為了增強虛擬機 (VM) 的安全性以及符合性，可以加密 Azure 中的虛擬磁盤。 磁盤是使用 Azure 密鑰保管庫中受保護的加密密鑰加密的。 可以控制這些加密密鑰，以及審核對它們的使用。 本文詳細闡述如何使用 Azure PowerShell 加密 Windows VM 上的虛擬磁盤。 還可使用 Azure CLI 2.0 加密 Linux VM。

磁盤加密概述

Windows VM 上的虛擬磁盤使用 Bitlocker 進行靜態(tài)加密。 加密 Azure 中的虛擬磁盤不會產(chǎn)生費用。 使用軟件保護將加密密鑰存儲在 Azure 密鑰保管庫中，或者，可在已通過 FIPS 140-2 級別 2 標準認證的硬件安全模塊 (HSM) 中導入或生成密鑰。 這些加密密鑰用于加密和解密附加到 VM 的虛擬磁盤。 可以控制這些加密密鑰，以及審核對它們的使用。 打開和關(guān)閉 VM 時，Azure Active Directory 服務(wù)主體提供一個安全機制用于頒發(fā)這些加密密鑰。

加密 VM 的過程如下：

在 Azure 密鑰保管庫中創(chuàng)建加密密鑰。

配置可用于加密磁盤的加密密鑰。

若要從 Azure Key Vault 中讀取加密密鑰，可創(chuàng)建具有相應權(quán)限的 Azure Active Directory 服務(wù)主體。

發(fā)出加密虛擬磁盤的命令，指定要使用的 Azure Active Directory 服務(wù)主體和相應的加密密鑰。

Azure Active Directory 服務(wù)主體將從 Azure Key Vault 請求所需的加密密鑰。

使用提供的加密密鑰加密虛擬磁盤。

加密過程

磁盤加密依賴于以下附加組件：

Azure 密鑰保管庫- 用于保護磁盤加密/解密過程中使用的加密密鑰和機密。

可以使用現(xiàn)有的 Azure 密鑰保管庫（如果有）。 不需要專門使用某個密鑰保管庫來加密磁盤。

要將管理邊界和密鑰可見性隔離開來，可以創(chuàng)建專用的密鑰保管庫。

Azure Active Directory- 處理所需加密密鑰的安全交換，以及對請求的操作執(zhí)行的身份驗證。

通常，可以使用現(xiàn)有的 Azure Active Directory 實例來容裝應用程序。

服務(wù)主體提供了安全機制，可用于請求和獲取相應的加密密鑰。 實際并不需要開發(fā)與 Azure Active Directory 集成的應用程序。

要求和限制

磁盤加密支持的方案和要求

在來自 Azure 應用商店映像或自定義 VHD 映像的新 Windows VM 上啟用加密。

在現(xiàn)有的 Azure Windows VM 上啟用加密。

在使用存儲空間配置的 Windows VM 上啟用加密。

在 Windows VM 的 OS 和數(shù)據(jù)驅(qū)動器上禁用加密。

所有資源（例如密鑰保管庫、存儲帳戶和 VM）必須在同一個 Azure 區(qū)域和訂閱中。

標準層 VM，例如 A、D 和 DS 系列 VM。

以下方案目前不支持磁盤加密：

基本層 VM。

使用經(jīng)典部署模型創(chuàng)建的 VM。

在已加密的 VM 上更新加密密鑰。

與本地密鑰管理服務(wù)集成。

創(chuàng)建 Azure Key Vault 和密鑰

在開始之前，請確保已安裝了 Azure PowerShell 模塊的最新版本。 有關(guān)詳細信息，請參閱如何安裝和配置 Azure PowerShell。 在整個命令示例中，請將所有示例參數(shù)替換為自己的名稱、位置和密鑰值。 以下示例使用myResourceGroup、myKeyVault、myVM等的約定。

第一步是創(chuàng)建用于存儲加密密鑰的 Azure 密鑰保管庫。 Azure 密鑰保管庫可以存儲能夠在應用程序和服務(wù)中安全實現(xiàn)的密鑰、機密或密碼。 對于虛擬磁盤加密，可以創(chuàng)建 Key Vault 來存儲用于加密或解密虛擬磁盤的加密密鑰。

