Perguntas frequentes do Azure Disk Encryption para máquinas virtuais

O Azure Disk Encryption para máquinas virtuais do Linux usa o recurso dm-crypt do Linux para fornecer criptografia de disco completa do disco* do sistema operacional e discos de dados. Além disso, ele fornece criptografia do disco temporário ao usar o recurso EncryptFormatAll. O conteúdo flui criptografado da VM para o back-end de Armazenamento com uma chave gerenciada pelo cliente.

Consulte máquinas virtuais e sistemas operacionais com suporte.

O Azure Disk Encryption para máquinas virtuais do Linux está em disponibilidade geral em todas as regiões públicas do Azure.

A GA do Azure Disk Encryption dá suporte a modelos do Azure Resource Manager, ao Azure PowerShell e à CLI do Azure. As diferentes experiências de usuário oferecem flexibilidade. Você tem três opções diferentes para habilitar a criptografia de disco para suas máquinas virtuais. Para saber mais sobre a experiência do usuário e as orientações passo a passo disponíveis no Azure Disk Encryption, consulte Cenários do Azure Disk Encryption para Linux.

Não há nenhum encargo para criptografar discos de VM com o Azure Disk Encryption, mas há encargos associados ao uso do Azure Key Vault. Para obter mais informações sobre os custos do Cofre de Chaves do Azure, consulte a página de preços Cofre de chaves.

Para começar, leia as visão geral do Azure Disk Encryption.

O artigo Visão geral do Azure Disk Encryption lista os tamanhos de VM e os sistemas operacionais de VM compatíveis com o Azure Disk Encryption.

Sim, você pode criptografar volumes de dados junto com os de inicialização ou apenas volumes de dados sem precisar criptografar o volume do sistema operacional primeiro.

Depois de criptografar o volume do sistema operacional, não é possível desabilitar a criptografia no volume do sistema operacional. Em máquinas virtuais do Linux em um conjunto de dimensionamento, somente o volume de dados pode ser criptografado.

Não, o Azure Disk Encryption criptografa apenas volumes montados.

A criptografia do lado do servidor do Armazenamento criptografa discos gerenciados do Azure no Armazenamento do Microsoft Azure. Discos gerenciados são criptografados por padrão com criptografia do lado do servidor com chave gerenciada de plataforma (a partir de 10 de junho de 2017). Você pode gerenciar a criptografia de discos gerenciados com suas próprias chaves especificando uma chave gerenciada pelo cliente. Para obter mais informações, consulte: Criptografia do lado do servidor dos discos gerenciados do Azure.

Consulte Visão geral das opções de criptografia de disco gerenciado.

Para revezar segredos, basta chamar o mesmo comando usado originalmente para habilitar a criptografia de disco, especificando um Key Vault diferente. Para revezar a chave de criptografia da chave, chame o mesmo comando usado originalmente para habilitar a criptografia de disco, especificando a nova criptografia de chave.

Para adicionar uma chave de criptografia da chave, chame o comando “enable” novamente passando o parâmetro de chave de criptografia da chave. Para remover uma chave de criptografia da chave, chame o comando “enable” sem passar o parâmetro de chave de criptografia da chave.

Sim, você pode fornecer suas próprias chaves de criptografia de chave. Essas chaves ficam protegidas no Azure Key Vault, que é o repositório de chaves do Azure Disk Encryption. Para obter mais informações sobre cenários de suporte de chaves de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.

Sim, você pode usar o Azure Key Vault para gerar uma chave de criptografia de chave para ser usada pela criptografia de disco do Azure. Essas chaves ficam protegidas no Azure Key Vault, que é o repositório de chaves do Azure Disk Encryption. Para obter mais informações sobre chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.

Você não pode usar o serviço de gerenciamento de chaves local ou HSM para proteger as chaves de criptografia com o Azure Disk Encryption. Você só pode usar o serviço Azure Key Vault para proteger as chaves de criptografia. Para obter mais informações sobre cenários de suporte de chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.

Há pré-requisitos para o Azure Disk Encryption. Consulte o artigo Criar e configurar um cofre de chaves para o Azure Disk Encryption para criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso da criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre cenários de suporte de chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption.

