Criptografia baseada em host no Serviço Kubernetes do Azure (AKS)

Com a criptografia baseada em host, os dados armazenados no host VM das VMs dos nós do agente AKS são criptografados em repouso e fluem criptografados para o serviço de armazenamento. Isto significa que os discos temporários são encriptados em inatividade com chaves geridas pela plataforma. A cache do SO e dos discos de dados é encriptada em inatividade com chaves geridas pela plataforma ou chaves geridas pelo cliente, dependendo do tipo de encriptação definido nesses discos.

Por padrão, ao usar AKS, o sistema operacional e os discos de dados usam criptografia do lado do servidor com chaves gerenciadas pela plataforma. Os caches desses discos são criptografados em repouso com chaves gerenciadas pela plataforma. Você pode especificar suas próprias chaves gerenciadas após Bring your own keys (BYOK) com discos do Azure no Serviço Kubernetes do Azure. Os caches desses discos também são criptografados usando a chave especificada.

A criptografia baseada em host é diferente da criptografia do lado do servidor (SSE), que é usada pelo Armazenamento do Azure. Os discos gerenciados pelo Azure usam o Armazenamento do Azure para criptografar automaticamente os dados em repouso ao salvar dados. A criptografia baseada em host usa o host da VM para manipular a criptografia antes que os dados fluam pelo Armazenamento do Azure.

Antes de começar

Antes de começar, revise os seguintes pré-requisitos e limitações.

Pré-requisitos

• Certifique-se de ter a extensão CLI v2.23 ou superior instalada.

Limitações

• Esse recurso só pode ser definido no momento da criação do cluster ou do pool de nós.
• Esse recurso só pode ser habilitado em regiões do Azure que oferecem suporte à criptografia do lado do servidor de discos gerenciados do Azure e somente com tamanhos de VM específicos com suporte.
• Esse recurso requer um cluster AKS e um pool de nós com base em Conjuntos de Escala de Máquina Virtual como tipo de conjunto de VM.

Usar criptografia baseada em host em novos clusters

• Crie um novo cluster e configure os nós do agente de cluster para usar a criptografia baseada em host usando o az aks create comando com o --enable-encryption-at-host sinalizador.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Usar criptografia baseada em host em clusters existentes

• Habilite a criptografia baseada em host em um cluster existente adicionando um novo pool de nós usando o az aks nodepool add comando com o --enable-encryption-at-host sinalizador.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Próximos passos

• Analise as práticas recomendadas para a segurança do cluster AKS.
• Leia mais sobre criptografia baseada em host.