Usar o portal do Azure para habilitar criptografia de ponta a ponta usando criptografia no host

  • Artigo

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows

Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. Para obter informações conceituais sobre criptografia no host, bem como outros tipos de criptografia de disco gerenciado, confira Criptografia no host – Criptografia de ponta a ponta para os dados da VM.

Discos temporários e discos do sistema operacional efêmero são criptografados em repouso com chaves gerenciadas pela plataforma quando você habilita a criptografia de ponta a ponta. Os caches do sistema operacional e do disco de dados são criptografados em repouso com chaves gerenciadas pela plataforma ou pelo cliente, dependendo do tipo de criptografia de disco selecionado. Por exemplo, se um disco for criptografado com chaves gerenciadas pelo cliente, o cache do disco será criptografado com chaves gerenciadas pelo cliente e, se um disco for criptografado com chaves gerenciadas pela plataforma, o cache do disco será criptografado com chaves gerenciadas pela plataforma.

Restrições

  • Compatível com Discos Ultra de tamanho de setor de 4k e SSD Premium v2.
  • Só terá suporte em Discos Ultra de tamanho de setor 512e e SSD Premium v2 se eles foram criados após 13/5/2023.
    • Para discos criados antes dessa data, gere um instantâneo do disco e crie um novo disco usando esse instantâneo.
  • Não pode ser habilitado em VMs (máquinas virtuais) ou conjuntos de dimensionamento de máquinas virtuais que já tiverem ou têm atualmente o Azure Disk Encryption habilitado.
  • O Azure Disk Encryption não pode ser habilitado em discos que têm criptografia no host habilitada.
  • A criptografia pode ser habilitada nos conjuntos de dimensionamento de máquinas virtuais existentes. No entanto, somente as novas VMs criadas após a ativação da criptografia são criptografadas automaticamente.
  • As VMs existentes devem ser desalocadas e realocadas para serem criptografadas.

Disponibilidade regional

A criptografia no host está disponível em todas as regiões para todos os tipos de discos.

Tamanhos de VM com suporte

Não há compatibilidade para tamanhos de VM herdados. Você pode encontrar a lista de tamanhos de VM com suporte usando o módulo Azure PowerShell ou a CLI do Azure.

Pré-requisitos

Você deve habilitar o recurso para sua assinatura antes de usar a criptografia no host para sua VM ou para o Conjunto de Dimensionamento de Máquinas Virtuais. Use as seguintes etapas para habilitar o recurso para sua assinatura:

  1. Portal do Azure: selecione o ícone de Cloud Shell no portal do Azure:

    Ícone para iniciar o Cloud Shell do portal do Azure.

  2. Execute o comando a seguir para registrar o recurso para sua assinatura

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Confirme se o estado de registro está como Registrado (o registro pode levar alguns minutos) usando o seguinte comando antes de experimentar o recurso.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Implantar uma VM com chaves gerenciadas pela plataforma

  1. Entre no portal do Azure.

  2. Pesquise Máquinas Virtuais e selecione + Criar para criar uma VM.

  3. Selecione uma região apropriada e um tamanho de VM com suporte.

  4. Preencha os outros valores no painel Básico como desejar e acesse o painel Discos.

    Captura de tela do painel de noções básicas de criação de máquina virtual, a região e o tamanho da VM estão realçados.

  5. No painel Discos, selecione Criptografia no host.

  6. Faça as seleções restantes como desejar.

    Captura de tela do painel de discos de criação de máquina virtual, a criptografia no host está realçada.

  7. Para o restante do processo de implantação da VM, faça seleções que se ajustem ao seu ambiente e conclua a implantação.

Agora você implantou uma VM com criptografia no host habilitado e o cache do disco está criptografado usando chaves gerenciadas pela plataforma.

Implantar uma VM com chaves gerenciadas pelo cliente

Como alternativa, você pode usar chaves gerenciadas pelo cliente para criptografar os caches de disco.

Criar um Azure Key Vault e um conjunto de criptografia de disco

Assim que o recurso estiver habilitado, você precisará configurar um Azure Key Vault e um conjunto de criptografia de disco, caso ainda não o tenha feito.

A configuração de chaves gerenciadas pelo cliente para os discos exigirá que você crie recursos em uma ordem específica, caso esteja fazendo isso pela primeira vez. Primeiro, será necessário criar e configurar um Azure Key Vault.

Configure o seu Cofre da Chave do Azure

  1. Entre no portal do Azure.

  2. Procure e selecione Key Vaults.

    Captura de tela do portal do Azure com a caixa de diálogo Pesquisar expandida.

    Importante

    Seu conjunto de criptografia de disco, VM, discos e instantâneos devem estar todos na mesma região e assinatura para que a implantação seja bem-sucedida. Os Azure Key Vaults podem ser usados de uma assinatura diferente, mas precisam estar na mesma região e no mesmo locatário que o conjunto de criptografia de disco.

