Doppia crittografia su disco gestito

È possibile creare un catalogo di macchine con doppia crittografia. Tutti i cataloghi creati con questa funzionalità hanno tutti i dischi crittografati lato server con chiavi gestite sia dalla piattaforma che dal cliente. L’utente possiede e gestisce l’Azure Key Vault, la chiave di crittografia e i set di crittografia del disco (DES).

La doppia crittografia è una crittografia lato piattaforma (impostazione predefinita) e una crittografia gestita dal cliente (CMEK). Pertanto, se si è un cliente con elevate esigenze di sicurezza preoccupato per il rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa, è possibile optare per questa doppia crittografia. I dischi persistenti del sistema operativo e dei dati, le snapshot e le immagini sono tutti crittografati a riposo con doppia crittografia.

Nota:

• È possibile creare e aggiornare un catalogo di macchine con doppia crittografia utilizzando l’interfaccia di configurazione completa e i comandi PowerShell.

• È possibile utilizzare un flusso di lavoro basato su profilo non macchina o un flusso di lavoro basato su profilo macchina per creare o aggiornare un catalogo di macchine con doppia crittografia.

• Se si utilizza un flusso di lavoro basato su profilo non macchina per creare un catalogo di macchine, è possibile riutilizzare il DiskEncryptionSetId memorizzato.
• Se si utilizza un profilo macchina, è possibile utilizzare una VM o una specifica di modello come input del profilo macchina.

• Limitazioni

• La doppia crittografia non è supportata per i dischi Ultra o i dischi Premium SSD v2.
• La doppia crittografia non è supportata sui dischi non gestiti.
• Se si disabilita una chiave del set di crittografia del disco associata a un catalogo, le VM del catalogo vengono disabilitate.
• Tutte le risorse relative alle chiavi gestite dal cliente (Azure Key Vault, set di crittografia del disco, VM, dischi e snapshot) devono trovarsi nella stessa sottoscrizione e nella stessa regione.
• È possibile creare fino a 50 set di crittografia del disco per regione per sottoscrizione.
  • Non è possibile aggiornare un catalogo di macchine che ha già un DiskEncryptionSetId con un DiskEncryptionSetId diverso.

Creare un catalogo di macchine con doppia crittografia

È possibile creare e aggiornare un catalogo di macchine con doppia crittografia utilizzando l’interfaccia di configurazione completa e i comandi PowerShell.

I passaggi dettagliati su come creare un catalogo di macchine con doppia crittografia sono:

1. Creare un Azure Key Vault e un DES con chiavi gestite dalla piattaforma e dal cliente. Per informazioni su come creare un Azure Key Vault e un DES, vedere Usare il portale di Azure per abilitare la doppia crittografia a riposo per i dischi gestiti.
2. Per sfogliare i set di crittografia del disco disponibili nella connessione di hosting:
   1. Aprire una finestra PowerShell.
      • 1. Eseguire i seguenti comandi PowerShell:
   2. asnp citrix*
   3. cd xdhyp:
      • 1. cd HostingUnits
   4. cd YourHostingUnitName (es. azure-east)
   5. cd diskencryptionset.folder - 1. dir

   -  È possibile utilizzare un ID del `DiskEncryptionSet` per creare o aggiornare un catalogo utilizzando proprietà personalizzate.
   

   • 1. Se si desidera utilizzare il flusso di lavoro del profilo macchina, creare una VM o una specifica di modello come input del profilo macchina.
        • Se si desidera utilizzare una VM come input del profilo macchina:
     2. Creare una VM nel portale di Azure.
     3. Passare a Dischi>Gestione chiavi per crittografare la VM direttamente con qualsiasi DiskEncryptionSetID.
        • Se si desidera utilizzare una specifica di modello come input del profilo macchina:
     4. Nel modello, in properties>storageProfile>osDisk>managedDisk, aggiungere il parametro diskEncryptionSet e aggiungere l’ID del DES a doppia crittografia.
3. Creare il catalogo di macchine.
   • Se si utilizza l’interfaccia di configurazione completa, eseguire una delle seguenti operazioni in aggiunta ai passaggi descritti in Creare cataloghi di macchine.
     • Se non si utilizza un flusso di lavoro basato su profilo macchina, nella pagina Impostazioni disco, selezionare Usa la seguente chiave per crittografare i dati su ogni macchina. Quindi, selezionare il DES a doppia crittografia dall’elenco a discesa. Continuare a creare il catalogo.
     • Se si utilizza il flusso di lavoro del profilo macchina, nella pagina Immagine, selezionare un’immagine master (o immagine preparata) e un profilo macchina. Assicurarsi che il profilo macchina abbia un ID del set di crittografia del disco nelle sue proprietà.

