Este artigo fornece respostas para perguntas frequentes sobre o Azure Disk Encryption para máquinas virtuais (VMs) Linux. Para obter mais informações sobre esse serviço, consulte Visão geral do Azure Disk Encryption.
O que é o Azure Disk Encryption para VMs Linux?
O Azure Disk Encryption para VMs Linux usa o recurso dm-crypt do Linux para fornecer criptografia de disco completo do disco do sistema operacional* e discos de dados. Além disso, ele fornece criptografia do disco temporário ao usar o recurso EncryptFormatAll. O conteúdo flui criptografado da VM para o back-end de armazenamento. Assim, fornecendo criptografia de ponta a ponta com uma chave gerenciada pelo cliente.
Consulte VMs e sistemas operacionais suportados.
Onde está o Azure Disk Encryption em disponibilidade geral (GA)?
O Azure Disk Encryption para VMs Linux está em disponibilidade geral em todas as regiões públicas do Azure.
Que experiências de utilizador estão disponíveis com o Azure Disk Encryption?
O Azure Disk Encryption GA suporta modelos do Azure Resource Manager, Azure PowerShell e CLI do Azure. As diferentes experiências de utilizador dão-lhe flexibilidade. Você tem três opções diferentes para habilitar a criptografia de disco para suas VMs. Para obter mais informações sobre a experiência do usuário e orientações passo a passo disponíveis no Azure Disk Encryption, consulte Cenários de criptografia de disco do Azure para Linux.
Quanto custa o Azure Disk Encryption?
Não há cobrança para criptografar discos de VM com a Criptografia de Disco do Azure, mas há cobranças associadas ao uso do Cofre da Chave do Azure. Para obter mais informações sobre os custos do Azure Key Vault, consulte a página de preços do Key Vault.
Como posso começar a usar o Azure Disk Encryption?
Para começar, leia a visão geral do Azure Disk Encryption.
Que tamanhos de VM e sistemas operativos suportam a Encriptação de Disco do Azure?
O artigo de visão geral da Criptografia de Disco do Azure lista os tamanhos de VM e os sistemas operacionais de VM que oferecem suporte à Criptografia de Disco do Azure.
Posso criptografar volumes de inicialização e de dados com o Azure Disk Encryption?
Sim, você pode criptografar os volumes de inicialização e de dados, ou pode criptografar o volume de dados sem ter que criptografar o volume do sistema operacional primeiro.
Depois de encriptar o volume do SO, não há suporte para desativar a encriptação no volume do SO. Para VMs Linux em um conjunto de escala, somente o volume de dados pode ser criptografado.
Posso criptografar um volume desmontado com a Criptografia de Disco do Azure?
Não, o Azure Disk Encryption apenas encripta volumes montados.
O que é a criptografia do lado do servidor de armazenamento?
A criptografia do lado do servidor de armazenamento criptografa os discos gerenciados do Azure no Armazenamento do Azure. Os discos gerenciados são criptografados por padrão com criptografia do lado do servidor com uma chave gerenciada pela plataforma (a partir de 10 de junho de 2017). Você pode gerenciar a criptografia de discos gerenciados com suas próprias chaves especificando uma chave gerenciada pelo cliente. Para obter mais informações, consulte: Criptografia do lado do servidor de discos gerenciados do Azure.
Qual é a diferença entre o Azure Disk Encryption e o Storage server-side encryption com chave gerenciada pelo cliente e quando devo usar cada solução?
O Azure Disk Encryption fornece criptografia de ponta a ponta para o disco do sistema operacional, discos de dados e o disco temporário, usando uma chave gerenciada pelo cliente.
- Se seus requisitos incluírem criptografar todos os itens acima e criptografia de ponta a ponta, use a Criptografia de Disco do Azure.
- Se seus requisitos incluírem criptografar apenas dados em repouso com chave gerenciada pelo cliente, use a criptografia do lado do servidor com chaves gerenciadas pelo cliente. Não é possível criptografar um disco com a criptografia do lado do servidor do Azure Disk Encryption e do Storage com chaves gerenciadas pelo cliente.
- Se sua distro Linux não estiver listada em sistemas operacionais suportados para a Criptografia de Disco do Azure ou se você estiver usando um cenário destacado nas restrições, considere a criptografia do lado do servidor com chaves gerenciadas pelo cliente.
