Este artigo fornece respostas para perguntas frequentes sobre o Azure Disk Encryption para VMs do Windows. Para obter mais informações sobre esse serviço, consulte Visão geral do Azure Disk Encryption.
O que é o Azure Disk Encryption para VMs do Windows?
O Azure Disk Encryption para VMs do Windows usa o recurso BitLocker do Windows para fornecer criptografia de disco total do disco do sistema operacional e discos de dados. Além disso, ele fornece criptografia do disco temporário quando o parâmetro VolumeType é All. O conteúdo flui criptografado da VM para o back-end de armazenamento. Assim, fornecendo criptografia de ponta a ponta com uma chave gerenciada pelo cliente.
Consulte VMs e sistemas operacionais suportados.
Onde está o Azure Disk Encryption em disponibilidade geral (GA)?
O Azure Disk Encryption está em disponibilidade geral em todas as regiões públicas do Azure.
Que experiências de utilizador estão disponíveis com o Azure Disk Encryption?
O Azure Disk Encryption GA suporta modelos do Azure Resource Manager, Azure PowerShell e CLI do Azure. As diferentes experiências de utilizador dão-lhe flexibilidade. Você tem três opções diferentes para habilitar a criptografia de disco para suas VMs. Para obter mais informações sobre a experiência do usuário e orientações passo a passo disponíveis no Azure Disk Encryption, consulte Cenários de criptografia de disco do Azure para Windows.
Quanto custa o Azure Disk Encryption?
Não há cobrança para criptografar discos de VM com a Criptografia de Disco do Azure, mas há cobranças associadas ao uso do Cofre da Chave do Azure. Para obter mais informações sobre os custos do Azure Key Vault, consulte a página de preços do Key Vault.
Como posso começar a usar o Azure Disk Encryption?
Para começar, leia a visão geral do Azure Disk Encryption.
Que tamanhos de VM e sistemas operativos suportam a Encriptação de Disco do Azure?
O artigo de visão geral da Criptografia de Disco do Azure lista os tamanhos de VM e os sistemas operacionais de VM que oferecem suporte à Criptografia de Disco do Azure.
Posso criptografar volumes de inicialização e de dados com o Azure Disk Encryption?
Você pode criptografar os volumes de inicialização e de dados, mas não pode criptografar os dados sem primeiro criptografar o volume do sistema operacional.
Posso criptografar um volume desmontado com a Criptografia de Disco do Azure?
Não, o Azure Disk Encryption apenas encripta volumes montados.
O que é a criptografia do lado do servidor de armazenamento?
A criptografia do lado do servidor de armazenamento criptografa os discos gerenciados do Azure no Armazenamento do Azure. Os discos gerenciados são criptografados por padrão com criptografia do lado do servidor com uma chave gerenciada pela plataforma (a partir de 10 de junho de 2017). Você pode gerenciar a criptografia de discos gerenciados com suas próprias chaves especificando uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criptografia do lado do servidor de discos gerenciados do Azure.
Qual é a diferença entre o Azure Disk Encryption e o Storage server-side encryption com chave gerenciada pelo cliente e quando devo usar cada solução?
O Azure Disk Encryption fornece criptografia de ponta a ponta para o disco do sistema operacional, discos de dados e o disco temporário com uma chave gerenciada pelo cliente.
- Se seus requisitos incluírem criptografar todos os itens acima e criptografia de ponta a ponta, use a Criptografia de Disco do Azure.
- Se seus requisitos incluírem criptografar apenas dados em repouso com chave gerenciada pelo cliente, use a criptografia do lado do servidor com chaves gerenciadas pelo cliente. Não é possível criptografar um disco com a Criptografia de Disco do Azure e a criptografia do lado do servidor do Armazenamento com chaves gerenciadas pelo cliente.
- Se você estiver usando um cenário destacado em Restrições, considere a criptografia do lado do servidor com chaves gerenciadas pelo cliente.
- Se a política da sua organização permitir que você criptografe o conteúdo em repouso com uma chave gerenciada pelo Azure, nenhuma ação será necessária - o conteúdo é criptografado por padrão. Para discos gerenciados, o conteúdo dentro do armazenamento é criptografado por padrão com criptografia do lado do servidor com chave gerenciada pela plataforma. A chave é gerenciada pelo serviço de Armazenamento do Azure.
Como faço para girar segredos ou chaves de criptografia?
Para girar segredos, basta chamar o mesmo comando que você usou originalmente para habilitar a criptografia de disco, especificando um Cofre de Chaves diferente. Para girar a chave de criptografia de chave, chame o mesmo comando usado originalmente para habilitar a criptografia de disco, especificando a nova criptografia de chave.
Aviso
- Se você já usou o Azure Disk Encryption com o aplicativo Microsoft Entra especificando as credenciais do Microsoft Entra para criptografar essa VM, você deve continuar a usar essa opção. Usar a Criptografia de Disco do Azure sem a ID do Microsoft Entra em uma VM que foi criptografada usando a Criptografia de Disco do Azure com a ID do Microsoft Entra ainda não é um cenário com suporte.
Como posso adicionar ou remover uma chave de encriptação de chave (KEK) se não a utilizei originalmente?
Para adicionar uma chave de criptografia de chave, chame o comando enable novamente passando o parâmetro de chave de criptografia de chave. Para remover uma chave de criptografia de chave, chame o comando enable novamente sem o parâmetro de chave de criptografia de chave.
