Share via

Encriptar discos com chaves geridas pelo cliente no Azure DevTest Labs

  • Artigo

A encriptação do lado do servidor (SSE) protege os seus dados e ajuda-o a cumprir os compromissos de segurança e conformidade organizacionais. A SSE encripta automaticamente os dados armazenados em discos geridos no Azure (SO e discos de dados) inativos por predefinição ao mantê-lo na cloud. Saiba mais sobre a Encriptação de Discos no Azure.

No DevTest Labs, todos os discos de SO e discos de dados criados como parte de um laboratório são encriptados através de chaves geridas pela plataforma. No entanto, como proprietário do laboratório, pode optar por encriptar discos de máquinas virtuais de laboratório com as suas próprias chaves. Se optar por gerir a encriptação com as suas próprias chaves, pode especificar uma chave gerida pelo cliente a utilizar para encriptar dados em discos de laboratório. Para saber mais sobre a encriptação do lado do servidor (SSE) com chaves geridas pelo cliente e outros tipos de encriptação de discos geridos, veja Chaves geridas pelo cliente. Além disso, veja restrições com a utilização de chaves geridas pelo cliente.

Nota

  • A definição aplica-se aos discos recém-criados no laboratório. Se optar por alterar o conjunto de encriptação de disco em algum momento, os discos mais antigos no laboratório continuarão encriptados com o conjunto de encriptação de disco anterior.

A secção seguinte mostra como um proprietário de laboratório pode configurar a encriptação com uma chave gerida pelo cliente.

Pré-requisitos

  1. Se não tiver um conjunto de encriptação de disco, siga este artigo para configurar um Key Vault e um Conjunto de Encriptação de Discos. Tenha em atenção os seguintes requisitos para o conjunto de encriptação de discos:

    • O conjunto de encriptação de disco tem de estar na mesma região e subscrição que o laboratório.
    • Certifique-se de que tem, pelo menos, um acesso ao nível do leitor ao conjunto de encriptação de discos que será utilizado para encriptar discos de laboratório.

  2. Para laboratórios criados antes de 01/08/2020, o proprietário do laboratório terá de garantir que a identidade atribuída ao sistema de laboratório está ativada. Para tal, o proprietário do laboratório pode aceder ao laboratório, clicar em Configuração e políticas, clicar no painel Identidade (Pré-visualização), alterar Estado da Identidade Atribuída pelo Sistema para Ativado e clicar em Guardar. Para novos laboratórios criados após 01/08/2020, a identidade atribuída ao sistema do laboratório será ativada por predefinição.

    Chaves geridas

  3. Para que o laboratório processe a encriptação para todos os discos de laboratório, o proprietário do laboratório tem de conceder explicitamente a função de leitor de identidade atribuída pelo sistema no conjunto de encriptação de disco, bem como a função de contribuidor de máquina virtual na subscrição subjacente do Azure. O proprietário do laboratório pode fazê-lo ao concluir os seguintes passos:

    1. Certifique-se de que é membro da função de Administrador de Acesso de Utilizadores ao nível da subscrição do Azure para que possa gerir o acesso dos utilizadores aos recursos do Azure.

    2. Na página Conjunto de Encriptação de Discos , atribua, pelo menos, a função Leitor ao nome do laboratório para o qual será utilizado o conjunto de encriptação do disco.

      Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

    3. Navegue para a página Subscrição no portal do Azure.

    4. Atribua a função Contribuidor de Máquina Virtual ao nome do laboratório (identidade atribuída pelo sistema para o laboratório).

Encriptar discos do SO de laboratório com uma chave gerida pelo cliente

  1. Na home page do seu laboratório no portal do Azure, selecione Configuração e políticas no menu esquerdo.

  2. Na página Configuração e políticas , selecione Discos (Pré-visualização) na secção Encriptação . Por predefinição, o Tipo de encriptação está definido como Encriptação inativa com uma chave gerida por plataforma.

    Separador Discos da página Configuração e políticas

  3. Para Tipo de encriptação, selecione Encriptação inativa com uma chave gerida pelo cliente na lista pendente.

  4. Para Conjunto de encriptação de discos, selecione o conjunto de encriptação de disco que criou anteriormente. É o mesmo conjunto de encriptação de disco a que a identidade atribuída pelo sistema do laboratório pode aceder.

  5. Selecione Guardar na barra de ferramentas.

    Ativar a encriptação com a chave gerida pelo cliente

  6. Na caixa de mensagem com o seguinte texto: esta definição será aplicada a máquinas criadas recentemente no laboratório. O disco do SO antigo permanecerá encriptado com o conjunto de encriptação de disco antigo, selecione OK.

    Depois de configurados, os discos de laboratório serão encriptados com a chave gerida pelo cliente fornecida com o conjunto de encriptação de disco.

Como validar se os discos estão a ser encriptados

  1. Aceda a uma máquina virtual de laboratório criada depois de ativar a encriptação de disco com uma chave gerida pelo cliente no laboratório.

    VM com encriptação de disco ativada

  2. Clique no grupo de recursos da VM e clique no Disco do SO.

    Grupo de recursos da VM

  3. Aceda a Encriptação e valide se a encriptação está definida como chave gerida pelo cliente com o Conjunto de Encriptação de Discos que selecionou.

    Validar encriptação

Passos seguintes

Consulte os seguintes artigos: