Utilizar o portal do Azure para ativar a encriptação ponto a ponto com a encriptação no anfitrião

  • Artigo

Aplica-se a: ✔️ VMs Linux VMs ✔️ Windows

Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e fluem criptografados para o serviço de armazenamento. Para obter informações conceituais sobre criptografia no host e outros tipos de criptografia de disco gerenciado, consulte: Criptografia no host - Criptografia de ponta a ponta para seus dados de VM.

Discos temporários e discos efêmeros do sistema operacional são criptografados em repouso com chaves gerenciadas pela plataforma quando você habilita a criptografia de ponta a ponta. Os caches do sistema operacional e do disco de dados são criptografados em repouso com chaves gerenciadas pelo cliente ou pela plataforma, dependendo do que você selecionar como o tipo de criptografia de disco. Por exemplo, se um disco for criptografado com chaves gerenciadas pelo cliente, o cache do disco será criptografado com chaves gerenciadas pelo cliente e, se um disco for criptografado com chaves gerenciadas pela plataforma, o cache do disco será criptografado com chaves gerenciadas pela plataforma.

Restrições

  • Compatível com Ultra Disks de tamanho de sector 4k e SSD Premium v2.
  • Suportado apenas em Ultra Disks de tamanho de setor 512e e SSD Premium v2 se tiverem sido criados após 13/05/2023.
  • Não pode ser habilitado em máquinas virtuais (VMs) ou conjuntos de dimensionamento de máquinas virtuais que atualmente ou já tiveram a Criptografia de Disco do Azure habilitada.
  • A Criptografia de Disco do Azure não pode ser habilitada em discos com criptografia no host habilitada.
  • A criptografia pode ser habilitada em conjuntos de escala de máquina virtual existentes. No entanto, apenas as novas VMs criadas após a ativação da criptografia são automaticamente criptografadas.
  • As VMs existentes devem ser desalocadas e realocadas para serem criptografadas.

Disponibilidade regional

A criptografia no host está disponível em todas as regiões para todos os tipos de disco.

Tamanhos de VM suportados

Não há suporte para tamanhos de VM herdados. Você pode encontrar a lista de tamanhos de VM suportados usando o módulo do Azure PowerShell ou a CLI do Azure.

Pré-requisitos

Você deve habilitar o recurso para sua assinatura antes de poder usar a criptografia no host para sua VM ou Conjunto de Dimensionamento de Máquina Virtual. Use as seguintes etapas para habilitar o recurso para sua assinatura:

  1. Portal do Azure: selecione o ícone do Cloud Shell no portal do Azure:

    Captura de ecrã do ícone para iniciar o Cloud Shell a partir do portal do Azure.

  2. Execute o seguinte comando para registrar o recurso para sua assinatura

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Confirme se o estado de registro é Registrado (o registro pode levar alguns minutos) usando o seguinte comando antes de experimentar o recurso.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Implantar uma VM com chaves gerenciadas pela plataforma

  1. Inicie sessão no portal do Azure.

  2. Procure máquinas virtuais e selecione + Criar para criar uma VM.

  3. Selecione uma região apropriada e um tamanho de VM suportado.

  4. Preencha os outros valores no painel Básico como desejar e prossiga para o painel Discos .

    A captura de tela do painel básico de criação de máquina virtual, região e tamanho da VM é realçada.

  5. No painel Discos, selecione Criptografia no host.

  6. Faça as seleções restantes como quiser.

    Captura de tela do painel de discos de criação de máquina virtual, criptografia no host realçada.

  7. Para o restante do processo de implantação da VM, faça seleções que se ajustem ao seu ambiente e conclua a implantação.

Agora você implantou uma VM com a criptografia no host habilitada e o cache do disco é criptografado usando chaves gerenciadas pela plataforma.

Implantar uma VM com chaves gerenciadas pelo cliente

Como alternativa, você pode usar chaves gerenciadas pelo cliente para criptografar seus caches de disco.

Criar um Cofre de Chaves do Azure e um conjunto de criptografia de disco

Depois que o recurso estiver habilitado, você precisará configurar um Cofre de Chaves do Azure e um conjunto de criptografia de disco, se ainda não o tiver feito.

Configurar chaves gerenciadas pelo cliente para seus discos exige que você crie recursos em uma ordem específica, se estiver fazendo isso pela primeira vez. Primeiro, você precisará criar e configurar um Cofre de Chaves do Azure.

Configurar o Azure Key Vault

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Cofres de chaves.

    Captura de ecrã do portal do Azure com a caixa de diálogo de pesquisa expandida.

    Importante

    Seu conjunto de criptografia de disco, VM, discos e instantâneos devem estar na mesma região e assinatura para que a implantação seja bem-sucedida. Os Cofres de Chaves do Azure podem ser usados a partir de uma assinatura diferente, mas devem estar na mesma região e locatário que seu conjunto de criptografia de disco.

