Crittografia del disco di Azure a livello di host
È possibile creare un catalogo macchine MCS con funzionalità di crittografia a livello di host. Attualmente, MCS supporta solo il flusso di lavoro del profilo macchina per questa funzionalità. È possibile utilizzare una VM o una specifica di modello come input per un profilo macchina.
Questo metodo di crittografia non crittografa i dati tramite l’archiviazione di Azure. Il server che ospita la VM crittografa i dati e quindi i dati crittografati fluiscono attraverso il server di archiviazione di Azure. Pertanto, questo metodo di crittografia crittografa i dati end-to-end.
Limitazioni
La crittografia del disco di Azure a livello di host:
- Non è supportata per tutte le dimensioni di macchine Azure
- È incompatibile con la crittografia del disco di Azure
Creare un catalogo macchine con funzionalità di crittografia a livello di host
Per creare un catalogo macchine con funzionalità di crittografia a livello di host
- Verificare se la funzionalità di crittografia a livello di host è abilitata per la sottoscrizione. A tale scopo, consultare https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/. Se non è abilitata, è necessario abilitare la funzionalità per la sottoscrizione. Per informazioni sull’abilitazione della funzionalità per la sottoscrizione, consultare https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/.
-
Verificare se una particolare dimensione di VM di Azure supporta la crittografia a livello di host. A tale scopo, in una finestra di PowerShell, eseguire uno dei seguenti comandi:
PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder> <!--NeedCopy-->PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder> <!--NeedCopy--> -
Creare una VM o una specifica di modello, come input per il profilo macchina, nel portale di Azure con la crittografia a livello di host abilitata.
- Se si desidera creare una VM, selezionare una dimensione di VM che supporti la crittografia a livello di host. Dopo aver creato la VM, la proprietà della VM Crittografia a livello di host viene abilitata.
- Se si desidera utilizzare una specifica di modello, assegnare il parametro
Encryption at Hostcome true all’interno disecurityProfile.
-
Creare un catalogo macchine MCS con il flusso di lavoro del profilo macchina selezionando una VM o una specifica di modello.
- Disco del sistema operativo / Disco dati: Viene crittografato tramite chiave gestita dal cliente e chiave gestita dalla piattaforma
- Disco del sistema operativo temporaneo: Viene crittografato solo tramite chiave gestita dalla piattaforma
- Disco cache: Viene crittografato tramite chiave gestita dal cliente e chiave gestita dalla piattaforma
È possibile creare il catalogo macchine utilizzando l’interfaccia di configurazione completa o eseguendo comandi PowerShell.
Recuperare le informazioni sulla crittografia a livello di host da un profilo macchina
È possibile recuperare le informazioni sulla crittografia a livello di host da un profilo macchina quando si esegue il comando PowerShell con il parametro AdditionalData. Se il parametro EncryptionAtHost è True, indica che la crittografia a livello di host è abilitata per il profilo macchina.
Ad esempio: quando l’input del profilo macchina è una VM, eseguire il seguente comando:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->
Ad esempio: quando l’input del profilo macchina è una specifica di modello, eseguire il seguente comando:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->