Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les clés avec Azure Key Vault

Contributeurs

Vous pouvez utiliser "Azure Key Vault (AKV)" Afin de protéger vos clés de chiffrement ONTAP dans une application déployée dans Azure.

AKV peut être utilisé pour protéger "Clés NetApp Volume Encryption (NVE)" Uniquement pour les SVM de données.

La gestion des clés via AKV peut être activée via l'interface de ligne de commande ou l'API REST ONTAP.

Lorsque vous utilisez AKV, notez que par défaut une LIF de SVM de données permet de communiquer avec le terminal de gestion des clés cloud. Un réseau de gestion de nœuds est utilisé pour communiquer avec les services d'authentification du fournisseur de cloud (login.microsoftonline.com). Si le réseau de cluster n'est pas configuré correctement, le cluster n'utilisera pas correctement le service de gestion des clés.

Avant de commencer
  • Cloud Volumes ONTAP doit exécuter la version 9.10.1 ou ultérieure

  • Licence Volume Encryption (VE) installée (la licence NetApp Volume Encryption est automatiquement installée sur chaque système Cloud Volumes ONTAP enregistré auprès du support NetApp).

  • Vous devez disposer d'une licence MT_EK_MGMT (Multi-tenant Encryption Key Management)

  • Vous devez être un administrateur de cluster ou de SVM

  • Un abonnement Active Azure

Limites
  • AKV ne peut être configuré que sur un SVM de données

  • NAE ne peut pas être utilisé avec AKV. NAE nécessite un serveur KMIP externe pris en charge.

Processus de configuration

La procédure décrite ci-dessus décrit comment enregistrer votre configuration Cloud Volumes ONTAP avec Azure et comment créer un coffre-fort de clés Azure et des clés. Si vous avez déjà effectué ces étapes, vérifiez que vous disposez des paramètres de configuration corrects, notamment dans Créez un coffre-fort de clés Azure, puis passer à Configuration Cloud Volumes ONTAP.

Inscription aux applications Azure
  1. Vous devez d'abord enregistrer votre application dans l'abonnement Azure que vous souhaitez que Cloud Volumes ONTAP utilise pour accéder au coffre-fort de clés Azure. Dans le portail Azure, sélectionnez enregistrements d'applications.

  2. Sélectionnez Nouvelle inscription.

  3. Indiquez un nom pour votre application et sélectionnez un type d'application pris en charge. Le locataire unique par défaut suffit pour l'utilisation d'Azure Key Vault. Sélectionnez Enregistrer.

  4. Dans la fenêtre Présentation d'Azure, sélectionnez l'application que vous avez enregistrée. Copiez l'ID de l'application (client) et l'ID du répertoire (locataire)** dans un emplacement sécurisé. Elles seront requises plus tard dans le processus d'inscription.

Créez le secret du client Azure
  1. Sur le portail Azure pour l'enregistrement de votre application Azure Key Vault, sélectionnez le volet Certificates & secrets.

  2. Sélectionnez Nouveau secret client. Entrez un nom significatif pour votre secret client. NetApp recommande une période d'expiration de 24 mois. Cependant, vos règles de gouvernance cloud peuvent varier.

  3. Cliquez sur Ajouter pour créer le secret client. Copiez la chaîne secrète répertoriée dans la colonne valeur et stockez-la dans un emplacement sécurisé pour une utilisation ultérieure dans Configuration Cloud Volumes ONTAP. La valeur secrète ne s'affiche plus après avoir naviré loin de la page.

Créez un coffre-fort de clés Azure
  1. Si vous disposez déjà d'un coffre-fort de clés Azure, vous pouvez le connecter à votre configuration Cloud Volumes ONTAP. Toutefois, vous devez adapter les règles d'accès aux paramètres de ce processus.

  2. Dans le portail Azure, accédez à la section Key Vaults.

  3. Cliquez sur +Créer et entrez les informations requises, notamment le groupe de ressources, la région et le niveau de prix. De plus, entrez le nombre de jours de conservation des coffres-forts supprimés et sélectionnez Activer la protection de purge sur le coffre-fort de clés.

  4. Sélectionnez Suivant pour choisir une stratégie d'accès.

  5. Sélectionnez les options suivantes :

    1. Sous Configuration d'accès, sélectionnez la stratégie d'accès au coffre-fort **.

    2. Sous accès aux ressources, sélectionnez Azure Disk Encryption pour le chiffrement de volume.

  6. Sélectionnez +Créer pour ajouter une stratégie d'accès.

  7. Sous configurer à partir d'un modèle, cliquez sur le menu déroulant, puis sélectionnez le modèle Key, Secret et Certificate Management.

  8. Choisissez chacun des menus déroulants d'autorisations (clé, secret, certificat), puis Sélectionner tout en haut de la liste des menus pour sélectionner toutes les autorisations disponibles. Vous devez avoir :

    • Autorisations clés : 20 sélectionnées

    • Autorisations secrètes: 8 sélectionnées

    • Autorisations de certificat: 16 sélectionné

      Capture d'écran de Créer une stratégie d'accès affichant toutes les sélections d'autorisations nécessaires à la création d'une stratégie d'accès

  9. Cliquez sur Suivant pour sélectionner l'application principal Azure enregistrée dans Inscription aux applications Azure. Sélectionnez Suivant.

    Remarque Un seul principal peut être affecté par police.

