Criptografia do lado do servidor de Armazenamento em Disco do Azure

Aplica-se a: ✔️ VMs Linux ✔️ VMs Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

A maioria dos discos gerenciados Azure são criptografados com criptografia Armazenamento do Azure, que usa criptografia do lado do servidor (SSE) para proteger seus dados e ajudá-lo a cumprir seus compromissos de segurança e conformidade organizacionais. Armazenamento do Azure criptografa automaticamente seus dados armazenados em discos gerenciados do Azure (discos do sistema operacional e discos de dados) em repouso por padrão ao serem armazenados na nuvem. Os discos com criptografia no host habilitado, no entanto, não são criptografados por meio de Armazenamento do Azure. Para discos com criptografia no host habilitado, o servidor que hospeda sua VM fornece a criptografia para seus dados, e esses dados criptografados fluem para o Armazenamento do Azure.

Os dados em discos gerenciados Azure são criptografados de forma transparente usando criptografia AES de 256 bits, uma das criptografias de bloco mais fortes disponíveis e compatível com FIPS 140-2. Para obter mais informações sobre os módulos criptográficos subjacentes Azure discos gerenciados, consulte Cryptography API: Next Generation

Armazenamento do Azure criptografia não afeta o desempenho dos discos gerenciados e não há custo adicional. Para obter mais informações sobre criptografia de Armazenamento do Azure, consulte Armazenamento do Azure criptografia.

Importante

Discos temporários não são discos gerenciados e não são criptografados pelo SSE, a menos que você habilite a criptografia no host.

Azure VMs que são da versão 5 ou superior (como Dsv5 ou Dsv6) criptografam automaticamente seus discos temporários e (se estiverem em uso) seus discos de SO efêmeros com criptografia em descanso.

Sobre o gerenciamento de chaves de criptografia

Você pode contar com chaves gerenciadas pela plataforma para a criptografia do disco gerenciado ou gerenciar a criptografia usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, pode especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar todos os dados nos discos gerenciados.

As seções a seguir descrevem mais detalhadamente cada uma das opções de gerenciamento de chaves.

Chaves gerenciadas pela plataforma

Por padrão, os discos gerenciados usam chaves de criptografia gerenciadas pela plataforma. A partir de 10 de junho de 2017, todos os novos discos gerenciados, instantâneos, imagens e novos dados gravados em discos gerenciados existentes são criptografados automaticamente em repouso com chaves gerenciadas pela plataforma. As chaves gerenciadas pela plataforma são gerenciadas por Microsoft.

Chaves gerenciadas pelo cliente

Você pode optar por gerenciar a criptografia no nível de cada disco gerenciado com suas próprias chaves. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. Chaves gerenciadas pelo cliente oferecem maior flexibilidade para gerenciar controles de acesso.

Você deve usar um dos seguintes repositórios de chaves Azure para armazenar suas chaves gerenciadas pelo cliente:

• Azure Key Vault (camada Premium recomendada para proteção de chave apoiada por HSM)
• Azure Key Vault HSM (Managed Hardware Security Module)

Você pode importar as chaves RSA para o Key Vault ou gerar novas chaves RSA no Azure Key Vault. Azure discos gerenciados manipulam a criptografia e a descriptografia de forma totalmente transparente usando criptografia de envelope. Ela criptografa dados usando uma DEK (chave de criptografia de dados) baseada em AES 256 que, por sua vez, é protegida com suas chaves. O serviço de armazenamento gera chaves de criptografia de dados e as criptografa com chaves gerenciadas pelo cliente usando a criptografia RSA. A criptografia de envelope permite alternar (mudar) as chaves periodicamente de acordo com as políticas de conformidade, sem afetar as VMs. Quando você gira suas chaves, o serviço de Armazenamento encapsula novamente as chaves de criptografia de dados com a nova versão da chave gerenciada pelo cliente. Os dados de disco subjacentes em si não são criptografados novamente. As versões de chave antigas e novas devem permanecer habilitadas até que o reempacotamento seja concluído.

