Configuration de Cloud Volumes ONTAP pour utiliser une clé gérée par le client dans Azure
Les données sont automatiquement chiffrées sur Cloud Volumes ONTAP dans Azure grâce à Azure Storage Service Encryption avec une clé gérée par Microsoft. Mais vous pouvez utiliser votre propre clé de cryptage en suivant les étapes de cette page.
Présentation du chiffrement des données
Les données Cloud Volumes ONTAP sont automatiquement chiffrées dans Azure à l'aide de "Chiffrement de service de stockage Azure". L'implémentation par défaut utilise une clé gérée par Microsoft. Aucune configuration n'est requise.
Pour utiliser une clé gérée par le client avec Cloud Volumes ONTAP, vous devez effectuer les opérations suivantes :
-
Depuis Azure, créez un coffre-fort de clés, puis générez une clé dans ce coffre-fort.
-
Depuis BlueXP, utilisez l'API pour créer un environnement de travail Cloud Volumes ONTAP qui utilise la clé.
Rotation des clés
Si vous créez une nouvelle version de votre clé, Cloud Volumes ONTAP utilise automatiquement la dernière version de la clé.
Mode de cryptage des données
BlueXP utilise un jeu de chiffrement de disque qui permet de gérer les clés de chiffrement avec des disques gérés et non des objets blob de page. Les nouveaux disques de données utilisent également le même jeu de cryptage de disque. Les versions inférieures utilisent une clé gérée par Microsoft au lieu de la clé gérée par le client.
Après avoir créé un environnement de travail Cloud Volumes ONTAP configuré pour utiliser une clé gérée par le client, les données Cloud Volumes ONTAP sont chiffrées comme suit.
Configuration Cloud Volumes ONTAP | Disques système utilisés pour le chiffrement de clé | Disques de données utilisés pour le chiffrement de clé |
---|---|---|
Un seul nœud |
|
|
Zone de disponibilité unique Azure HA avec blobs de page |
|
Aucune |
Zone de disponibilité unique Azure HA avec des disques gérés partagés |
|
|
Azure HA offre plusieurs zones de disponibilité avec des disques gérés partagés |
|
|
Tous les comptes de stockage Azure pour Cloud Volumes ONTAP sont chiffrés à l'aide d'une clé gérée par le client. Si vous souhaitez chiffrer vos comptes de stockage lors de leur création, vous devez créer et fournir l'ID de la ressource dans la demande de création de Cloud Volumes ONTAP. Cela s'applique à tous les types de déploiements. Si vous ne le fournissez pas, les comptes de stockage seront toujours cryptés, mais BlueXP créera d'abord les comptes de stockage avec cryptage de clé géré par Microsoft, puis mettra à jour les comptes de stockage pour utiliser la clé gérée par le client.
Créez une identité gérée attribuée par l'utilisateur
Vous avez la possibilité de créer une ressource appelée identité gérée attribuée par l'utilisateur. Vous pouvez ainsi chiffrer vos comptes de stockage lorsque vous créez un environnement de travail Cloud Volumes ONTAP. Nous vous recommandons de créer cette ressource avant de créer un coffre-fort de clés et de générer une clé.
La ressource a l'ID suivant : userassignedidentity
.
-
Dans Azure, accédez aux services Azure et sélectionnez identités gérées.
-
Cliquez sur Créer.
-
Fournissez les informations suivantes :
-
Abonnement : choisissez un abonnement. Nous vous recommandons de choisir le même abonnement que l'abonnement Connector.
-
Groupe de ressources : utilisez un groupe de ressources existant ou créez-en un nouveau.
-
Région : sélectionnez éventuellement la même région que le connecteur.
-
Nom : entrez un nom pour la ressource.
-
-
Si vous le souhaitez, ajoutez des balises.
-
Cliquez sur Créer.
Créez un coffre-fort de clés et générez une clé
Le coffre-fort de clés doit résider dans la même région et l'abonnement Azure dans laquelle vous prévoyez de créer le système Cloud Volumes ONTAP.