在 Azure 訂閱中使用Register-AzureRmResourceProvider啟用 Azure Key Vault 提供程序，并使用New-AzureRmResourceGroup創(chuàng)建一個資源組。 以下示例在“中國東部”位置創(chuàng)建名為myResourceGroup的資源組。

PowerShell復制

$rgName="myResourceGroup"$location="China East"Register-AzureRmResourceProvider-ProviderNamespace"Microsoft.KeyVault"New-AzureRmResourceGroup-Location$location-Name$rgName

包含加密密鑰和關(guān)聯(lián)的計算資源（例如存儲和 VM 本身）的 Azure 密鑰保管庫必須位于同一區(qū)域。 使用New-AzureRmKeyVault創(chuàng)建 Azure Key Vault，并啟用該 Key Vault 進行磁盤加密。 指定keyVaultName的唯一 Key Vault 名稱，如下所示：

PowerShell復制

$keyVaultName="myUniqueKeyVaultName"New-AzureRmKeyVault-Location$location`-ResourceGroupName$rgName`-VaultName$keyVaultName`-EnabledForDiskEncryption

可以使用軟件或硬件安全模型 (HSM) 保護來存儲加密密鑰。 使用 HSM 時需要高級密鑰保管庫。 與用于存儲受軟件保護的密鑰的標準密鑰保管庫不同，創(chuàng)建高級密鑰保管庫會產(chǎn)生額外的費用。 若要創(chuàng)建高級 Key Vault，請在上一步中添加-Sku "Premium"參數(shù)。 由于我們創(chuàng)建的是標準密鑰保管庫，以下示例使用了受軟件保護的密鑰。

對于這兩種保護模型，在啟動 VM 解密虛擬磁盤時，都需要向 Azure 平臺授予請求加密密鑰的訪問權(quán)限。 使用Add-AzureKeyVaultKey在 Key Vault 中創(chuàng)建加密密鑰。 以下示例創(chuàng)建名為myKey的密鑰：

PowerShell復制

Add-AzureKeyVaultKey-VaultName$keyVaultName`-Name"myKey"`-Destination"Software"

創(chuàng)建 Azure Active Directory 服務(wù)主體

加密或解密虛擬磁盤時，將指定一個帳戶來處理身份驗證，以及從 Key Vault 交換加密密鑰。 此帳戶（Azure Active Directory 服務(wù)主體）允許 Azure 平臺代表 VM 請求相應的加密密鑰。 訂閱中提供了一個默認的 Azure Active Directory 實例，不過，許多組織使用專用的 Azure Active Directory 目錄。

使用New-AzureRmADServicePrincipal在 Azure Active Directory 中創(chuàng)建服務(wù)主體。 若要指定安全密碼，請遵循Azure Active Directory 中的密碼策略和限制：

PowerShell復制

$appName="My App"$securePassword="P@ssword!"$app=New-AzureRmADApplication-DisplayName$appName`-HomePage"https://myapp.contoso.com"`-IdentifierUris"https://contoso.com/myapp"`-Password$securePasswordNew-AzureRmADServicePrincipal-ApplicationId$app.ApplicationId

要成功加密或解密虛擬磁盤，必須將 Key Vault 中存儲的加密密鑰的權(quán)限設(shè)置為允許 Azure Active Directory 服務(wù)主體讀取密鑰。 使用Set-AzureRmKeyVaultAccessPolicy設(shè)置 Key Vault 的權(quán)限：

PowerShell復制

Set-AzureRmKeyVaultAccessPolicy-VaultName$keyvaultName`-ServicePrincipalName$app.ApplicationId `-PermissionsToKeys"WrapKey"`-PermissionsToSecrets"Set"

創(chuàng)建虛擬機

若要測試加密過程，請創(chuàng)建 VM。 以下示例使用Windows Server 2016 Datacenter映像創(chuàng)建名為myVM的 VM：