- Se a política da sua organização permitir que você criptografe o conteúdo em repouso com uma chave gerenciada pelo Azure, nenhuma ação será necessária - o conteúdo é criptografado por padrão. Para discos gerenciados, o conteúdo dentro do armazenamento é criptografado por padrão com criptografia do lado do servidor com chave gerenciada pela plataforma. A chave é gerenciada pelo serviço de Armazenamento do Azure.
Como faço para girar segredos ou chaves de criptografia?
Para girar segredos, basta chamar o mesmo comando que você usou originalmente para habilitar a criptografia de disco, especificando um Cofre de Chaves diferente. Para girar a chave de criptografia de chave, chame o mesmo comando usado originalmente para habilitar a criptografia de disco, especificando a nova criptografia de chave.
Aviso
- Se você já usou o Azure Disk Encryption com o aplicativo Microsoft Entra especificando as credenciais do Microsoft Entra para criptografar essa VM, você terá que continuar usando essa opção para criptografar sua VM. Você não pode usar a Criptografia de Disco do Azure nesta VM criptografada, pois esse não é um cenário com suporte, o que significa que a mudança do aplicativo Microsoft Entra para essa VM criptografada ainda não é suportada.
Como posso adicionar ou remover uma chave de encriptação de chave se não a utilizei originalmente?
Para adicionar uma chave de criptografia de chave, chame o comando enable novamente passando o parâmetro de chave de criptografia de chave. Para remover uma chave de criptografia de chave, chame o comando enable novamente sem o parâmetro de chave de criptografia de chave.
O Azure Disk Encryption permite que você traga sua própria chave (BYOK)?
Sim, você pode fornecer suas próprias chaves de criptografia de chave. Essas chaves são protegidas no Cofre de Chaves do Azure, que é o armazenamento de chaves para a Criptografia de Disco do Azure. Para obter mais informações sobre os cenários de suporte de chaves de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Posso usar uma chave de criptografia de chave criada pelo Azure?
Sim, você pode usar o Azure Key Vault para gerar uma chave de criptografia de chave para uso da criptografia de disco do Azure. Essas chaves são protegidas no Cofre de Chaves do Azure, que é o armazenamento de chaves para a Criptografia de Disco do Azure. Para obter mais informações sobre a chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Posso usar um serviço de gerenciamento de chaves local ou HSM para proteger as chaves de criptografia?
Você não pode usar o serviço de gerenciamento de chaves local ou o HSM para proteger as chaves de criptografia com a Criptografia de Disco do Azure. Você só pode usar o serviço Cofre de Chaves do Azure para proteger as chaves de criptografia. Para obter mais informações sobre os cenários de suporte à chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Quais são os pré-requisitos para configurar a Criptografia de Disco do Azure?
Há pré-requisitos para o Azure Disk Encryption. Consulte o artigo Criando e configurando um cofre de chaves para o Azure Disk Encryption para criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso à criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre os cenários de suporte à chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Quais são os pré-requisitos para configurar o Azure Disk Encryption com um aplicativo Microsoft Entra (versão anterior)?
Há pré-requisitos para o Azure Disk Encryption. Consulte o conteúdo da Criptografia de Disco do Azure com ID do Microsoft Entra para criar um aplicativo Microsoft Entra, criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso à criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre os cenários de suporte à chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure com a ID do Microsoft Entra.
O Azure Disk Encryption usando um aplicativo Microsoft Entra (versão anterior) ainda é suportado?
Sim. A criptografia de disco usando um aplicativo Microsoft Entra ainda é suportada. No entanto, ao criptografar novas VMs, é recomendável usar o novo método em vez de criptografar com um aplicativo Microsoft Entra.
Posso migrar VMs que foram criptografadas com um aplicativo Microsoft Entra para criptografia sem um aplicativo Microsoft Entra?
Atualmente, não há um caminho de migração direta para máquinas que foram criptografadas com um aplicativo Microsoft Entra para criptografia sem um aplicativo Microsoft Entra. Além disso, não há um caminho direto da criptografia sem um aplicativo Microsoft Entra para a criptografia com um aplicativo AD.
Que versão do Azure PowerShell é suportada pelo Azure Disk Encryption?
Use a versão mais recente do SDK do Azure PowerShell para configurar a Criptografia de Disco do Azure. Baixe a versão mais recente do Azure PowerShell. O Azure Disk Encryption não é suportado pelo SDK do Azure versão 1.1.0.