Há pré-requisitos para o Azure Disk Encryption. Consulte o conteúdo Azure Disk Encryption com o Microsoft Entra ID para criar um aplicativo do Microsoft Entra, criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso à criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre cenários de suporte de chave de criptografia, consulte Criar e configurar um cofre de chaves para Azure Disk Encryption com o Microsoft Entra ID.

Sim. A criptografia de disco usando um aplicativo do Microsoft Entra ainda tem suporte. No entanto, ao criptografar novas máquinas virtuais, é recomendável usar o novo método em vez de criptografar com um aplicativo do Microsoft Entra.

Atualmente, não há um caminho de migração direta para computadores que foram criptografados com um aplicativo do Microsoft Entra para criptografia sem um aplicativo do Microsoft Entra. Além disso, também não há um caminho direto da criptografia sem um aplicativo do Microsoft Entra para a criptografia com o aplicativo do AD.

Use a versão mais recente do SDK do Azure PowerShell para configurar o Azure Disk Encryption. Baixe a última versão do Azure PowerShell. O Azure Disk Encryption não é suportado pela versão 1.1.0 do SDK do Azure.

Para cenários de implantação, como o Azure Resource Manager (ARM), em que você precisa implantar a extensão de criptografia de disco do Azure para VM do Linux para habilitar a criptografia em sua VM de IaaS do Linux, é necessário usar a extensão com suporte para produção do Azure Disk Encryption "Microsoft.Azure.Security.AzureDiskEncryptionForLinux".

Você não pode aplicar a criptografia de disco do Azure à sua imagem personalizada do Linux. Somente as imagens da galeria Linux para as distribuições suportadas chamadas anteriormente são suportadas. Imagens personalizadas do Linux não são suportadas atualmente.

Sim, você pode executar uma atualização do yum em uma VM Red Hat Linux. Para obter mais informações, consulte Azure Disk Encryption em uma rede isolada.

O seguinte fluxo de trabalho é recomendado para ter os melhores resultados no Linux:

• Inicie na imagem da galeria de estoque não modificada que corresponde à distribuição e à versão do sistema operacional necessárias
• Faça backup de todas as unidades montadas a serem criptografadas. Esse backup permitirá a recuperação se houver uma falha, por exemplo, se a VM for reinicializada antes da conclusão da criptografia.
• Criptografar (pode levar várias horas ou mesmo dias dependendo das características da VM e do tamanho dos discos de dados anexados)
• Personalizar e adicionar o software à imagem conforme necessário.

Se esse fluxo de trabalho não for possível, usar a SSE (Criptografia do Serviço de Armazenamento) na camada da conta de armazenamento de plataforma poderá ser uma alternativa para a criptografia de disco completo usando dm-crypt.

O “volume Bek” é um volume de dados locais que armazena com segurança chaves de criptografia para máquinas virtuais criptografadas do Azure.

O Azure Disk Encryption usa o padrão de descriptografia aes-xts-plain64 com uma chave mestra de volume de 256-bit.

Não, os dados não serão apagados de unidades de dados que já tiverem sido criptografadas usando o Azure Disk Encryption. Semelhante ao modo como o EncryptFormatAll não criptografou novamente a unidade do sistema operacional, ele não criptografará novamente a unidade de dados já criptografada. Para obter mais informações, veja os critérios do EncryptFormatAll.

A criptografia de discos de sistema operacional XFS tem suporte.

A criptografia de discos de dados XFS é suportada somente quando o parâmetro EncryptFormatAll é usado. Essa opção reformata o volume, apagando todos os dados anteriormente. Para obter mais informações, veja os critérios do EncryptFormatAll.

Não há suporte para o redimensionamento de um disco do sistema operacional criptografado do Azure Disk Encryption.

O Backup do Azure fornece um mecanismo para fazer backup e restaurar VMs criptografadas na mesma assinatura e região. Para obter instruções, consulte Backup e restauração de máquinas virtuais criptografadas usando o Backup do Azure. Atualmente, não há suporte para a restauração de uma VM criptografada em uma região diferente.

Você pode fazer perguntas ou comentários na Página de P e R da Microsoft para Azure Disk Encryption.

Próximas etapas

Neste documento, você aprendeu mais sobre as perguntas mais frequentes relativas ao Azure Disk Encryption. Para obter mais informações sobre esse serviço, veja os seguintes artigos:

• Visão geral do Azure Disk Encryption
• Aplicar a criptografia de disco na Central de Segurança do Azure
• Criptografia de dados em repouso do Azure