Este artigo fornece respostas a perguntas frequentes sobre o Azure Disk Encryption para VMs do Windows. Para obter mais informações sobre esse serviço, consulte Visão geral do Azure Disk Encryption.
O que é o Azure Disk Encryption para VMs do Windows?
O Azure Disk Encryption para VMs do Windows usa o recurso BitLocker do Windows para fornecer criptografia completa do disco do sistema operacional e dos discos de dados. Além disso, ele fornece criptografia do disco temporário quando o parâmetro VolumeType é All. O conteúdo é transmitido criptografado da VM para ao back-end do Armazenamento. Assim, é fornecida uma criptografia de ponta a ponta com uma chave gerenciada pelo cliente.
Consulte Sistemas operacionais e VMs com suporte.
Onde o Azure Disk Encryption está na GA (disponibilidade geral)?
O Azure Disk Encryption está em disponibilidade geral em todas as regiões públicas do Azure.
Quais experiências de usuário estão disponíveis com o Azure Disk Encryption?
A GA do Azure Disk Encryption dá suporte a modelos do Azure Resource Manager, ao Azure PowerShell e à CLI do Azure. As diferentes experiências de usuário oferecem flexibilidade. Você tem três opções diferentes para habilitar a criptografia de disco para suas VMs. Para saber mais sobre a experiência do usuário e as orientações passo a passo disponíveis no Azure Disk Encryption, consulte Cenários do Azure Disk Encryption para Windows.
Quanto custa o Azure Disk Encryption?
Não há nenhum encargo para criptografar discos de VM com o Azure Disk Encryption, mas há encargos associados ao uso do Azure Key Vault. Para obter mais informações sobre os custos do Cofre de Chaves do Azure, consulte a página de preços Cofre de chaves.
Como posso começar a usar o Azure Disk Encryption?
Para começar, leia as visão geral do Azure Disk Encryption.
Quais tamanhos de VM e sistemas operacionais dão suporte ao Azure Disk Encryption?
O artigo Visão geral do Azure Disk Encryption lista os tamanhos de VM e os sistemas operacionais de VM compatíveis com o Azure Disk Encryption.
Posso criptografar volumes de dados e de inicialização com o Azure Disk Encryption?
Você pode criptografar volumes de dados e de boot, mas não pode criptografar os dados sem primeiro criptografar o volume do sistema operacional (SO).
Posso criptografar um volume não montado com o Azure Disk Encryption?
Não, o Azure Disk Encryption criptografa apenas volumes montados.
O que é criptografia do lado do servidor do Armazenamento?
A criptografia do lado do servidor do Armazenamento criptografa discos gerenciados do Azure no Armazenamento do Microsoft Azure. Discos gerenciados são criptografados por padrão com criptografia do lado do servidor com chave gerenciada de plataforma (a partir de 10 de junho de 2017). Você pode gerenciar a criptografia de discos gerenciados com suas próprias chaves especificando uma chave gerenciada pelo cliente. Para saber mais, confira Criptografia do lado do servidor dos discos gerenciados do Azure.
Qual é a diferença entre o Azure Disk Encryption e a criptografia do lado do servidor do Armazenamento com chave gerenciada pelo cliente e quando eu devo usar cada solução?
O Azure Disk Encryption fornece criptografia de ponta a ponta para o disco do sistema operacional, discos de dados e o disco temporário com uma chave gerenciada pelo cliente.
- Se seus requisitos incluírem todas as criptografias acima e de ponta a ponta, use o Azure Disk Encryption.
- Se seus requisitos incluírem a criptografia somente de dados em repouso com a chave gerenciada pelo cliente, use a criptografia do lado do servidor com chaves gerenciadas pelo cliente. Você não pode criptografar, ao mesmo tempo, um disco com o Azure Disk Encryption e a criptografia do lado do servidor do Armazenamento com chaves gerenciadas do cliente.
- Se você estiver usando um cenário chamado em Restrições, considere Criptografia do lado do servidor com chaves gerenciadas pelo cliente.
- Se a política da sua organização permitir criptografar conteúdo em repouso com uma chave gerenciada pelo Azure, nenhuma ação será necessária. O conteúdo será criptografado por padrão. Para discos gerenciados, o conteúdo no armazenamento é criptografado por padrão com a criptografia do lado do servidor com chave gerenciada por plataforma. A chave é gerenciada pelo serviço de Armazenamento do Microsoft Azure.
Como fazer revezar segredos ou chaves de criptografia?
Para revezar segredos, basta chamar o mesmo comando usado originalmente para habilitar a criptografia de disco, especificando um Key Vault diferente. Para revezar a chave de criptografia da chave, chame o mesmo comando usado originalmente para habilitar a criptografia de disco, especificando a nova criptografia de chave.
Aviso
- Se você usou anteriormente o Azure Disk Encryption com o aplicativo do Microsoft Entra especificando credenciais do Microsoft Entra para criptografar essa VM, será necessário continuar usando essa opção para criptografar a VM. O uso do Azure Disk Encryption sem o Microsoft Entra ID em uma VM criptografada usando o Azure Disk Encryption com o Microsoft Entra ID ainda não é compatível.
Como fazer para adicionar ou remover uma KEK (chave de criptografia da chave) senão utilizei originalmente uma?