  3. Selecione +Criar para criar um cofre de chaves.

  4. Criar um grupo de recursos.

  5. Insira um nome de Key Vault, selecione uma região e selecione um tipo de preço.

    Observação

    Ao criar a instância do Key Vault, habilite a exclusão temporária e a proteção de limpeza. A exclusão temporária garante que a Key Vault mantenha uma chave excluída para determinado período de retenção (padrão de 90 dias). A proteção de limpeza garante que uma chave excluída não seja excluída permanentemente até que o período de retenção termine. Essas configurações protegem você contra a perda de dados devido à exclusão acidental. Essas configurações são obrigatórias ao usar um Key Vault para criptografar discos gerenciados.

  6. Selecione Revisar + Criar, verifique suas escolhas e selecione Criar.

    Captura de tela da experiência de criação do Azure Key Vault mostrando os valores particulares criados por você.

  7. Assim que o seu cofre de chaves terminar de ser implantado, selecione-o.

  8. Selecione Chaves em Objetos.

  9. Selecione Gerar/Importar.

    Captura de tela do painel de configurações do recurso do Key Vault, mostrando o botão gerar/importar dentro das configurações.

  10. Deixe o Tipo de chave definido como RSA e o Tamanho da chave RSA definido como 2048.

  11. Preencha as seleções restantes como desejar e, em seguida, selecione Criar.

    Captura de tela do painel de criação de uma chave que aparece quando o botão de gerar/importar é selecionado.

Adicionar uma função RBAC do Azure

Agora que você criou o cofre de chaves do Azure e uma chave, deve adicionar uma função de RBAC do Azure, para que você possa usar o cofre de chaves do Azure com o conjunto de criptografia de disco.

  1. Selecione Controle de acesso (IAM) e adicione uma função.
  2. Adicione as funções Administrador do Key Vault, Proprietário ou Colaborador.

Configurar o conjunto de criptografia de disco

  1. Procure por Conjuntos de criptografia de disco e selecione-o.

  2. No painel Conjuntos de Criptografia de Disco, selecione +Criar.

  3. Selecione seu grupo de recursos, nomeie o conjunto de criptografia e selecione a mesma região que o cofre de chaves.

  4. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

    Observação

    Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se você quiser usar um tipo de criptografia diferente, deverá criar um novo conjunto de criptografia de disco.

  5. Verifique se Selecionar cofre de chaves do Azure e a chave está selecionado.

  6. Selecione o cofre de chaves e a chave que você criou anteriormente e a versão.

  7. Se você quiser habilitar a rotação automática de chaves gerenciadas pelo cliente, selecione Rotação automática de chaves.

  8. Selecione Examinar + Criar e Criar.

    Captura de tela do painel de criação de criptografia de disco, mostrando a assinatura, o grupo de recursos, o nome do conjunto de criptografia de disco, a região e o cofre de chaves + seletor de chave.

  9. Navegue até o conjunto de criptografia de disco assim que ele for implantado e selecione o alerta exibido.

    Captura de tela do usuário selecionando o alerta 'Para associar um disco, uma imagem ou um instantâneo a este conjunto de criptografia de disco, você deve conceder permissões ao cofre de chaves.'

  10. Isso concederá permissões ao cofre de chaves para o conjunto de criptografia de disco.

    Captura de tela da confirmação de que as permissões foram concedidas.

Implantar uma máquina virtual

Agora que você configurou um Azure Key Vault e um conjunto de criptografia de disco, é possível implantar uma VM e ela usar criptografia no host.

  1. Entre no portal do Azure.

  2. Pesquise Máquinas virtuais e selecione + Adicionar para criar uma VM.

  3. Crie uma nova máquina virtual, selecione uma região apropriada e um tamanho de VM com suporte.

  4. Preencha os outros valores no painel Básico como desejar e acesse o painel Discos.

    Captura de tela do painel de noções básicas de criação de máquina virtual, a região e o tamanho da VM estão realçados.

  5. No painel Discos, selecione Criptografia no host.

  6. Selecione Gerenciamento de chaves e selecione uma de suas chaves gerenciadas pelo cliente.

  7. Faça as seleções restantes como desejar.

    Captura de tela do painel Discos de criação de máquina virtual, a criptografia no host está realçada e as chaves gerenciadas pelo cliente selecionadas.

  8. Para o restante do processo de implantação da VM, faça seleções que se ajustem ao seu ambiente e conclua a implantação.

Agora você implantou uma VM com a criptografia no host habilitada usando chaves gerenciadas pelo cliente.

Desabilitar a criptografia baseada em host

Desaloque sua VM primeiro, a criptografia no host não poderá ser desabilitada a menos que sua VM seja desalocada.

  1. Na sua VM, selecione Discos e Configurações adicionais.

    Captura de tela do painel Discos em uma VM, Configurações Adicionais está realçado.

  2. Selecione Não para Criptografia no host e clique em Salvar.

Próximas etapas

Exemplos de modelo do Azure Resource Manager