Azure Disk Encryption (ADE)
Azure disk encryption (ADE) ใช้ Key Vault เก็บ BitLocker encryption key (secret) ที่ใช้เข้ารหัส disk
ดังนั้น เราสร้าง Key Vault กันก่อนนะครับ
1. Create a Key Vault
1. สร้าง Key Vault
2. Enable "Azure Disk Encryption for volume encryption" เพื่อให้ key vault รองรับ ADE
3. อนุญาตให้ VM ที่อยู่ใน subnet ที่ต้องการเข้าถึง Key Vault ได้
แต่ต้อง enable virtual service network endpoint ของ Key Vault ก่อน
แล้วกด Add เพื่อเพิ่ม subnet ของ VM เข้าไป
Enable "Allow trusted Microsoft service to bypass this firewall" ด้วย
แล้วกด Create
4. ตอนนี้เราได้ Key Vault แล้ว
2. Enable Azure Disk Encryption (ADE)
1. เริ่ม enable disk encryption
Encrypt ทั้ง OS และ data disks เลย
แล้วเลือก Key Vault ที่จะใช้เก็บ BitLocker encryption key (secret) ของเรา
แต่ตอนนี้เรายังไม่มี Key encryption key (KEK) จึงต้องสร้างก่อน
ตั้งชื่อ KEK อะไรก็ได้
Key encryption key (KEK) เอาไว้ protect หรือ wrap BitLocker encryption key หรือ BEK (secret) ไว้อีกชั้นนึง
Save
3. Review the results
3.1 Review BitLocker status
1. ตอนนี้ VM disk ถูก encrypt ด้วย ADE แล้ว
2. ลองดู drive ว่าถูก encrypt แล้ว
หรือดู status ของ BitLocker ได้ด้วย manage-bde -status
2. หรือกดดู status ของ BitLocker ได้ที่ตรงนี้ครับ
3.2 Review keys
3.2.1 Assign RBAC
1. ตอนนี้เรามองไม่เห็น KEK เพราะไม่มี permission
2. ให้สิทธิ์ Key Vault Administrator ตัวเองก่อน
3. ตอนนี้มีสิทธิ์แล้ว แต่ Key Vault ถูก disable public access ไว้ จึงยังไม่เห็น key
3.2.2 Firewall
1. เพิ่ม IP address ของ laptop เราเข้าไปที่ firewall
ใช้ what is my ip เพื่อหา public IP ของ laptop เรา
แล้วเพิ่ม public IP ของ laptop เราเข้าที่ firewall ของ Key Vault
2. ตอนนี้เราเห็น KEK แล้ว
3.2.3 View keys
1. k1 คือ Key encryption key (KEK) ที่ใช้ protect หรือ wrap BitLocker encryption key หรือ BEK (secret) อีกชั้นนึง
2. ฺซึ่ง BitLocker encryption key นี้ถูกนำไปใช้ในการ encrypt VM disk
กด tags เพื่อดูว่า BEK นี้ ใช้ encrypt drive C อยู่
Drive D ถูกตั้งไว้ให้ถูก unlock โดยอัตโนมัติ หาก drive C ถูก decrypt ได้ด้วย BEK นี้
Ref.
...