Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ VMs Linux ✔️ VMs Windows ✔️ Conjuntos de escala flexíveis ✔️ Conjuntos de escala uniformes
A maioria dos discos geridos pelo Azure é encriptada com encriptação do Armazenamento do Azure, que utiliza encriptação do lado do servidor (SSE) para proteger os seus dados e ajudar a cumprir os seus compromissos organizacionais de segurança e conformidade. A encriptação do Armazenamento do Azure encripta automaticamente os seus dados armazenados em discos geridos pelo Azure, tanto os discos de sistemas operativos como os discos de dados, enquanto estão armazenados na cloud. Os discos com encriptação no host ativada, no entanto, não são encriptados através do Armazenamento do Azure. Para discos com encriptação no host ativada, o servidor que aloja a sua VM fornece a encriptação dos seus dados, e esses dados encriptados fluem para o Armazenamento do Azure.
Os dados em discos geridos do Azure são encriptados transparentemente usando encriptação AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com a norma FIPS 140-2. Para mais informações sobre os módulos criptográficos que suportam os discos geridos do Azure, consulte Cryptography API: Next Generation
A encriptação do Armazenamento do Azure não afeta o desempenho dos discos geridos e não há custo adicional. Para mais informações sobre encriptação Armazenamento do Azure, consulte Armazenamento do Azure encriptação.
Importante
Os discos temporários não são discos gerenciados e não são criptografados pelo SSE, a menos que você habilite a criptografia no host.
As VMs do Azure com versão 5 ou superior (como Dsv5 ou Dsv6) encriptam automaticamente os seus discos temporários e (se estiverem em uso) os seus discos efémeros do sistema operativo com encriptação em repouso.
Sobre o gerenciamento de chaves de criptografia
Você pode confiar em chaves gerenciadas pela plataforma para a criptografia do disco gerenciado ou pode gerenciar a criptografia usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, poderá especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar todos os dados em discos gerenciados.
As seções a seguir descrevem cada uma das opções para o gerenciamento de chaves com mais detalhes.
Chaves gerenciadas pela plataforma
Por padrão, os discos gerenciados usam chaves de criptografia gerenciadas pela plataforma. Todos os discos gerenciados, instantâneos, imagens e dados gravados em discos gerenciados existentes são automaticamente criptografados em repouso com chaves gerenciadas pela plataforma. As chaves geridas pela plataforma são geridas pela Microsoft.
Chaves geridas pelo cliente
Pode optar por gerir a encriptação ao nível de cada disco gerido, com as suas próprias chaves. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. As chaves geridas pelo cliente oferecem uma maior flexibilidade para gerir os controlos de acesso.
Deve usar uma das seguintes lojas de chaves do Azure para armazenar as suas chaves geridas pelo cliente:
- Azure Key Vault (Nível Premium recomendado para proteção de chaves suportadas por HSM)
- Azure Key Vault Módulo de Segurança de Hardware Gerenciado (HSM)
Podes importar as tuas chaves RSA para o teu Key Vault ou gerar novas chaves RSA no Azure Key Vault. O Azure managed disks trata da encriptação e desencriptação de forma totalmente transparente, utilizando encriptação por envelope. Ele criptografa dados usando uma chave de criptografia de dados baseada em AES 256 (DEK), que é, por sua vez, protegida usando suas chaves. O serviço de armazenamento gera chaves de criptografia de dados e as criptografa com chaves gerenciadas pelo cliente usando criptografia RSA. A criptografia de envelope permite que você gire (altere) suas chaves periodicamente de acordo com suas políticas de conformidade sem afetar suas VMs. Quando roda as suas chaves, o serviço de Armazenamento volta a envolver as chaves de encriptação de dados com a nova versão da chave gerida pelo cliente. Os dados do disco subjacentes em si não são reencriptados. Tanto as versões de chaves antigas como as novas devem permanecer ativadas até que o re-wrapping esteja concluído.
Os discos geridos e o Cofre de Chaves ou HSM gerido devem estar na mesma região Azure, mas podem estar em subscrições diferentes. Devem também estar no mesmo Microsoft Entra tenant, a menos que esteja a usar discos geridos Encrypt com chaves geridas pelo cliente entre inquilinos.
