Cloud Volumes ONTAP einrichten, um einen vom Kunden gemanagten Schlüssel in Azure zu verwenden
Die Daten werden auf Cloud Volumes ONTAP in Azure automatisch verschlüsselt "Azure Storage Service Encryption" Mit einem von Microsoft gemanagten Schlüssel Aber Sie können Ihren eigenen Verschlüsselungsschlüssel verwenden, indem Sie die Schritte auf dieser Seite befolgen.
Übersicht über die Datenverschlüsselung
Cloud Volumes ONTAP-Daten werden in Azure automatisch verschlüsselt "Azure Storage Service Encryption". Bei der Standardimplementierung wird ein von Microsoft verwalteter Schlüssel verwendet. Es ist keine Einrichtung erforderlich.
Wenn Sie einen vom Kunden gemanagten Schlüssel mit Cloud Volumes ONTAP verwenden möchten, müssen Sie folgende Schritte ausführen:
-
Aus Azure erstellen Sie einen Schlüsselspeicher und generieren Sie anschließend einen Schlüssel in diesem Vault.
-
Verwenden Sie für BlueXP die API, um eine Cloud Volumes ONTAP-Arbeitsumgebung zu erstellen, in der der Schlüssel zum Einsatz kommt.
Rotation von Schlüsseln
Wenn Sie eine neue Version Ihres Schlüssels erstellen, verwendet Cloud Volumes ONTAP automatisch die neueste Schlüsselversion.
Verschlüsselte Daten
BlueXP verwendet einen Satz Festplattenverschlüsselung, der das Management von Verschlüsselungen mit gemanagten Festplatten und nicht mit Page-Blobs ermöglicht. Neue Festplatten verwenden ebenfalls denselben Festplattenverschlüsselungssatz. Bei niedrigeren Versionen wird der von Microsoft verwaltete Schlüssel anstelle des vom Kunden verwalteten Schlüssels verwendet.
Nachdem Sie eine Cloud Volumes ONTAP Arbeitsumgebung erstellt haben, in der ein vom Kunden gemanagter Schlüssel verwendet wird, werden Cloud Volumes ONTAP Daten wie folgt verschlüsselt.
Cloud Volumes ONTAP-Konfiguration | Systemfestplatten, die für die Schlüsselverschlüsselung verwendet werden | Datenfestplatten, die für die Verschlüsselung des Schlüssels verwendet werden |
---|---|---|
Single Node |
|
|
Azure HA, eine einzelne Verfügbarkeitszone mit Page-Blobs |
|
Keine |
Azure HA, eine einzelne Verfügbarkeitszone mit gemeinsam genutzten verwalteten Festplatten |
|
|
Azure HA mehrere Verfügbarkeitszonen mit gemeinsam genutzten gemanagten Festplatten |
|
|
Alle Azure-Storage-Konten für Cloud Volumes ONTAP werden über einen vom Kunden gemanagten Schlüssel verschlüsselt. Wenn Sie Ihre Speicherkonten während ihrer Erstellung verschlüsseln möchten, müssen Sie in der Cloud Volumes ONTAP-Erstellungsanforderung die ID der Ressource erstellen und angeben. Dies gilt für alle Implementierungsarten. Wenn Sie es nicht bereitstellen, werden die Speicherkonten immer noch verschlüsselt, aber BlueXP erstellt zuerst die Speicherkonten mit von Microsoft administrierter Verschlüsselungsmethode und aktualisiert dann die Speicherkonten, um den vom Kunden verwalteten Schlüssel zu verwenden.
Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität
Sie haben die Möglichkeit, eine Ressource zu erstellen, die als benutzerzugewiesene verwaltete Identität bezeichnet wird. Auf diese Weise können Sie Ihre Storage-Konten verschlüsseln, wenn Sie eine Cloud Volumes ONTAP-Arbeitsumgebung erstellen. Wir empfehlen, diese Ressource zu erstellen, bevor Sie einen Schlüsseltresor erstellen und einen Schlüssel erzeugen.
Die Ressource hat die folgende ID: userassignedidentity
.
-
Gehen Sie in Azure zu Azure Services und wählen Sie verwaltete Identitäten aus.
-
Klicken Sie Auf Erstellen.
-
Geben Sie folgende Informationen an:
-
Abonnement: Wählen Sie ein Abonnement. Wir empfehlen, dasselbe Abonnement wie das Connector-Abonnement zu wählen.
-
Ressourcengruppe: Verwenden Sie eine vorhandene Ressourcengruppe oder erstellen Sie eine neue.
-
Region: Wählen Sie optional die gleiche Region wie der Connector.
-
Name: Geben Sie einen Namen für die Ressource ein.
-
-
Optional können Sie Tags hinzufügen.
-
Klicken Sie Auf Erstellen.
Erstellen eines Schlüsselgewölbes und Generieren eines Schlüssels
Der Schlüsselspeicher muss in demselben Azure Abonnement und derselben Region liegen, in der Sie das Cloud Volumes ONTAP System erstellen möchten.
