de disque avec des clés gérées par la plate-forme et gérées par le client. Pour plus d’informations sur la création d’une instance Azure Key Vault et d’un jeu de chiffrement de disque (DES), consultez la section Utiliser le portail Azure pour activer le chiffrement double au repos pour les disques gérés.
2. Pour parcourir les jeux de chiffrement de disque disponibles dans votre connexion d’hébergement, procédez comme suit :
   1. Ouvrez une fenêtre PowerShell.
   2. Exécutez les commandes PowerShell suivantes :
      1. asnp citrix*
      2. cd xdhyp:
      3. cd HostingUnits
      4. cd YourHostingUnitName (ex. azure-east)
      5. cd diskencryptionset.folder
      6. dir

   Vous pouvez utiliser un identifiant de DiskEncryptionSet pour créer ou mettre à jour un catalogue à l’aide de propriétés personnalisées.

3. Si vous souhaitez utiliser le workflow du profil de machine, créez une machine virtuelle ou une spécification de modèle en tant qu’entrée de profil de machine.
   • Si vous souhaitez utiliser une machine virtuelle comme entrée de profil de machine :
     1. Créez une machine virtuelle dans le portail Azure.
     2. Accédez à Disques > Gestion des clés pour chiffrer la machine virtuelle directement avec n’importe quel DiskEncryptionSetID.
   • Si vous souhaitez utiliser une spécification de modèle comme entrée de profil de machine :
     1. Dans le modèle, sous properties>storageProfile>osDisk>managedDisk, ajoutez le paramètre diskEncryptionSet et ajoutez l’identifiant du chiffrement de disque utilisant le chiffrement double.
4. Créez le catalogue de machines.
   • Si vous utilisez l’interface Configuration complète, effectuez l’une des opérations suivantes en plus des étapes décrites dans Créer des catalogues de machines.
     • Si vous n’utilisez pas de workflow basé sur le profil de la machine, sur la page Paramètres du disque, sélectionnez Utilisez la clé suivante pour chiffrer les données sur chaque machine. Sélectionnez ensuite le jeu de chiffrement de disque utilisant le chiffrement double dans la liste déroulante. Continuez à créer le catalogue.
     • Si vous utilisez le workflow basé sur le profil de la machine, sur la page Image, sélectionnez une image principale (ou une image préparée) et un profil de machine. Assurez-vous que le profil de la machine est associé à un identifiant de jeu de chiffrement de disque dans ses propriétés.

     Le chiffrement double est appliqué à toutes les machines créées dans le catalogue via la clé associée au jeu de chiffrement de disque que vous avez sélectionné.

   • Si vous utilisez les commandes PowerShell, effectuez l’une des opérations suivantes :

     • Si vous n’utilisez pas de workflow basé sur le profil de machine, ajoutez la propriété personnalisée DiskEncryptionSetId dans la commande New-ProvScheme. Par exemple :

          New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
          <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
          <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
          <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
          </CustomProperties>'
          -HostingUnitName "Redacted"
          -IdentityPoolName "Redacted"
          -InitialBatchSizeHint 1
          -MasterImageVM "Redacted"
          -NetworkMapping @{"0"="Redacted"}
          -ProvisioningSchemeName "Redacted"
          -ServiceOffering "Redacted"
        <!--NeedCopy-->
       

     • Si vous utilisez un workflow basé sur le profil de machine, utilisez une entrée de profil de machine dans la commande New-ProvScheme. Par exemple :

          New-ProvScheme -CleanOnBoot
          -HostingUnitName azure-east
          -IdentityPoolName aio-ip
          -InitialBatchSizeHint 1
          -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot
          -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"}
          -ProvisioningSchemeName aio-test
          -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion
        <!--NeedCopy-->
       

     Terminez la création du catalogue à l’aide de Remote PowerShell SDK. Pour plus d’informations sur la création d’un catalogue à l’aide de SDK Remote PowerShell, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/. Le chiffrement double est appliqué à toutes les machines créées dans le catalogue via la clé associée au jeu de chiffrement de disque que vous avez sélectionné.

Convertir un catalogue non crypté en catalogue avec cryptage double

Vous pouvez mettre à jour le type de chiffrement d’un catalogue de machines (à l’aide de propriétés personnalisées ou d’un profil de machine) uniquement si le catalogue a déjà été déchiffré.

• Si vous n’utilisez pas de workflow basé sur le profil de machine, ajoutez la propriété personnalisée DiskEncryptionSetId dans la commande Set-ProvScheme. Par exemple :

     Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     </CustomProperties>'
   <!--NeedCopy-->
  

• Si vous utilisez un workflow basé sur le profil de machine, utilisez une entrée de profil de machine dans la commande Set-ProvScheme. Par exemple :

     Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
   <!--NeedCopy-->
  

Si l’opération réussit, le chiffrement double est appliqué à toutes les nouvelles machines virtuelles que vous ajoutez à votre catalogue via la clé associée au jeu de chiffrement de disque que vous avez sélectionné.

Vérifier que le catalogue utilise le chiffrement double

• Dans l’interface Configuration complète, procédez comme suit :

  1. Accédez à Catalogues de machines.
  2. Sélectionnez le catalogue que vous souhaitez vérifier. Cliquez sur l’onglet Propriétés du modèle situé en bas de l’écran.
  3. Dans Détails Azure, vérifiez l’ID du jeu de chiffrement de disque dans Jeu de chiffrement de disque. Si l’ID du jeu de chiffrement de disque associé au catalogue est vide, le catalogue n’est pas chiffré.
  4. Dans le portail Azure, vérifiez que le type de cryptage du jeu de cryptage de disque associé à l’ID DES est une clé gérée par la plate-forme et une clé gérée par le client.

• À l’aide de la commande PowerShell :

  1. Ouvrez la fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger des modules PowerShell spécifiques à Citrix.

  3. Utilisez Get-ProvScheme pour obtenir les informations de votre catalogue de machines. Par exemple :

       Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     <!--NeedCopy-->
     

  4. Récupérez la propriété personnalisée de l’ID du jeu de chiffrement de disque associé au catalogue de machines. Par exemple :

       <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     <!--NeedCopy-->
     

  5. Dans le portail Azure, vérifiez que le type de cryptage du jeu de cryptage de disque associé à l’ID DES est une clé gérée par la plate-forme et une clé gérée par le client.

Autres ressources

• Pour gérer les catalogues, consultez Gérer les catalogues de machines et Gérer un catalogue Microsoft Azure.

• Pour plus d’informations sur les fonctionnalités relatives au cryptage, consultez :

  • Chiffrement Azure côté serveur
  • Cryptage de disque sur l’hôte Azure

• Pour plus d’informations sur d’autres fonctionnalités spécifiques, consultez :

  • Storage

Informations supplémentaires

• Pour passer en revue l’ensemble du processus de configuration, reportez-vous à la section Planifier et créer un déploiement.
• Créer et gérer des connexions et des ressources
• Connexion à Microsoft Azure Resource Manager
• Créer des catalogues de machines
• Créer un test de catalogue Microsoft Azure