Controlo total das suas chaves
Deve conceder acesso a discos geridos no seu Key Vault ou HSM gerido para usar as suas chaves para encriptar e desencriptar o DEK. Isto permite-lhe o controlo total dos seus dados e chaves. Você pode desativar suas chaves ou revogar o acesso a discos gerenciados a qualquer momento. Também pode auditar a utilização de chaves de encriptação com monitorização do Azure Key Vault para garantir que apenas discos geridos ou outros serviços Azure de confiança estão a aceder às suas chaves.
Importante
Quando uma chave é desativada, excluída ou expirada, todas as VMs com SO ou discos de dados que usam essa chave serão automaticamente desligadas. Após o desligamento automatizado, as VMs não inicializarão até que a chave seja habilitada novamente ou você atribua uma nova chave.
Geralmente, a E/S de disco (operações de leitura ou gravação) começa a falhar uma hora depois que uma chave é desabilitada, excluída ou expirada.
O diagrama seguinte mostra como os discos geridos utilizam o Microsoft Entra ID e o Azure Key Vault para fazer pedidos usando a chave gerida pelo cliente:
A lista a seguir explica o diagrama com mais detalhes:
- Um administrador do Azure Key Vault cria os recursos do Key Vault.
- O administrador do Key Vault importa as suas chaves RSA para o Key Vault ou gera novas chaves RSA no Key Vault.
- Esse administrador cria uma instância do recurso Disk Encryption Set, especificando um ID do Azure Key Vault e um URL de chave. O Conjunto de Criptografia de Disco é um novo recurso introduzido para simplificar o gerenciamento de chaves para discos gerenciados.
- Quando um conjunto de encriptação de disco é criado, uma identidade gerida atribuída pelo sistema é criada no Microsoft Entra ID e associada ao conjunto de encriptação do disco.
- O administrador do cofre de chaves do Azure concede então permissão à identidade gerida para realizar operações no cofre de chaves.
- Um usuário de VM cria discos associando-os ao conjunto de criptografia de disco. O usuário da VM também pode habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para recursos existentes, associando-as ao conjunto de criptografia de disco.
- Os discos geridos utilizam a identidade gerida para enviar pedidos ao Azure Key Vault.
- Para ler ou escrever dados, os discos geridos enviam pedidos para o Azure Key Vault para encriptar (envolver) e desencriptar (desvendar) a chave de encriptação dos dados, de modo a realizar a encriptação e desencriptação dos dados.
Para revogar o acesso a chaves geridas pelo cliente, veja Azure Key Vault PowerShell e Azure Key Vault CLI. Revogar o acesso bloqueia efetivamente o acesso a todos os dados na conta de armazenamento, pois a chave de encriptação é inacessível pelo Armazenamento do Azure.
Rotação automática de chaves gerenciadas pelo cliente
Geralmente, se você estiver usando chaves gerenciadas pelo cliente, deverá habilitar a rotação automática de chaves para a versão de chave mais recente. A rotação automática de chaves ajuda a garantir que as suas chaves estão seguras. Um disco faz referência a uma chave através do seu conjunto de encriptação de disco. Quando você habilita a rotação automática para um conjunto de criptografia de disco, o sistema atualiza automaticamente todos os discos gerenciados, instantâneos e imagens que fazem referência ao conjunto de criptografia de disco para usar a nova versão da chave dentro de uma hora. Para aprender como habilitar chaves geridas pelo cliente com rotação automática de chaves, veja configurar um Azure Key Vault e DiskEncryptionSet com rotação automática de chaves.
Nota
Máquinas Virtuais não são reiniciadas durante a rotação automática das teclas.
Se não conseguir ativar a rotação automática de chaves, pode utilizar outros métodos para alertá-lo antes de as chaves expirarem. Dessa forma, você pode se certificar de girar suas chaves antes da expiração e manter a continuidade dos negócios. Podes usar um Azure Policy ou Azure Event Grid para enviar uma notificação quando uma chave expirar em breve.