Si vous créé une identité gérée attribuée par l'utilisateur, lors de la création du coffre-fort de clés, vous devez également créer une stratégie d'accès pour le coffre-fort de clés.
-
"Créez un coffre-fort de clés dans votre abonnement Azure".
Notez les exigences suivantes pour le coffre-fort de clés :
-
Le coffre-fort de clés doit résider dans la même région que le système Cloud Volumes ONTAP.
-
Les options suivantes doivent être activées :
-
Soft-delete (cette option est activée par défaut, mais doit not être désactivée)
-
Protection de purge
-
Azure Disk Encryption pour le chiffrement des volumes (pour les systèmes à un seul nœud, les paires haute disponibilité dans plusieurs zones et les déploiements AZ uniques haute disponibilité)
L'utilisation des clés de chiffrement gérées par le client Azure dépend de l'activation du chiffrement de disque Azure pour le coffre-fort de clés.
-
-
L'option suivante doit être activée si vous avez créé une identité gérée attribuée par l'utilisateur :
-
Politique d'accès au coffre-fort
-
-
-
Si vous avez sélectionné la règle d'accès au coffre-fort, cliquez sur Créer pour créer une règle d'accès pour le coffre-fort de clés. Si ce n'est pas le cas, passez à l'étape 3.
-
Sélectionnez les autorisations suivantes :
-
obtenez
-
liste
-
déchiffrement
-
chiffrer
-
touche de déroulage
-
touche wrap
-
la vérification
-
signe
-
-
Sélectionnez l'identité gérée (ressource) attribuée par l'utilisateur comme principal.
-
Révision et création de la stratégie d'accès.
-
-
"Générez une clé dans le coffre-fort de clés".
Notez les exigences suivantes pour la clé :
-
Le type de clé doit être RSA.
-
La taille de clé RSA recommandée est 2048, mais d'autres tailles sont prises en charge.
-
Créez un environnement de travail qui utilise la clé de cryptage
Après avoir créé le coffre-fort de clés et généré une clé de cryptage, vous pouvez créer un nouveau système Cloud Volumes ONTAP configuré pour utiliser la clé. Ces étapes sont prises en charge à l'aide de l'API BlueXP.
Si vous souhaitez utiliser une clé gérée par le client avec un système Cloud Volumes ONTAP à un seul nœud, assurez-vous que le connecteur BlueXP dispose des autorisations suivantes :
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
-
Obtenez la liste des coffres-forts de clés dans votre abonnement Azure en utilisant l'appel d'API BlueXP suivant.
Pour une paire haute disponibilité :
GET /azure/ha/metadata/vaults
Pour un seul nœud :
GET /azure/vsa/metadata/vaults
Notez les name et ResourceGroup. Vous devrez spécifier ces valeurs à l'étape suivante.
-
Obtenez la liste des clés dans le coffre-fort à l'aide de l'appel d'API BlueXP suivant.
Pour une paire haute disponibilité :
GET /azure/ha/metadata/keys-vault
Pour un seul nœud :
GET /azure/vsa/metadata/keys-vault
Notez le keyName. Vous devrez spécifier cette valeur (avec le nom du coffre-fort) à l'étape suivante.
-
Créez un système Cloud Volumes ONTAP à l'aide de l'appel d'API BlueXP suivant.
-
Pour une paire haute disponibilité :
POST /azure/ha/working-environments
Le corps de la demande doit inclure les champs suivants :
"azureEncryptionParameters": { "key": "keyName", "vaultName": "vaultName" }
Incluez le "userAssignedIdentity": " userAssignedIdentityId"
si vous avez créé cette ressource à utiliser pour le cryptage du compte de stockage. -
Pour un système à un seul nœud :
POST /azure/vsa/working-environments
Le corps de la demande doit inclure les champs suivants :
"azureEncryptionParameters": { "key": "keyName", "vaultName": "vaultName" }
Incluez le "userAssignedIdentity": " userAssignedIdentityId"
si vous avez créé cette ressource à utiliser pour le cryptage du compte de stockage.
-
Un nouveau système Cloud Volumes ONTAP est configuré pour utiliser la clé gérée par le client pour le chiffrement des données.