    Capture d'écran de l'onglet principal de création d'une stratégie d'accès

  10. Cliquez sur Suivant deux fois jusqu'à votre arrivée à Revue et créer. Cliquez ensuite sur Créer.

  11. Sélectionnez Suivant pour passer aux options mise en réseau.

  12. Choisissez la méthode d'accès au réseau appropriée ou sélectionnez tous les réseaux et Revue + Créer pour créer le coffre-fort de clés. (La méthode d'accès au réseau peut être prescrite par une gouvernance ou par votre équipe de sécurité cloud.)

  13. Enregistrez l'URI du coffre-fort de clés : dans le coffre-fort de clés que vous avez créé, accédez au menu Aperçu et copiez l'URI du coffre-fort ** dans la colonne de droite. Vous en avez besoin pour une étape ultérieure.

Créez une clé de chiffrement
  1. Dans le menu du coffre-fort de clés créé pour Cloud Volumes ONTAP, accédez à l'option touches.

  2. Sélectionnez générer/importer pour créer une nouvelle clé.

  3. Laissez l'option par défaut sur générer.

  4. Fournissez les informations suivantes :

    • Nom de la clé de chiffrement

    • Type de clé : RSA

    • Taille de la clé RSA : 2048

    • Activé : Oui

  5. Sélectionnez Créer pour créer la clé de cryptage.

  6. Revenez au menu touches et sélectionnez la touche que vous venez de créer.

  7. Sélectionnez l'ID de clé sous version actuelle pour afficher les propriétés de la clé.

  8. Repérez le champ Key identifier. Copiez l'URI vers mais sans inclure la chaîne hexadécimale.

Création d'un terminal Azure Active Directory (HA uniquement)
  1. Ce processus n'est requis que si vous configurez Azure Key Vault pour un environnement de travail Cloud Volumes ONTAP haute disponibilité.

  2. Dans le portail Azure, accédez à réseaux virtuels.

  3. Sélectionnez le réseau virtuel sur lequel vous avez déployé l'environnement de travail Cloud Volumes ONTAP et sélectionnez le menu sous-réseaux sur le côté gauche de la page.

  4. Sélectionnez dans la liste le nom de sous-réseau de votre déploiement Cloud Volumes ONTAP.

  5. Naviguez jusqu'à l'en-tête points d'extrémité du service. Dans le menu déroulant, sélectionnez les options suivantes :

    • Microsoft.AzureActiveDirectory

    • Microsoft.KeyVault

    • Microsoft.Storage (facultatif)

      Capture d'écran des points de terminaison de service montrant trois services sélectionnés

  6. Sélectionnez Enregistrer pour capturer vos paramètres.

Configuration Cloud Volumes ONTAP
  1. Connectez-vous à la LIF de gestion du cluster avec votre client SSH préféré.

  2. Entrez le mode de privilège avancé dans ONTAP :
    set advanced -con off

  3. Identifier le SVM de données souhaité et vérifier sa configuration DNS :
    vserver services name-service dns show

    1. Si une entrée DNS pour le SVM de données souhaité existe et qu'elle contient une entrée pour le DNS Azure, aucune action n'est requise. Si ce n'est pas le cas, ajoutez une entrée de serveur DNS pour le SVM de données qui pointe vers le DNS Azure, le DNS privé ou le serveur sur site. Ceci doit correspondre à l'entrée pour le SVM admin du cluster :
      vserver services name-service dns create -vserver SVM_name -domains domain -name-servers IP_address

    2. Vérifier que le service DNS a été créé pour le SVM de données :
      vserver services name-service dns show

  4. Activez le coffre-fort de clés Azure à l'aide de l'ID client et de l'ID locataire enregistrés après l'enregistrement de l'application :
    security key-manager external azure enable -vserver SVM_name -client-id Azure_client_ID -tenant-id Azure_tenant_ID -name key_vault_URI -key-id full_key_URI

    Remarque Le _full_key_URI la valeur doit utiliser le <https:// <key vault host name>/keys/<key label> format.
  5. Une fois Azure Key Vault correctement installé, entrez dans le client secret value lorsque vous y êtes invité.

  6. Vérifier le statut du gestionnaire de clés :
    `security key-manager external azure check`Le résultat sera le suivant :

    ::*> security key-manager external azure check
    
    Vserver: data_svm_name
    Node: akvlab01-01
    
    Category: service_reachability
        Status: OK
    
    Category: ekmip_server
        Status: OK
    
    Category: kms_wrapped_key_status
        Status: UNKNOWN
        Details: No volumes created yet for the vserver. Wrapped KEK status will be available after creating encrypted volumes.
    
    3 entries were displayed.

    Si le service_reachability l'état n'est pas OK, La SVM ne peut pas atteindre le service Azure Key Vault avec toutes les connectivités et autorisations requises. Assurez-vous que vos stratégies réseau et votre routage Azure ne bloquent pas votre vnet privé d'atteindre le point de terminaison public Azure KeyVault. Dans ce cas, envisagez d'utiliser un terminal privé Azure pour accéder au coffre-fort de clés à partir du vnet. Vous devrez peut-être aussi ajouter une entrée d'hôtes statiques sur votre SVM pour résoudre l'adresse IP privée de votre noeud final.

    Le kms_wrapped_key_status rapports UNKNOWN lors de la configuration initiale. Son statut devient OK une fois le premier volume crypté.

  7. FACULTATIF : créez un volume de test pour vérifier le fonctionnement de NVE.

    vol create -vserver SVM_name -volume volume_name -aggregate aggr -size size -state online -policy default

    S'il est correctement configuré, Cloud Volumes ONTAP crée automatiquement le volume et active le chiffrement de volume.

  8. Confirmez que le volume a été créé et chiffré correctement. Si c'est le cas, le -is-encrypted le paramètre s'affiche comme true.
    vol show -vserver SVM_name -fields is-encrypted