PowerShell復制

$subnetConfig=New-AzureRmVirtualNetworkSubnetConfig-NamemySubnet-AddressPrefix192.168.1.0/24$vnet=New-AzureRmVirtualNetwork-ResourceGroupName$rgName`-Location$location`-NamemyVnet `-AddressPrefix192.168.0.0/16`-Subnet$subnetConfig$pip=New-AzureRmPublicIpAddress-ResourceGroupName$rgName`-Location$location`-AllocationMethodStatic `-IdleTimeoutInMinutes4`-Name"mypublicdns$(Get-Random)"$nsgRuleRDP=New-AzureRmNetworkSecurityRuleConfig-NamemyNetworkSecurityGroupRuleRDP `-ProtocolTcp `-DirectionInbound `-Priority1000`-SourceAddressPrefix* `-SourcePortRange* `-DestinationAddressPrefix* `-DestinationPortRange3389`-AccessAllow$nsg=New-AzureRmNetworkSecurityGroup-ResourceGroupName$rgName`-Location$location`-NamemyNetworkSecurityGroup `-SecurityRules$nsgRuleRDP$nic=New-AzureRmNetworkInterface-NamemyNic `-ResourceGroupName$rgName`-Location$location`-SubnetId$vnet.Subnets[0].Id `-PublicIpAddressId$pip.Id `-NetworkSecurityGroupId$nsg.Id$cred=Get-Credential$vmName="myVM"$vmConfig=New-AzureRmVMConfig-VMName$vmName-VMSizeStandard_D1 | `Set-AzureRmVMOperatingSystem-Windows-ComputerNamemyVM-Credential$cred| `Set-AzureRmVMSourceImage-PublisherNameMicrosoftWindowsServer `-OfferWindowsServer-Skus2016-Datacenter-Versionlatest | `Add-AzureRmVMNetworkInterface-Id$nic.IdNew-AzureRmVM-ResourceGroupName$rgName-Location$location-VM$vmConfig

加密虛擬機

要加密虛擬磁盤，可將前面的所有組件合并在一起：

指定 Azure Active Directory 服務(wù)主體和密碼。

指定用于存儲加密磁盤元數(shù)據(jù)的密鑰保管庫。

指定用于實際加密和解密的加密密鑰。

指定是要加密 OS 磁盤、數(shù)據(jù)磁盤還是所有磁盤。

使用 Azure Key Vault 密鑰和 Azure Active Directory 服務(wù)主體憑據(jù)通過Set-AzureRmVMDiskEncryptionExtension加密 VM。 以下示例檢索所有密鑰信息，并對名為myVM的 VM 進行加密：

PowerShell復制

$keyVault=Get-AzureRmKeyVault-VaultName$keyVaultName-ResourceGroupName$rgName;$diskEncryptionKeyVaultUrl=$keyVault.VaultUri;$keyVaultResourceId=$keyVault.ResourceId;$keyEncryptionKeyUrl= (Get-AzureKeyVaultKey-VaultName$keyVaultName-NamemyKey).Key.kid;Set-AzureRmVMDiskEncryptionExtension-ResourceGroupName$rgName`-VMName$vmName`-AadClientID$app.ApplicationId `-AadClientSecret$securePassword`-DiskEncryptionKeyVaultUrl$diskEncryptionKeyVaultUrl`-DiskEncryptionKeyVaultId$keyVaultResourceId`-KeyEncryptionKeyUrl$keyEncryptionKeyUrl`-KeyEncryptionKeyVaultId$keyVaultResourceId

接受提示以繼續(xù)進行 VM 加密。 此過程中將重啟 VM。 加密過程完成并重啟 VM 后，使用Get-AzureRmVmDiskEncryptionStatus查看加密狀態(tài)：

PowerShell復制

Get-AzureRmVmDiskEncryptionStatus-ResourceGroupName$rgName-VMName$vmName

輸出類似于以下示例：

PowerShell復制

OsVolumeEncrypted? ? ? ? ? : Encrypted

DataVolumesEncrypted? ? ? : Encrypted

OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings

ProgressMessage? ? ? ? ? ? : OsVolume: Encrypted, DataVolumes: Encrypted

后續(xù)步驟

有關(guān) Azure Key Vault 管理的詳細信息，請參閱為虛擬機設(shè)置 Key Vault。

有關(guān)磁盤加密的詳細信息，例如準備要上傳到 Azure 的已加密自定義 VM，請參閱Azure Disk Encryption（Azure 磁盤加密）。立即訪問http://market.azure.cn