Os discos gerenciados e o Key Vault ou HSM gerenciado devem estar na mesma região da Azure, mas podem estar em assinaturas diferentes. Eles também devem estar no mesmo locatário Microsoft Entra, a menos que você esteja usando discos gerenciados Encrypt com chaves gerenciadas pelo cliente entre locatários.

Controle total de suas chaves

Você deve conceder acesso a discos gerenciados em seu Key Vault ou HSM gerenciado para usar suas chaves para criptografar e descriptografar o DEK. Isso permite o controle total de dados e chaves. É possível desabilitar as chaves ou revogar o acesso aos discos gerenciados a qualquer momento. Você também pode auditar o uso da chave de criptografia com Azure Key Vault monitoramento para garantir que apenas discos gerenciados ou outros serviços de Azure confiáveis estejam acessando suas chaves.

Importante

Quando uma chave for desabilitada, excluída ou expirar, todas as VMs com discos de dados ou sistema operacional que usam essa chave serão desligadas automaticamente. Após o desligamento automatizado, as VMs não serão inicializadas até que a chave esteja habilitada novamente ou você atribua uma nova chave.

Geralmente, a E/S do disco (operações de leitura ou gravação) começa a falhar 1 hora depois que uma chave for desabilitada, excluída ou expirar.

O diagrama a seguir mostra como os discos gerenciados usam Microsoft Entra ID e Azure Key Vault para fazer solicitações usando a chave gerenciada pelo cliente:

A lista a seguir explica o diagrama mais detalhadamente:

1. Um administrador de Azure Key Vault cria recursos do cofre de chaves.
2. O administrador key vault importa suas chaves RSA para Key Vault ou gera novas chaves RSA em Key Vault.
3. Esse administrador cria uma instância do recurso Conjunto de Criptografia de Disco, especificando uma ID de Azure Key Vault e uma URL de chave. O conjunto de criptografia de disco é um novo recurso que simplifica o gerenciamento de chaves dos discos gerenciados.
4. Quando um conjunto de criptografia de disco é criado, uma identidade gerenciada atribuída sistema é criada em Microsoft Entra ID e associada ao conjunto de criptografia de disco.
5. O administrador do Cofre de Chaves do Azure concede permissão à identidade gerenciada para executar operações no cofre de chaves.
6. Um usuário da VM cria discos associando-os ao conjunto de criptografia de disco. O usuário da VM também pode habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para recursos existentes, associando-as ao conjunto de criptografia de disco.
7. Os discos gerenciados usam a identidade gerenciada para enviar solicitações para o Azure Key Vault.
8. Para ler ou gravar dados, os discos gerenciados enviam solicitações ao Key Vault do Azure para proteger (wrap) e liberar (unwrap) a chave de criptografia de dados para realizar a criptografia e descriptografia dos dados.

Para revogar o acesso a chaves gerenciadas pelo cliente, consulte Azure Key Vault PowerShell e Azure Key Vault CLI. A revogação do acesso bloqueia efetivamente o acesso a todos os dados na conta de armazenamento, pois a chave de criptografia é inacessível Armazenamento do Azure.

Rotação automática de chaves gerenciadas pelo cliente

Em geral, se você estiver usando chaves gerenciadas pelo cliente, deverá habilitar a rotação automática de chaves para a versão mais recente. O giro automático de chaves ajuda a garantir que suas chaves estejam seguras. Um disco faz referência a uma chave por meio de seu conjunto de criptografia de disco. Quando você habilita a rotação automática para um conjunto de criptografia de disco, o sistema atualiza automaticamente todos os discos gerenciados, instantâneos e imagens que fazem referência ao conjunto de criptografia de disco para usar a nova versão da chave em uma hora. Para saber como habilitar chaves gerenciadas pelo cliente com rotação automática de chaves, consulte Conseje um Azure Key Vault e DiskEncryptionSet com rotação automática de chaves.

Observação

Máquinas Virtuais não são reinicializadas durante a rotação automática de chaves.