  3. Selecione +Criar para criar um novo Cofre de Chaves.

  4. Criar um novo grupo de recursos.

  5. Insira um nome de cofre de chaves, selecione uma região e selecione uma camada de preço.

    Nota

    Ao criar a instância do Cofre da Chave, você deve habilitar a proteção contra exclusão suave e limpeza. A exclusão suave garante que o Cofre da Chave mantenha uma chave excluída por um determinado período de retenção (padrão de 90 dias). A proteção contra limpeza garante que uma chave excluída não possa ser excluída permanentemente até que o período de retenção expire. Estas definições protegem-no contra a perda de dados devido à eliminação acidental. Essas configurações são obrigatórias ao usar um Cofre de Chaves para criptografar discos gerenciados.

  6. Selecione Rever + Criar, verifique as suas escolhas e, em seguida, selecione Criar.

    Captura de ecrã da experiência de criação do Azure Key Vault, mostrando os valores específicos que cria.

  7. Quando a implantação do cofre de chaves terminar, selecione-o.

  8. Selecione Chaves em Objetos.

  9. Selecione Gerar/Importar.

    A captura de tela do painel de configurações de recursos do Cofre da Chave mostra o botão gerar/importar dentro das configurações.

  10. Deixe o Tipo de Chave definido como RSA e o Tamanho da Chave RSA definido como 2048.

  11. Preencha as seleções restantes como quiser e selecione Criar.

    Captura de ecrã do painel de teclas Criar uma chave que aparece quando o botão Gerar/Importar é selecionado.

Adicionar uma função RBAC do Azure

Agora que você criou o cofre de chaves do Azure e uma chave, você deve adicionar uma função RBAC do Azure para poder usar seu cofre de chaves do Azure com seu conjunto de criptografia de disco.

  1. Selecione Controle de acesso (IAM) e adicione uma função.
  2. Adicione as funções de Administrador, Proprietário ou Colaborador do Cofre da Chave.

Configurar o conjunto de encriptação de disco

  1. Procure por Conjuntos de Criptografia de Disco e selecione-o.

  2. No painel Conjuntos de Criptografia de Disco , selecione +Criar.

  3. Selecione seu grupo de recursos, nomeie seu conjunto de criptografia e selecione a mesma região do cofre de chaves.

  4. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

    Nota

    Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se pretender utilizar um tipo de encriptação diferente, tem de criar um novo conjunto de encriptação de disco.

  5. Certifique-se de que Selecionar cofre de chaves do Azure e chave está selecionado.

  6. Selecione o cofre de chaves e a chave que você criou anteriormente e a versão.

  7. Se quiser ativar a rotação automática de chaves gerenciadas pelo cliente, selecione Rotação automática de chaves.

  8. Selecione Rever + Criar e, em seguida, clique em Criar.

    Captura de ecrã do painel de criação de encriptação de disco. Mostrando a assinatura, o grupo de recursos, o nome do conjunto de criptografia de disco, a região e o cofre de chaves + seletor de chaves.

  9. Navegue até o conjunto de criptografia de disco depois de implantado e selecione o alerta exibido.

    Captura de ecrã do utilizador a selecionar o alerta 'Para associar um disco, imagem ou instantâneo a este conjunto de encriptação de disco, tem de conceder permissões ao cofre de chaves'.

  10. Isso concederá permissões ao cofre de chaves para o conjunto de criptografia de disco.

    Captura de ecrã com a confirmação de que as permissões foram concedidas.

Implementar uma VM

Agora que você configurou um Azure Key Vault e um conjunto de criptografia de disco, você pode implantar uma VM e ela usa criptografia no host.

  1. Inicie sessão no portal do Azure.

  2. Procure Máquinas Virtuais e selecione + Adicionar para criar uma VM.

  3. Crie uma nova máquina virtual, selecione uma região apropriada e um tamanho de VM suportado.

  4. Preencha os outros valores no painel Básico como desejar e prossiga para o painel Discos .

    A captura de tela do painel básico de criação de máquina virtual, região e tamanho da VM é realçada.

  5. No painel Discos, selecione Criptografia no host.

  6. Selecione Gerenciamento de chaves e selecione uma das chaves gerenciadas pelo cliente.

  7. Faça as seleções restantes como quiser.

    Captura de tela do painel de discos de criação de máquina virtual, a criptografia no host é realçada, as chaves gerenciadas pelo cliente são selecionadas.

  8. Para o restante do processo de implantação da VM, faça seleções que se ajustem ao seu ambiente e conclua a implantação.

Agora você implantou uma VM com criptografia no host habilitada usando chaves gerenciadas pelo cliente.

Desativar criptografia baseada em host

Desaloque sua VM primeiro, a criptografia no host não pode ser desabilitada, a menos que sua VM seja deslocalizada.

  1. Na sua VM, selecione Discos e, em seguida, selecione Configurações adicionais.

    Captura de tela do painel Discos em uma VM, Configurações Adicionais é realçada.

  2. Selecione Não para Criptografia no host e, em seguida, selecione Salvar.

Próximos passos

Exemplos de modelo do Azure Resource Manager