Crittografia del disco di Azure nell’host

È possibile creare un catalogo di macchine MCS con la funzionalità di crittografia nell’host. Attualmente, MCS supporta solo il flusso di lavoro del profilo macchina per questa funzionalità. È possibile utilizzare una VM o una specifica di modello come input per un profilo macchina.

Questo metodo di crittografia non crittografa i dati tramite l’archiviazione di Azure. Il server che ospita la VM crittografa i dati e quindi i dati crittografati fluiscono attraverso il server di archiviazione di Azure. Pertanto, questo metodo di crittografia crittografa i dati end-to-end.

• Limitazioni

La crittografia del disco di Azure nell’host:

• Non supportata per tutte le dimensioni di macchine Azure
  • Incompatibile con la crittografia del disco di Azure

Creare un catalogo di macchine con la funzionalità di crittografia nell’host

Per creare un catalogo di macchine con la funzionalità di crittografia nell’host

1. Verificare se la funzionalità di crittografia nell’host è abilitata o meno per la sottoscrizione. A tale scopo, consultare https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/. Se non è abilitata, è necessario abilitare la funzionalità per la sottoscrizione. Per informazioni sull’abilitazione della funzionalità per la sottoscrizione, consultare https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/.
   • 1. Verificare se una particolare dimensione di VM Azure supporta la crittografia nell’host. A tale scopo, in una finestra di PowerShell, eseguire uno dei seguenti comandi:

   
   -  PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder>
   
   <!--NeedCopy-->
   

   
   PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder>
   
   <!--NeedCopy-->
   

2. Creare una VM o una specifica di modello, come input per il profilo macchina, nel portale di Azure con la crittografia nell’host abilitata.

   • Se si desidera creare una VM, selezionare una dimensione di VM che supporti la crittografia nell’host. Dopo aver creato la VM, la proprietà della VM Crittografia nell’host viene abilitata.
   • Se si desidera utilizzare una specifica di modello, assegnare il parametro Encryption at Host come true all’interno di securityProfile.

3. Creare un catalogo di macchine MCS con il flusso di lavoro del profilo macchina selezionando una VM o una specifica di modello.

   • Disco del sistema operativo / Disco dati: Viene crittografato tramite chiave gestita dal cliente e chiave gestita dalla piattaforma
   • Disco del sistema operativo effimero: Viene crittografato solo tramite chiave gestita dalla piattaforma
   • Disco cache: Viene crittografato tramite chiave gestita dal cliente e chiave gestita dalla piattaforma

   È possibile creare il catalogo di macchine utilizzando l’interfaccia di configurazione completa o eseguendo comandi PowerShell.

Recuperare le informazioni sulla crittografia nell’host da un profilo macchina

È possibile recuperare le informazioni sulla crittografia nell’host da un profilo macchina quando si esegue il comando PowerShell con il parametro AdditionalData. Se il parametro EncryptionAtHost è True, indica che la crittografia nell’host è abilitata per il profilo macchina.

Ad esempio: quando l’input del profilo macchina è una VM, eseguire il seguente comando:

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData

<!--NeedCopy-->

Ad esempio: quando l’input del profilo macchina è una specifica di modello, eseguire il seguente comando:

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData

<!--NeedCopy-->