Se você não puder habilitar o giro automático de chaves, poderá usar outros métodos para alertá-lo antes que as chaves expirem. Dessa forma, você pode garantir o giro de suas chaves antes do vencimento e manter a continuidade dos negócios. Você pode usar uma Política do Azure ou Grade de Eventos do Azure para enviar uma notificação quando uma chave estiver prestes a expirar.

Restrições

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

• Se esse recurso estiver habilitado para um disco com instantâneos incrementais, ele não poderá ser desabilitado nesse disco ou em seus instantâneos. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não use chaves gerenciadas pelo cliente. Você pode fazer isso com o módulo CLI do Azure ou o módulo Azure PowerShell.
• Um disco e todos os seus instantâneos incrementais associados devem ter o mesmo Conjunto de Criptografia de Disco.
• Só chaves de software e chaves RSA HSM de tamanhos 2.048, 3.072 e 4.096 bits são suportadas. Não são aceitas outras chaves ou tamanhos.
  • as chaves HSM exigem a camada premium do Cofre de Chaves do Azure.
• Somente para Discos Ultra e discos SSD Premium v2:
  • (Versão prévia) As identidades gerenciadas atribuídas pelo usuário estão disponíveis para discos Ultra Disks e Premium SSD v2 criptografados com chaves gerenciadas pelo cliente.
• A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) precisa estar na mesma assinatura e região.
  • Azure Key Vaults pode ser usado de uma assinatura diferente, mas deve estar na mesma região que o conjunto de criptografia de disco. Azure Key Vaults em locatários Microsoft Entra diferentes são compatíveis com discos gerenciados. Para obter detalhes, consulte Criptografar discos gerenciados com chaves gerenciadas pelo cliente entre instâncias.
• Os discos criptografados com chaves gerenciadas pelo cliente só poderão ser movidos para outro grupo de recursos se a VM à qual estão anexadas for desalocada.
• Os discos, os instantâneos e as imagens criptografadas com chaves gerenciadas pelo cliente não podem ser movidas entre assinaturas.
• Discos gerenciados atualmente ou previamente criptografados usando Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
• Só é possível criar até 5 mil conjuntos de criptografia de disco por região e assinatura.
• Para obter informações sobre o uso de chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, consulte Preview: use chaves gerenciadas pelo cliente para criptografar imagens.

Regiões com suporte

As chaves gerenciadas pelo cliente estão disponíveis em todas as regiões em que os discos gerenciados estão disponíveis.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos Azure, um recurso de Microsoft Entra ID. Ao configurar chaves gerenciadas pelo cliente, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o disco gerenciado de um diretório Microsoft Entra para outro, a identidade gerenciada associada a discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Transferindo uma assinatura entre os diretórios do Microsoft Entra.

Para habilitar chaves gerenciadas pelo cliente para discos gerenciados, consulte nossos artigos que abordam como habilitá-lo com o módulo Azure PowerShell, o CLI do Azure ou o portal Azure.

Consulte Como criar um disco gerenciado de um instantâneo com a CLI para obter um exemplo de código.

Criptografia em criptografia de host de ponta a ponta para os dados da VM

Quando você habilita a criptografia no host, essa criptografia é iniciada no próprio host da VM, o servidor Azure ao qual a VM é alocada. Os dados para o disco temporário e caches do sistema operacional/disco do disco de dados são armazenados nesse host de VM. Após habilitar a criptografia no host, todos esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento, em que são mantidos. Essencialmente, a criptografia no host criptografa seus dados de ponta a ponta. A criptografia no host não utiliza a CPU da sua VM e não afeta o desempenho da VM.

Discos temporários e discos do sistema operacional efêmero são criptografados em repouso com chaves gerenciadas pela plataforma quando você habilita a criptografia de ponta a ponta. Os caches do sistema operacional e dos dados são criptografados em repouso com chaves gerenciadas pelo cliente ou gerenciadas por plataforma, dependendo do tipo de criptografia de disco selecionado. Por exemplo, se um disco for criptografado com chaves gerenciadas pelo cliente, o cache do disco será criptografado com chaves gerenciadas pelo cliente e, se um disco for criptografado com chaves gerenciadas pela plataforma, o cache do disco será criptografado com chaves gerenciadas pela plataforma.

