Criptografar discos usando chaves gerenciadas pelo cliente no Azure DevTest Labs

A criptografia do lado do servidor (SSE) ajuda a proteger os dados e atender aos compromissos de conformidade e segurança de sua organização. A SSE criptografa automaticamente os dados armazenados em discos gerenciados no Azure (SO e discos de dados) em repouso, por padrão, ao mantê-los para a nuvem. Saiba mais sobre a Criptografia de Disco no Azure.

No DevTest Labs, todos os discos do sistema operacional e os discos de dados criados como parte de um laboratório são criptografados usando chaves de criptografia gerenciadas pela plataforma. No entanto, como proprietário de laboratório, você pode optar por criptografar discos de máquinas virtuais de laboratório usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, poderá especificar uma chave gerenciada pelo cliente a ser usada para criptografar os dados nos discos do laboratório. Para saber mais sobre SSE (Criptografia do Serviço de Armazenamento) com chaves gerenciadas pelo cliente e outros tipos de criptografia de disco gerenciado, confira Chaves gerenciadas pelo cliente. Além disso, confira restrições com o uso de chaves gerenciadas pelo cliente.

Observação

• A configuração se aplica a discos recém-criados no laboratório. Se você optar por alterar o conjunto de criptografia de disco em algum momento, os discos mais antigos no laboratório continuarão a ser criptografados usando o conjunto de criptografia de disco anterior.

A seção a seguir mostra como um proprietário de laboratório pode configurar a criptografia usando uma chave gerenciada pelo cliente.

Pré-requisitos

1. Se você não tiver um conjunto de criptografia de disco, siga este artigo para configurar um Key Vault e um Conjunto de Criptografia de Disco. Observe os seguintes requisitos para o conjunto de criptografia de disco:

   • O conjunto de criptografia de disco precisa estar na mesma região e assinatura que o seu laboratório.
   • Verifique se você (proprietário do laboratório) tem pelo menos um acesso em nível de leitor ao conjunto de criptografia de disco que será usado para criptografar os discos do laboratório.

2. Para laboratórios criados antes de 01/08/2020, o proprietário do laboratório precisará garantir que a identidade atribuída do sistema de laboratório esteja habilitada. Para fazer isso, o proprietário do laboratório pode ir para o laboratório, clicar em Configuração e políticas, clicar na folha Identidade (versão prévia) , alterar o Status de Identidade Atribuído ao Sistema para Ativado e clicar em Salvar. Para novos laboratórios criados após 01/08/2020, a identidade atribuída ao sistema do laboratório será habilitada por padrão.

   

3. Para que o laboratório gerencie a criptografia para todos os discos do laboratório, o proprietário do laboratório precisa conceder explicitamente a função de leitor de identidade atribuída pelo sistema do laboratório no conjunto de criptografia de disco, bem como a função colaborador de máquina virtual na assinatura subjacente do Azure. O proprietário do laboratório pode fazer isso concluindo as seguintes etapas:

   1. Verifique se você é membro da função de Administrador de Acesso do Usuário no nível de assinatura do Azure para poder gerenciar o acesso do usuário aos recursos do Azure.

   2. Na página Conjunto de criptografia de disco, atribua pelo menos a função de Leitor ao nome do laboratório para o qual o conjunto de criptografia de disco será usado.

      Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.

   3. Navegue até a página Assinaturas no portal do Azure.

   4. Atribua a função de Colaborador da máquina virtual ao nome do laboratório (identidade atribuída pelo sistema para o laboratório).

Criptografar discos do sistema operacional de laboratório com uma chave gerenciada pelo cliente

1. Na página inicial do seu laboratório, selecione Configuração e políticas no menu da esquerda.

2. Na página Configuração e políticas, selecione Discos (versão prévia) na seção Criptografia. Por padrão, o Tipo de criptografia é definido como Criptografia em repouso com uma chave gerenciada pela plataforma.

   

3. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente da lista suspensa.

4. Para um Conjunto de criptografia de disco, selecione o conjunto de criptografia de disco que você criou anteriormente. É o mesmo conjunto de criptografia de disco que a identidade atribuída pelo sistema do laboratório pode acessar.

5. Selecione Salvar na barra de ferramentas.

   

6. Na caixa de mensagem com o seguinte texto: essa configuração será aplicada a máquinas recém-criadas no laboratório. O disco do sistema operacional antigo permanecerá criptografado com o antigo conjunto de criptografia de disco, selecione OK.

   Após a configuração, os discos do laboratório serão criptografados com a chave gerenciada pelo cliente fornecida usando o conjunto de criptografia de disco.

Como validar se os discos estão sendo criptografados

1. Vá para uma máquina virtual de laboratório criada depois de habilitar a criptografia de disco com uma chave gerenciada pelo cliente no laboratório.

   

2. Clique no grupo de recursos da VM e clique no disco do sistema operacional.

   

3. Acesse Criptografia e valide se a criptografia está definida como chave gerenciada pelo cliente com o Conjunto de Criptografia de Disco selecionado.

   

Conteúdo relacionado

Veja os artigos a seguir:

• Azure Disk Encryption.
• Chaves gerenciadas pelo cliente