Restrições
Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:
- Se esse recurso estiver habilitado para um disco com snapshots incrementais, ele não poderá ser desabilitado nesse disco ou em seus snapshots. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não esteja usando chaves gerenciadas pelo cliente. Podes fazer isso tanto com o módulo CLI do Azure como com o módulo Azure PowerShell.
- Um disco e todos os snapshots incrementais associados devem ter o mesmo conjunto de criptografia de disco.
- Apenas software e chaves HSM RSA com tamanhos de 2.048 bits, 3.072 bits e 4.096 bits são suportados, não sendo suportados quaisquer outros tamanhos ou chaves.
- As chaves HSM requerem o nível Premium dos cofres de Chaves do Azure.
- Apenas para discos Ultra e SSD Premium v2:
- (Pré-visualização) As identidades gerenciadas atribuídas pelo usuário estão disponíveis para discos Ultra e SSD Premium v2 criptografados com chaves gerenciadas pelo cliente.
- A maioria dos recursos relacionados às chaves geridas pelo cliente (conjuntos de encriptação de disco, VMs, discos e instantâneos) devem estar na mesma subscrição e região.
- Os Azure Key Vaults podem ser usados a partir de uma subscrição diferente, mas devem estar na mesma região do seu conjunto de encriptação de disco. Os Azure Key Vaults em diferentes entidades Microsoft Entra são suportados para discos geridos. Para mais detalhes, consulte Encriptar discos geridos com chaves geridas pelo cliente em inquilinos diferentes.
- Os discos criptografados com chaves gerenciadas pelo cliente só podem ser movidos para outro grupo de recursos se a VM à qual estão conectados estiver deslocalizada.
- Discos, instantâneos e imagens criptografados com chaves gerenciadas pelo cliente não podem ser movidos entre assinaturas.
- Discos geridos atualmente ou anteriormente encriptados usando Azure Disk Encryption não podem ser encriptados usando chaves geridas pelo cliente.
- Só pode criar até 5000 conjuntos de criptografia de disco por região e por assinatura.
- Para obter informações sobre como usar chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, consulte Visualização: usar chaves gerenciadas pelo cliente para criptografar imagens.
Regiões suportadas
As chaves gerenciadas pelo cliente estão disponíveis em todas as regiões em que os discos gerenciados estão disponíveis.
Importante
As chaves geridas pelo cliente dependem de identidades geridas para recursos do Azure, uma funcionalidade do Microsoft Entra ID. Quando se configuram chaves geridas pelo cliente, é automaticamente atribuída uma identidade gerida aos seus recursos nos bastidores. Se posteriormente mover a subscrição, grupo de recursos ou disco gerido de um diretório Microsoft Entra para outro, a identidade gerida associada aos discos geridos não é transferida para o novo inquilino, pelo que as chaves geridas pelo cliente podem deixar de funcionar. Para mais informações, consulte Transferir uma subscrição entre Microsoft Entra diretórios.
Para permitir chaves geridas pelo cliente para discos geridos, consulte os nossos artigos sobre como o ativar com o módulo Azure PowerShell, o CLI do Azure ou o portal Azure.
Consulte Criar um disco gerenciado a partir de um snapshot com a CLI para obter um exemplo de código.
Criptografia no host - Criptografia de ponta a ponta para seus dados de VM
Quando ativas a encriptação no host, essa encriptação começa no próprio host da VM, o servidor Azure ao qual a tua VM está alocada. Os dados do disco temporário e dos caches de disco de SO/dados são armazenados nesse host de VM. Depois de habilitar a criptografia no host, todos esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento, onde persistem. Essencialmente, a criptografia no host criptografa seus dados de ponta a ponta. A criptografia no host não usa a CPU da VM e não afeta o desempenho da VM.
Discos temporários e discos efêmeros do sistema operacional são criptografados em repouso com chaves gerenciadas pela plataforma quando você habilita a criptografia de ponta a ponta. Os caches do sistema operacional e do disco de dados são criptografados em repouso com chaves gerenciadas pelo cliente ou pela plataforma, dependendo do tipo de criptografia de disco selecionado. Por exemplo, se um disco for criptografado com chaves gerenciadas pelo cliente, o cache do disco será criptografado com chaves gerenciadas pelo cliente e, se um disco for criptografado com chaves gerenciadas pela plataforma, o cache do disco será criptografado com chaves gerenciadas pela plataforma.