Restrições

• Não é possível ser habilitado em máquinas virtuais (VMs) ou conjuntos de dimensionamento de máquinas virtuais que atualmente ou nunca tiveram Azure Disk Encryption habilitados.
• Azure Disk Encryption não pode ser habilitado em discos que têm criptografia no host habilitada.
• A criptografia pode ser habilitada nos conjuntos de dimensionamento de máquinas virtuais existentes. No entanto, somente as novas VMs criadas após a ativação da criptografia são criptografadas automaticamente.
• As VMs existentes devem ser desalocadas e realocadas para serem criptografadas.

As seguintes restrições se aplicam somente ao Ultra Disks e ao SSD Premium v2:

• Os discos que usam um tamanho de setor 512e precisam ter sido criados após 13/05/2023.
  • Se o disco foi criado antes dessa data, crie um instantâneo do disco e crie um novo disco usando o instantâneo.

Tamanhos de VM com suporte

A lista completa de tamanhos de VM compatíveis pode ser extraída programaticamente. Para saber como recuperá-los programaticamente, consulte a seção de pesquisa de tamanhos de VM compatíveis nos artigos do módulo Azure PowerShell ou do CLI do Azure.

Para habilitar a criptografia de ponta a ponta usando criptografia no host, consulte nossos artigos que abordam como habilitá-la com o módulo Azure PowerShell, o CLI do Azure ou o portal Azure.

Criptografia dupla em repouso

Clientes altamente sensíveis à segurança, que estão preocupados com o risco associado a um algoritmo de criptografia, implementação ou chave específica sendo comprometido, agora podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura, utilizando chaves de criptografia gerenciadas pela plataforma. Essa nova camada pode ser aplicada ao sistema operacional persistente e discos de dados, instantâneos e imagens, todos os quais serão criptografados em repouso com criptografia dupla.

Restrições

Atualmente, não há suporte para criptografia dupla em repouso com discos do tipo Discos Ultra ou SSD Premium v2.

Para habilitar a criptografia dupla em repouso para discos gerenciados, veja Habilitar criptografia dupla em repouso para discos gerenciados.

Criptografia no servidor versus criptografia de disco do Azure

Azure Disk Encryption aproveita o recurso DM-Crypt do Linux ou o recurso BitLocker de Windows para criptografar discos gerenciados com chaves gerenciadas pelo cliente dentro da VM convidada. A criptografia do lado do servidor com criptografia no host melhora no ADE. Com a criptografia no host, os dados para o disco temporário e os caches de disco de dados/sistema operacional são armazenados nesse host de VM. Após habilitar a criptografia no host, todos esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento, em que são mantidos. Essencialmente, a criptografia no host criptografa seus dados de ponta a ponta. A criptografia no host não utiliza a CPU da sua VM e não afeta o desempenho da VM.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Ao configurar chaves gerenciadas pelo cliente, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Se você mover posteriormente a assinatura, o grupo de recursos ou o disco gerenciado de um diretório Microsoft Entra para outro, a identidade gerenciada associada a discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Transferência de uma assinatura entre diretórios do Microsoft Entra.

Próximas etapas

• Habilite a criptografia de ponta a ponta usando criptografia no host com o módulo Azure PowerShell, o CLI do Azure ou o portal Azure.
• Para habilitar a criptografia dupla em repouso para discos gerenciados, veja Habilitar criptografia dupla em repouso para discos gerenciados.
• Habilite chaves gerenciadas pelo cliente para discos gerenciados com o módulo Azure PowerShell, o CLI do Azure ou o portal Azure.
• Igrate de Azure Disk Encryption para criptografia do lado do servidor
• Explore os modelos de Azure Resource Manager para criar discos criptografados com chaves gerenciadas pelo cliente
• O que é Azure Key Vault?