Azure Disk Encryption para Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Visão geral
Azure Disk Encryption aproveita o subsistema de dm-crypt no Linux para fornecer criptografia de disco completo em selecionar distribuições de Linux do Azure. A solução é integrada ao Azure Key Vault para gerenciar as chaves de criptografia de disco e segredos.
Pré-requisitos
Para obter uma lista completa de pré-requisitos, consulte Azure Disk Encryption para VMs do Linux, especificamente as seguintes seções:
- Sistemas operacionais e VMs com suporte
- Requisitos adicionais da VM
- Requisitos de rede
- Requisitos de armazenamento de chave de criptografia
Esquema de Extensão
Há duas versões do esquema de extensão para Azure Disk Encryption (ADE):
- v1.1 - um esquema mais recente recomendado que não usa as propriedades do Microsoft Entra.
- v0.1 – um esquema mais antigo que requer propriedades do Microsoft Entra.
Para selecionar um esquema de destino, a propriedade typeHandlerVersion
deve ser definida igual à versão do esquema que você deseja usar.
Esquema v1.1: nenhum Microsoft Entra ID (recomendado)
O esquema v1.1 é recomendado e não requer propriedades do Microsoft Entra.
Observação
O parâmetro DiskFormatQuery
foi preterido. Sua funcionalidade foi substituída pela opção EncryptFormatAll, que é a maneira recomendada para formatar discos de dados no momento da criptografia.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Esquema v0.1: com o Microsoft Entra ID
O esquema 0.1 requer AADClientID
e AADClientSecret
ou AADClientCertificate
.
Usando AADClientSecret
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Usando AADClientCertificate
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valores de propriedade
Observação: Todos os valores de propriedade diferenciam maiúsculas de minúsculas.
Nome | Valor/Exemplo | Tipo de Dados |
---|---|---|
apiVersion | 2019-07-01 | date |
publicador | Microsoft.Azure.Security | string |
type | AzureDiskEncryptionForLinux | string |
typeHandlerVersion | 1.1, 0.1 | INT |
(esquema 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
(esquema 0.1) AADClientSecret | password | string |
(esquema 0.1) AADClientCertificate | thumbprint | string |
(opcional) (esquema 0.1) Frase secreta | password | string |
DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | Dicionário JSON |
EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
(opcional - padrão RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | string |
KeyVaultURL | url | string |
KeyVaultResourceId | url | string |
(opcional) KeyEncryptionKeyURL | url | string |
(opcional) KekVaultResourceId | url | string |
(opcional) SequenceVersion | UNIQUEIDENTIFIER | string |
VolumeType | Sistema operacional, Dados, Tudo | string |
Implantação de modelo
Para obter um exemplo de implantação de modelo com base no esquema v1.1, consulte o modelo de início rápido do Azure encrypt-running-linux-vm-without-aad.
Para obter um exemplo de implantação de modelo com base no esquema v0.1, consulte o modelo de início rápido do Azure encrypt-running-linux-vm.
Aviso
- Se você já tiver usado a Criptografia de Disco do Azure com o Microsoft Entra ID para criptografar uma VM, deverá continuar usando essa opção para criptografar sua VM.
- Ao criptografar volumes do sistema operacional Linux, a VM deve ser considerada não disponível. É altamente recomendável evitar logons SSH enquanto a criptografia estiver em andamento para evitar problemas ao bloquear os arquivos abertos que precisarão ser acessados durante o processo de criptografia. Para verificar o progresso, use o cmdlet Get-AzVMDiskEncryptionStatus do PowerShell ou o comando vm encryption show da CLI. Esse processo deve levar algumas horas para um volume do sistema operacional de 30 GB, mais algum tempo para criptografar volumes de dados. O tempo de criptografia do volume de dados será proporcional ao tamanho e à quantidade dos volumes de dados; a opção
encrypt format all
é mais rápida do que a criptografia in-loco, mas resultará na perda de todos os dados nos discos. - Desabilitar criptografia nas VMs do Linux tem suporte apenas para volumes de dados. Não haverá suporte em dados ou volumes de SO, se o volume de SO tiver sido criptografado.
Observação
Além disso, se o parâmetro VolumeType
for definido como Tudo, os discos de dados serão criptografados somente se forem montados corretamente.
Solução de problemas e suporte
Solucionar problemas
Para solução de problemas, consulte o Guia de solução de problemas do Azure Disk Encryption.
Suporte
Caso precise de mais ajuda em qualquer ponto deste artigo, entre em contato com os especialistas do Azure nos fóruns do Azure e do Stack Overflow no MSDN.
Como alternativa, você pode registrar um incidente de suporte do Azure. Acesse o Suporte do Azure e selecione Obter suporte. Para saber mais sobre como usar o suporte do Azure, leia as Perguntas frequentes do Suporte do Microsoft Azure.
Próximas etapas
- Para obter mais informações sobre extensões de VM, consulte Recursos e extensões da máquina virtual para Linux.
- Para mais informações sobre o Azure Disk Encryption para Linux, consulte Máquinas virtuais Linux.