Restrições
- Não pode ser ativado em máquinas virtuais (VMs) ou conjuntos de escalas de máquinas virtuais que atualmente ou alguma vez tiveram o Azure Disk Encryption ativado.
- O Azure Disk Encryption não pode ser ativado em discos que tenham a encriptação no host ativada.
- A criptografia pode ser habilitada em conjuntos de escala de máquina virtual existentes. No entanto, apenas as novas VMs criadas após a ativação da criptografia são automaticamente criptografadas.
- As VMs existentes devem ser desalocadas e realocadas para serem criptografadas.
As seguintes restrições aplicam-se apenas aos Ultra Disks e Premium SSD v2:
- Os discos que usam um tamanho de setor 512e precisam ter sido criados após 13/05/2023.
- Se o disco tiver sido criado antes dessa data, crie um snapshot do disco e crie um novo disco usando o snapshot.
Tamanhos de VM suportados
A lista completa de tamanhos de VM suportados pode ser extraída programaticamente. Para aprender a recuperá-los programaticamente, consulte a secção de encontrar tamanhos de VM suportados nos artigos do módulo Azure PowerShell ou CLI do Azure.
Para permitir encriptação de ponta a ponta usando encriptação no host, consulte os nossos artigos que explicam como a ativar com o módulo Azure PowerShell, o CLI do Azure, ou o portal Azure.
Encriptação dupla em repouso
Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave sendo comprometida agora podem optar por uma camada extra de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Essa nova camada pode ser aplicada a sistemas operacionais persistentes e discos de dados, instantâneos e imagens, todos os quais serão criptografados em repouso com criptografia dupla.
Restrições
A criptografia dupla em repouso não é suportada atualmente com discos Ultra ou SSD Premium v2.
Para habilitar a criptografia dupla em repouso para discos gerenciados, consulte Habilitar criptografia dupla em repouso para discos gerenciados.
Encriptação no host versus encriptação de disco do Azure
Azure Disk Encryption aproveita ou a funcionalidade DM-Crypt do Linux ou a funcionalidade BitLocker da Windows para encriptar discos geridos com chaves geridas pelo cliente dentro da VM convidada. A criptografia do lado do servidor com criptografia no host melhora o ADE. Com a criptografia no host, os dados do disco temporário e dos caches de disco do sistema operacional/dados são armazenados nesse host VM. Depois de habilitar a criptografia no host, todos esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento, onde persistem. Essencialmente, a criptografia no host criptografa seus dados de ponta a ponta. A criptografia no host não usa a CPU da VM e não afeta o desempenho da VM.
Importante
As chaves geridas pelo cliente dependem de identidades geridas para recursos do Azure, uma funcionalidade do Microsoft Entra ID. Quando se configuram chaves geridas pelo cliente, é automaticamente atribuída uma identidade gerida aos seus recursos nos bastidores. Se posteriormente mover a subscrição, grupo de recursos ou disco gerido de um diretório Microsoft Entra para outro, a identidade gerida associada aos discos geridos não é transferida para o novo inquilino, pelo que as chaves geridas pelo cliente podem deixar de funcionar. Para mais informações, consulte Transferir uma subscrição entre Microsoft Entra diretórios.
Próximos passos
- Ative a encriptação de ponta a ponta usando encriptação no host com o módulo Azure PowerShell, o CLI do Azure, ou o portal Azure.
- Para habilitar a criptografia dupla em repouso para discos gerenciados, consulte Habilitar criptografia dupla em repouso para discos gerenciados.
- Permitir chaves geridas pelo cliente para discos geridos com o módulo Azure PowerShell, o CLI do Azure ou o portal Azure.
- Migrar de Azure Disk Encryption para encriptação do lado do servidor
- Explore os modelos de Azure Resource Manager para criar discos encriptados com chaves geridas pelo cliente
- O que é Azure Key Vault?