Nota
A extensão de visualização de criptografia de disco do Linux Azure "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" foi preterida. Esta extensão foi publicada para a versão de pré-visualização da encriptação de disco do Azure. Você não deve usar a versão de visualização da extensão em sua implantação de teste ou produção.
Para cenários de implantação como o Azure Resource Manager (ARM), em que você precisa implantar a extensão de criptografia de disco do Azure para VM Linux para habilitar a criptografia em sua VM IaaS Linux, você deve usar a extensão de produção de criptografia de disco do Azure "Microsoft.Azure.Security.AzureDiskEncryptionForLinux".
Posso aplicar a Criptografia de Disco do Azure na minha imagem Linux personalizada?
Não é possível aplicar a Criptografia de Disco do Azure em sua imagem personalizada do Linux. Apenas as imagens Linux da galeria para as distribuições suportadas chamadas anteriormente são suportadas. Imagens personalizadas do Linux não são suportadas no momento.
Posso aplicar atualizações a uma VM Linux Red Hat que usa a atualização yum?
Sim, você pode executar uma atualização yum em uma VM Red Hat Linux. Para obter mais informações, consulte Azure Disk Encryption em uma rede isolada.
Qual é o fluxo de trabalho de criptografia de disco do Azure recomendado para Linux?
O fluxo de trabalho a seguir é recomendado para ter os melhores resultados no Linux:
- Comece a partir da imagem da galeria de stock não modificada correspondente à distribuição e versão do SO necessárias
- Faça backup de todas as unidades montadas que serão criptografadas. Esse backup permite a recuperação se houver uma falha, por exemplo, se a VM for reinicializada antes que a criptografia seja concluída.
- Criptografar (pode levar várias horas ou até dias, dependendo das características da VM e do tamanho de qualquer disco de dados anexado)
- Personalize e adicione software à imagem conforme necessário.
Se esse fluxo de trabalho não for possível, confiar na criptografia do serviço de armazenamento (SSE) na camada de conta de armazenamento da plataforma pode ser uma alternativa à criptografia total do disco usando dm-crypt.
O que é o disco "Bek Volume" ou "/mnt/azure_bek_disk"?
O "volume Bek" é um volume de dados local que armazena com segurança as chaves de criptografia para VMs criptografadas do Azure.
Nota
Não apague nem edite qualquer conteúdo deste disco. Não desmonte o disco, pois a presença da chave de criptografia é necessária para quaisquer operações de criptografia na VM IaaS.
Qual método de criptografia o Azure Disk Encryption usa?
O Azure Disk Encryption usa o padrão de descriptografia de aes-xts-plain64 com uma chave mestra de volume de 256 bits.
Se eu usar EncryptFormatAll e especificar todos os tipos de volume, ele apagará os dados nas unidades de dados que já criptografamos?
Não, os dados não serão apagados das unidades de dados que já estão criptografadas usando a Criptografia de Disco do Azure. Semelhante a como EncryptFormatAll não criptografou novamente a unidade do sistema operacional, ele não criptografará novamente a unidade de dados já criptografada. Para obter mais informações, consulte os critérios EncryptFormatAll.
O sistema de arquivos XFS é suportado?
A criptografia de discos do sistema operacional XFS é suportada.
A criptografia de discos de dados XFS é suportada somente quando o parâmetro EncryptFormatAll é usado. Isso irá reformatar o volume, apagando todos os dados anteriormente lá. Para obter mais informações, consulte os critérios EncryptFormatAll.
O redimensionamento da partição do SO é suportado?
O redimensionamento de um disco do sistema operacional criptografado ADE não é suportado no momento.
Posso fazer backup e restaurar uma VM criptografada?
O Backup do Azure fornece um mecanismo para fazer backup e restaurar VMs criptografadas dentro da mesma assinatura e região. Para obter instruções, consulte Fazer backup e restaurar máquinas virtuais criptografadas com o Backup do Azure. Atualmente, não há suporte para a restauração de uma VM criptografada para uma região diferente.
Onde posso fazer perguntas ou dar feedback?
Você pode fazer perguntas ou fornecer comentários na página de perguntas e respostas da Microsoft para o Azure Disk Encryption.
Próximos passos
Neste documento, você aprendeu mais sobre as perguntas mais frequentes relacionadas ao Azure Disk Encryption. Para obter mais informações sobre este serviço, consulte os seguintes artigos: