Usar o portal do Azure para habilitar a criptografia do lado do servidor com as chaves gerenciadas pelo cliente para discos gerenciados

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

• Se esse recurso estiver habilitado para um disco com instantâneos incrementais, ele não poderá ser desabilitado nesse disco ou em seus instantâneos. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não use chaves gerenciadas pelo cliente. Você pode fazer isso com a CLI do Azure ou com o módulo do Azure PowerShell.
• Um disco e todos os seus instantâneos incrementais associados devem ter o mesmo Conjunto de Criptografia de Disco.
• Só chaves de software e chaves RSA HSM de tamanhos 2.048, 3.072 e 4.096 bits são suportadas. Não são aceitas outras chaves ou tamanhos.
  • As chaves HSM exigem a camada Premium de cofres de chaves do Azure.
• Somente para Discos Ultra e discos SSD Premium v2:
  • Discos criados a partir de instantâneos que são criptografados com Criptografia do lado do Servidor e Chaves gerenciadas pelo Cliente devem ser criptografados com o mesmo Conjunto de Criptografia de Disco.
  • Não há suporte para identidades gerenciadas atribuídas pelo usuário em Discos Ultra e discos SSD Premium v2 criptografados com chaves gerenciadas pelo cliente.
  • No momento, não há suporte para a criptografia de discos Ultra e discos SSD Premium v2 com chaves gerenciadas pelo cliente usando Azure Key Vaults armazenados em um locatário diferente do Microsoft Entra ID.
• A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) precisa estar na mesma assinatura e região.
  • Os cofres de chaves do Azure podem ser usados em outra assinatura, mas precisam estar na mesma região do conjunto de criptografia de disco. Com o acesso à versão prévia, você poderá usar os Azure Key Vaults de diferentes locatários do Microsoft Entra.
• Os discos criptografados com chaves gerenciadas pelo cliente só poderão ser movidos para outro grupo de recursos se a VM à qual estão anexados for desalocada.
• Os discos, os instantâneos e as imagens criptografadas com chaves gerenciadas pelo cliente não podem ser movidas entre assinaturas.
• Os discos gerenciados atualmente ou criptografados anteriormente usando Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
• Só é possível criar até 5 mil conjuntos de criptografia de disco por região e assinatura.
• Para obter informações sobre o uso de chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, confira Preview: Use chaves gerenciadas pelo cliente para criptografar imagens.

As seguintes seções abordam como habilitar e usar chaves gerenciadas pelo cliente nos discos gerenciados:

A configuração de chaves gerenciadas pelo cliente para os discos exigirá que você crie recursos em uma ordem específica, caso esteja fazendo isso pela primeira vez. Primeiro, será necessário criar e configurar um Azure Key Vault.

Configure o seu Cofre da Chave do Azure

1. Entre no portal do Azure.

2. Procure e selecione Key Vaults.

   

   Importante

   Seu conjunto de criptografia de disco, VM, discos e instantâneos devem estar todos na mesma região e assinatura para que a implantação seja bem-sucedida. Os Azure Key Vaults podem ser usados de uma assinatura diferente, mas precisam estar na mesma região e no mesmo locatário que o conjunto de criptografia de disco.

3. Selecione +Criar para criar um cofre de chaves.

4. Criar um grupo de recursos.

5. Insira um nome de Key Vault, selecione uma região e selecione um tipo de preço.

   Observação

   Ao criar a instância do Key Vault, habilite a exclusão temporária e a proteção de limpeza. A exclusão temporária garante que a Key Vault mantenha uma chave excluída para determinado período de retenção (padrão de 90 dias). A proteção de limpeza garante que uma chave excluída não seja excluída permanentemente até que o período de retenção termine. Essas configurações protegem você contra a perda de dados devido à exclusão acidental. Essas configurações são obrigatórias ao usar um Key Vault para criptografar discos gerenciados.

6. Selecione Revisar + Criar, verifique suas escolhas e selecione Criar.

   

7. Assim que o seu cofre de chaves terminar de ser implantado, selecione-o.

8. Selecione Chaves em Objetos.

9. Selecione Gerar/Importar.

   

10. Deixe o Tipo de chave definido como RSA e o Tamanho da chave RSA definido como 2048.

11. Preencha as seleções restantes como desejar e, em seguida, selecione Criar.

    

Adicionar uma função RBAC do Azure

Agora que você criou o cofre de chaves do Azure e uma chave, deve adicionar uma função de RBAC do Azure, para que você possa usar o cofre de chaves do Azure com o conjunto de criptografia de disco.

1. Selecione Controle de acesso (IAM) e adicione uma função.
2. Adicione as funções Administrador do Key Vault, Proprietário ou Colaborador.

Configurar o conjunto de criptografia de disco

1. Procure por Conjuntos de criptografia de disco e selecione-o.

2. No painel Conjuntos de Criptografia de Disco, selecione +Criar.

3. Selecione seu grupo de recursos, nomeie o conjunto de criptografia e selecione a mesma região que o cofre de chaves.

4. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

   Observação

   Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se você quiser usar um tipo de criptografia diferente, deverá criar um novo conjunto de criptografia de disco.

5. Verifique se Selecionar cofre de chaves do Azure e a chave está selecionado.

6. Selecione o cofre de chaves e a chave que você criou anteriormente e a versão.

7. Se você quiser habilitar a rotação automática de chaves gerenciadas pelo cliente, selecione Rotação automática de chaves.

8. Selecione Examinar + Criar e Criar.

   

9. Navegue até o conjunto de criptografia de disco assim que ele for implantado e selecione o alerta exibido.

   

10. Isso concederá permissões ao cofre de chaves para o conjunto de criptografia de disco.

    

Implantar uma máquina virtual

Agora que você criou e configurou o cofre de chaves e o conjunto de criptografia de disco, você pode implantar uma VM usando a criptografia. O processo de implantação de VM é semelhante ao processo de implantação padrão, as únicas diferenças são que você precisa implantar a VM na mesma região que os outros recursos e optar por usar uma chave gerenciada pelo cliente.

1. Pesquise Máquinas Virtuais e selecione + Criar para criar uma VM.

2. No painel Básico, selecione a mesma região que o conjunto de criptografia de disco e o Azure Key Vault.

3. Preencha os outros valores no painel Básico como quiser.

   

4. No painel Discos, para Gerenciamento de chaves, selecione o conjunto de criptografia de disco, o cofre de chaves e a chave na lista suspensa.

5. Faça as seleções restantes como desejar.

   

1. Navegue até uma VM que está na mesma região que um dos seus conjuntos de criptografia de disco.

2. Abra a VM e selecione Parar.

3. Após a interrupção total da VM, selecione Discos e selecione o disco que você quer criptografar.

4. Selecione Criptografia e, em Gerenciamento de chaves, selecione o cofre de chaves e a chave na lista suspensa, em Chave gerenciada pelo cliente.

5. Clique em Salvar.

6. Repita esse processo para todos os outros discos anexados à VM que você gostaria de criptografar.

7. Quando os discos terminarem de alternar para as chaves gerenciadas pelo cliente, se não houver nenhum outro disco anexado que você queira criptografar, inicie a VM.

Habilitar a rotação automática de chaves em um conjunto de criptografia de disco existente

1. Navegue até o conjunto de criptografia de disco no qual você deseja habilitar a rotação automática de chaves.

2. Em Configurações, selecione Chave.

3. Selecione Rotação automática de chaves e selecione Salvar.