Wenn Sie Eine vom Benutzer zugewiesene verwaltete Identität wurde erstellt, Beim Erstellen des Schlüsseltresors sollten Sie auch eine Zugangsrichtlinie für den Schlüsseltresor erstellen.
-
"Erstellen Sie einen Schlüsselspeicher in Ihrem Azure-Abonnement".
Beachten Sie die folgenden Anforderungen für den Schlüsselspeicher:
-
Der Schlüsselgewölbe muss sich in derselben Region wie das Cloud Volumes ONTAP System befinden.
-
Die folgenden Optionen sollten aktiviert sein:
-
Soft-delete (diese Option ist standardmäßig aktiviert, muss aber nicht_ deaktiviert sein)
-
Schutz löschen
-
Azure Festplattenverschlüsselung für Volume-Verschlüsselung (für Systeme mit einem Node, HA-Paare in mehreren Zonen und HA-Single-AZ-Implementierungen)
Die Verwendung der vom Kunden gemanagten Azure Verschlüsselungsschlüssel ist abhängig davon, dass die Azure Disk Encryption für den Schlüsselspeicher aktiviert ist.
-
-
Die folgende Option sollte aktiviert sein, wenn Sie eine vom Benutzer zugewiesene verwaltete Identität erstellt haben:
-
Vault-Zugangsrichtlinie
-
-
-
Wenn Sie die Vault-Zugriffsrichtlinie ausgewählt haben, klicken Sie auf Erstellen, um eine Zugriffsrichtlinie für den Schlüsseltresor zu erstellen. Falls nicht, fahren sie mit Schritt 3 fort.
-
Wählen Sie die folgenden Berechtigungen aus:
-
Get
-
Liste
-
Entschlüsseln
-
Verschlüsseln
-
Taste zum Auspacken
-
Umbruch-Taste
-
Verifizieren
-
signieren
-
-
Wählen Sie die vom Benutzer zugewiesene verwaltete Identität (Ressource) als Prinzipal aus.
-
Überprüfen und erstellen Sie die Zugriffsrichtlinie.
-
-
"Einen Schlüssel im Schlüsselspeicher erzeugen".
Beachten Sie die folgenden Anforderungen für den Schlüssel:
-
Der Schlüsseltyp muss RSA sein.
-
Die empfohlene RSA-Schlüsselgröße beträgt 2048, andere Größen werden unterstützt.
-
Erstellen Sie eine Arbeitsumgebung, in der der Verschlüsselungsschlüssel verwendet wird
Nachdem Sie den Schlüsselspeicher erstellt und einen Verschlüsselungsschlüssel generiert haben, können Sie ein neues Cloud Volumes ONTAP-System erstellen, das für die Verwendung des Schlüssels konfiguriert ist. Diese Schritte werden von der BlueXP API unterstützt.
Wenn Sie einen vom Kunden verwalteten Schlüssel mit einem Cloud Volumes ONTAP-System mit einem einzelnen Knoten verwenden möchten, stellen Sie sicher, dass der BlueXP-Connector über die folgenden Berechtigungen verfügt:
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
-
Nutzen Sie den folgenden BlueXP API-Aufruf, um die Liste der Schlüsselvaults in Ihrem Azure-Abonnement zu erhalten.
Bei einem HA-Paar:
GET /azure/ha/metadata/vaults
Für Single Node:
GET /azure/vsa/metadata/vaults
Notieren Sie sich den Namen und die resourceGroup. Im nächsten Schritt müssen Sie diese Werte angeben.
-
Rufen Sie die Liste der Schlüssel im Tresor mithilfe des folgenden BlueXP API-Aufrufs ab.
Bei einem HA-Paar:
GET /azure/ha/metadata/keys-vault
Für Single Node:
GET /azure/vsa/metadata/keys-vault
Notieren Sie sich den Keyname. Im nächsten Schritt müssen Sie diesen Wert (zusammen mit dem Vault-Namen) angeben.
-
Erstellen Sie ein Cloud Volumes ONTAP-System mithilfe des folgenden BlueXP-API-Aufrufs.
-
Bei einem HA-Paar:
POST /azure/ha/working-environments
Der Text der Anforderung muss die folgenden Felder enthalten:
"azureEncryptionParameters": { "key": "keyName", "vaultName": "vaultName" }
Nehmen Sie die auf "userAssignedIdentity": " userAssignedIdentityId"
Feld, wenn Sie diese Ressource für die Verschlüsselung von Speicherkontos erstellt haben. -
System mit einem einzelnen Node:
POST /azure/vsa/working-environments
Der Text der Anforderung muss die folgenden Felder enthalten:
"azureEncryptionParameters": { "key": "keyName", "vaultName": "vaultName" }
Nehmen Sie die auf "userAssignedIdentity": " userAssignedIdentityId"
Feld, wenn Sie diese Ressource für die Verschlüsselung von Speicherkontos erstellt haben.
-
Sie verfügen über ein neues Cloud Volumes ONTAP System, das so konfiguriert ist, dass Sie Ihren vom Kunden gemanagten Schlüssel zur Datenverschlüsselung nutzen können.