     Tutte le macchine create nel catalogo sono a doppia crittografia tramite la chiave associata al DES selezionato.

   • Se si utilizzano i comandi PowerShell, eseguire una delle seguenti operazioni:

     • Se non si utilizza un flusso di lavoro basato su profilo macchina, aggiungere la proprietà personalizzata DiskEncryptionSetId nel comando New-ProvScheme. Ad esempio:

       
        New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
        <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
        <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
        <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
        </CustomProperties>'
        -HostingUnitName "Redacted"
        -IdentityPoolName "Redacted"
        -InitialBatchSizeHint 1
        -MasterImageVM "Redacted"
        -NetworkMapping @{"0"="Redacted"}
        -ProvisioningSchemeName "Redacted"
        -ServiceOffering "Redacted"
       
        <!--NeedCopy-->
       

     • Se si utilizza un flusso di lavoro basato su profilo macchina, utilizzare un input del profilo macchina nel comando New-ProvScheme. Ad esempio:

       ```

       New-ProvScheme -CleanOnBoot -HostingUnitName azure-east

• -IdentityPoolName aio-ip -InitialBatchSizeHint 1 -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot -NetworkMapping @{“0”=”XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network”} -ProvisioningSchemeName aio-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion

       <!--NeedCopy--> ```
  
   Completare la creazione di un catalogo utilizzando l'SDK PowerShell remoto. Per informazioni su come creare un catalogo utilizzando l'SDK PowerShell remoto, vedere <https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/>. Tutte le macchine create nel catalogo sono a doppia crittografia tramite la chiave associata al DES selezionato.
  

Convertire un catalogo non crittografato per utilizzare la doppia crittografia

È possibile aggiornare il tipo di crittografia di un catalogo di macchine (utilizzando proprietà personalizzate o profilo macchina) solo se il catalogo era precedentemente non crittografato.

-  Se non si utilizza un flusso di lavoro basato su profilo macchina, aggiungere la proprietà personalizzata DiskEncryptionSetId nel comando `Set-ProvScheme`. Ad esempio:

```

Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
-CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
</CustomProperties>'

<!--NeedCopy--> ```

• Se si utilizza un flusso di lavoro basato su profilo macchina, utilizzare un input del profilo macchina nel comando Set-ProvScheme. Ad esempio:

  
   -  Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
  
   <!--NeedCopy-->
  

  • Una volta completata l’operazione, tutte le nuove VM aggiunte al catalogo saranno a doppia crittografia tramite la chiave associata al DES selezionato.

• Verificare che il catalogo sia a doppia crittografia

• Nell’interfaccia di configurazione completa:

• 1. Passare a Cataloghi macchine.
  2. Selezionare il catalogo che si desidera verificare. Fare clic sulla scheda Proprietà modello situata nella parte inferiore dello schermo.
  3. In Dettagli Azure, verificare l’ID del set di crittografia del disco in Set di crittografia del disco. Se l’ID DES del catalogo è vuoto, il catalogo non è crittografato.
  4. Nel portale di Azure, verificare che il tipo di crittografia del DES associato all’ID DES sia chiavi gestite dalla piattaforma e dal cliente.

• Utilizzando il comando PowerShell:

  1. Aprire la finestra PowerShell.
  2. Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.

  3. Utilizzare Get-ProvScheme per ottenere le informazioni del catalogo di macchine. Ad esempio:

     
     Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     
     <!--NeedCopy-->
     

  4. Recuperare la proprietà personalizzata ID DES del catalogo di macchine. Ad esempio:

     
     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     
     <!--NeedCopy-->
     

  5. Nel portale di Azure, verificare che il tipo di crittografia del DES associato all’ID DES sia chiavi gestite dalla piattaforma e dal cliente.

Dove andare dopo

• Per gestire i cataloghi, vedere Gestire i cataloghi di macchine e Gestire un catalogo Microsoft Azure.

• Per informazioni sulle funzionalità relative alla crittografia, vedere:

  • Crittografia lato server di Azure
  • Crittografia del disco di Azure sull’host

• Per informazioni su altre funzionalità specifiche, vedere:

  • Archiviazione

Ulteriori informazioni

• Per rivedere l’intero processo di configurazione, vedere Pianificare e creare una distribuzione.
• Creare e gestire connessioni e risorse

• Connessione a Microsoft Azure Resource Manager

• Creare cataloghi di macchine
• Creare un test del catalogo Microsoft Azure