Para adicionar uma chave de criptografia da chave, chame o comando “enable” novamente passando o parâmetro de chave de criptografia da chave. Para remover uma chave de criptografia da chave, chame o comando “enable” sem passar o parâmetro de chave de criptografia da chave.
Qual tamanho devo usar para minha KEK (chave de criptografia de chave)?
O Windows Server 2022 e o Windows 11 incluem uma versão mais recente do BitLocker e, no momento, não funcionam com chaves de criptografia de chave RSA de 2048 bits. Até que seja resolvido, use chaves RSA de 3072 ou RSA de 4096 bits, conforme descrito em Sistemas operacionais com suporte.
Na versão anterior do Windows, é possível usar chaves de criptografia de chave RSA de 2048 bits.
O Azure Disk Encryption permite o recurso BYOK (Bring Your Own Key)?
Sim, você pode fornecer suas próprias chaves de criptografia de chave. Essas chaves ficam protegidas no Azure Key Vault, que é o repositório de chaves do Azure Disk Encryption. Para obter mais informações sobre cenários de suporte de chaves de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.
Posso usar uma chave de criptografia de chave criada pelo Azure?
Sim, você pode usar o Azure Key Vault para gerar uma chave de criptografia de chave para ser usada pela criptografia de disco do Azure. Essas chaves ficam protegidas no Azure Key Vault, que é o repositório de chaves do Azure Disk Encryption. Para obter mais informações sobre chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.
Posso usar um serviço de gerenciamento de chaves local ou HSM para proteger as chaves de criptografia?
Você não pode usar o serviço de gerenciamento de chaves local ou HSM para proteger as chaves de criptografia com o Azure Disk Encryption. Você só pode usar o serviço Azure Key Vault para proteger as chaves de criptografia. Para obter mais informações sobre cenários de suporte de chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.
Quais são os pré-requisitos para configurar o Azure Disk Encryption?
Há pré-requisitos para o Azure Disk Encryption. Consulte o artigo Criar e configurar um cofre de chaves para o Azure Disk Encryption para criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso da criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre cenários de suporte de chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.
Quais são os pré-requisitos para configurar o Azure Disk Encryption com um aplicativo do Microsoft Entra (versão anterior)?
Há pré-requisitos para o Azure Disk Encryption. Consulte o conteúdo Azure Disk Encryption com o Microsoft Entra ID para criar um aplicativo do Microsoft Entra, criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso à criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre cenários de suporte de chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption com o Microsoft Entra ID.
Ainda há suporte para o Azure Disk Encryption usando um aplicativo do Microsoft Entra (versão anterior)?
Sim. A criptografia de disco usando um aplicativo do Microsoft Entra ainda tem suporte. No entanto, ao criptografar novas VMs, é recomendável usar o novo método em vez de criptografar com um aplicativo do Microsoft Entra.
Posso migrar as VMs que foram criptografadas com um aplicativo do Microsoft Entra para criptografia sem um aplicativo do Microsoft Entra?
Atualmente, não há um caminho de migração direta para computadores que foram criptografados com um aplicativo do Microsoft Entra para criptografia sem um aplicativo do Microsoft Entra. Além disso, também não há um caminho direto da criptografia sem um aplicativo do Microsoft Entra para a criptografia com o aplicativo do AD.
À qual versão do Azure PowerShell o Azure Disk Encryption dá suporte?
Use a versão mais recente do SDK do Azure PowerShell para configurar o Azure Disk Encryption. Baixe a última versão do Azure PowerShell. O Azure Disk Encryption não é suportado pela versão 1.1.0 do SDK do Azure.
O que é o disco "Volume Bek" ou "/mnt/azure_bek_disk"?
O “volume Bek” é um volume de dados locais que armazena com segurança chaves de criptografia para VMs Azure criptografadas.
Observação
Não exclua ou edite nenhum conteúdo neste disco. Não desmonte o disco, uma vez que a presença da chave de criptografia é necessária para operações de criptografia na VM IaaS.
Qual método de criptografia é usado pela criptografia de disco do Azure?
O Azure Disk Encryption seleciona o método de criptografia no BitLocker com base na versão do Windows, da seguinte maneira:
| Versões do Windows | Versão | Método de criptografia |
|---|---|---|
| Windows Server 2012, Windows 10 ou superior | >=1511 | XTS-AES de 256 bits |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES de 256 bits* |
| Windows Server 2008R2 | AES de 256 bits com Difusor |
* O AES de 256 bits com Difusor não é compatível com o Windows 2012 e posterior.
Para determinar a versão do sistema operacional Windows, execute a ferramenta “winver”' em sua máquina virtual.
É possível fazer backup e restaurar uma VM criptografada?
O backup do Microsoft Azure fornece um mecanismo para fazer backup e restaurar VMs criptografadas na mesma assinatura e região. Para obter instruções, consulte Backup e restauração de máquinas virtuais criptografadas usando o Backup do Azure. Atualmente, não há suporte para a restauração de uma VM criptografada em uma região diferente.
Onde posso fazer perguntas ou fornecer comentários?
Você pode fazer perguntas ou comentários na Página de P e R da Microsoft para Azure Disk Encryption.
Próximas etapas
Neste documento, você aprendeu mais sobre as perguntas mais frequentes relativas ao Azure Disk Encryption. Para obter mais informações sobre esse serviço, veja os seguintes artigos: