Compartilhar via

Girar chaves gerenciadas pelo cliente para VMs confidenciais

  • Artigo

As VMs confidenciais (máquinas virtuais confidenciais) no Azure dão suporte a chaves gerenciadas pelo cliente. As chaves gerenciadas pelo cliente ajudam as VMs confidenciais e artefatos associados a funcionar corretamente. Você pode gerenciar essas chaves no Azure Key Vault ou por meio de um HSM gerenciado (HSM gerenciado) de segurança de hardware. Este artigo se concentra no gerenciamento das chaves por meio de um HSM gerenciado, a menos que indicado de outra forma.

Se você quiser usar uma chave gerenciada pelo cliente, forneça um recurso do Conjunto de Criptografia de Disco ao criar sua VM confidencial. O Conjunto de Criptografia de Disco deve fazer referência à chave gerenciada pelo cliente. Normalmente, você pode associar um único Conjunto de Criptografia de Disco a várias VMs confidenciais. É recomendável que você gire periodicamente uma chave gerenciada pelo cliente como uma melhor prática de segurança. A frequência da rotação é uma decisão de política organizacional. A rotação também será necessária se uma chave gerenciada pelo cliente for comprometida.

Alterar chave gerenciada pelo cliente

Altere a chave que está usando para as VMs confidenciais a qualquer momento. Para girar uma chave gerenciada pelo cliente:

  1. Entre no portal do Azure.
  2. Vá para o serviço de Máquinas Virtuais.
  3. Pare todas as VMs confidenciais com o mesmo Conjunto de Criptografia de Disco. Se uma ou mais VMs não estiverem no estado parado, nenhuma das VMs poderá receber a nova chave.
  4. Vá para o serviço dos Conjuntos de Criptografia de Disco.
  5. Selecione o recurso Conjunto de Criptografia de Disco associado à sua VM confidencial.
  6. No menu do recurso, em Configurações, selecione Chave.
  7. Selecione Alterar chave.
  8. Selecione o cofre de chaves, a chave e a versão apropriados.
  9. Salve suas alterações. A operação de salvamento atualiza a chave para todos os artefatos de VM confidenciais.

Repita a rotação da chave

Em casos raros, a chave gerenciada pelo cliente pode não ser girada para todas as VMs confidenciais, mesmo quando todas as VMs foram interrompidas. Se a chave gerenciada pelo cliente não for girada, o recurso Conjunto de Criptografia de Disco ainda conterá uma referência à chave antiga. Nesse estado, algumas VMs confidenciais podem ter a nova chave e outras podem ter a chave antiga.

Para resolver esse problema, repita as etapas para atualizar o Conjunto de Criptografia de Disco.

Limitações

  • Atualmente, não há suporte para rotação automática de chaves para VMs confidenciais.
  • Não há suporte para rotação de chaves para discos efêmeros. É recomendável ter um Conjunto de Criptografia de Disco separado para as VMs confidenciais com um disco efêmero. Se as VMs confidenciais com discos efêmeros e não efêmeros compartilharem o mesmo Conjunto de Criptografia de Disco, você deverá excluir as VMs confidenciais com discos efêmeros antes de girar as chaves para as VMs confidenciais com discos não efêmeros.