Que tamanho devo usar para a minha chave de encriptação de chave (KEK)?
O Windows Server 2022 e o Windows 11 incluem uma versão mais recente do BitLocker e atualmente não funcionam com chaves de criptografia de chave RSA de 2048 bits. Até à sua resolução, utilize chaves RSA 3072 ou RSA de 4096 bits, conforme descrito em Sistemas operativos suportados.
Para a versão anterior do Windows, você pode, em vez disso, usar chaves de criptografia de chave RSA 2048.
O Azure Disk Encryption permite que você traga sua própria chave (BYOK)?
Sim, você pode fornecer suas próprias chaves de criptografia de chave. Essas chaves são protegidas no Cofre de Chaves do Azure, que é o armazenamento de chaves para a Criptografia de Disco do Azure. Para obter mais informações sobre os cenários de suporte de chaves de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Posso usar uma chave de criptografia de chave criada pelo Azure?
Sim, você pode usar o Azure Key Vault para gerar uma chave de criptografia de chave para uso da criptografia de disco do Azure. Essas chaves são protegidas no Cofre de Chaves do Azure, que é o armazenamento de chaves para a Criptografia de Disco do Azure. Para obter mais informações sobre a chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Posso usar um serviço de gerenciamento de chaves local ou HSM para proteger as chaves de criptografia?
Você não pode usar o serviço de gerenciamento de chaves local ou o HSM para proteger as chaves de criptografia com a Criptografia de Disco do Azure. Você só pode usar o serviço Cofre de Chaves do Azure para proteger as chaves de criptografia. Para obter mais informações sobre os cenários de suporte à chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Quais são os pré-requisitos para configurar a Criptografia de Disco do Azure?
Há pré-requisitos para o Azure Disk Encryption. Consulte o artigo Criando e configurando um cofre de chaves para o Azure Disk Encryption para criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso à criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre os cenários de suporte à chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Quais são os pré-requisitos para configurar o Azure Disk Encryption com um aplicativo Microsoft Entra (versão anterior)?
Há pré-requisitos para o Azure Disk Encryption. Consulte o conteúdo da Criptografia de Disco do Azure com ID do Microsoft Entra para criar um aplicativo Microsoft Entra, criar um novo cofre de chaves ou configurar um cofre de chaves existente para acesso à criptografia de disco para habilitar a criptografia e proteger segredos e chaves. Para obter mais informações sobre os cenários de suporte à chave de criptografia de chave, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure com a ID do Microsoft Entra.
O Azure Disk Encryption usando um aplicativo Microsoft Entra (versão anterior) ainda é suportado?
Sim. A criptografia de disco usando um aplicativo Microsoft Entra ainda é suportada. No entanto, ao criptografar novas VMs, é recomendável usar o novo método em vez de criptografar com um aplicativo Microsoft Entra.
Posso migrar VMs que foram criptografadas com um aplicativo Microsoft Entra para criptografia sem um aplicativo Microsoft Entra?
Atualmente, não há um caminho de migração direta para máquinas que foram criptografadas com um aplicativo Microsoft Entra para criptografia sem um aplicativo Microsoft Entra. Além disso, não há um caminho direto da criptografia sem um aplicativo Microsoft Entra para a criptografia com um aplicativo AD.
Que versão do Azure PowerShell é suportada pelo Azure Disk Encryption?
Use a versão mais recente do SDK do Azure PowerShell para configurar a Criptografia de Disco do Azure. Baixe a versão mais recente do Azure PowerShell. O Azure Disk Encryption não é suportado pelo SDK do Azure versão 1.1.0.
O que é o disco "Bek Volume" ou "/mnt/azure_bek_disk"?
O "volume Bek" é um volume de dados local que armazena com segurança as chaves de criptografia para VMs criptografadas do Azure.
Nota
Não exclua nem edite nenhum conteúdo deste disco. Não desmonte o disco, pois a presença da chave de criptografia é necessária para quaisquer operações de criptografia na VM IaaS.
Qual método de criptografia o Azure Disk Encryption usa?
O Azure Disk Encryption seleciona o método de criptografia no BitLocker com base na versão do Windows da seguinte maneira:
| Versões do Windows | Versão | Método de encriptação |
|---|---|---|
| Windows Server 2012, Windows 10 ou superior | >=1511 | XTS-AES de 256 bits |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES 256 bits * |
| Windows Server 2008R2 | AES 256 bits com difusor |
* AES de 256 bits com difusor não é suportado no Windows 2012 e posterior.
Para determinar a versão do sistema operacional Windows, execute a ferramenta 'winver' em sua máquina virtual.
Posso fazer backup e restaurar uma VM criptografada?
O Backup do Azure fornece um mecanismo para fazer backup e restaurar VMs criptografadas dentro da mesma assinatura e região. Para obter instruções, consulte Fazer backup e restaurar máquinas virtuais criptografadas com o Backup do Azure. Atualmente, não há suporte para a restauração de uma VM criptografada para uma região diferente.
Onde posso fazer perguntas ou dar feedback?
Você pode fazer perguntas ou fornecer comentários na página de perguntas e respostas da Microsoft para o Azure Disk Encryption.
Próximos passos
Neste documento, você aprendeu mais sobre as perguntas mais frequentes relacionadas ao Azure Disk Encryption. Para obter mais informações sobre este serviço, consulte os seguintes artigos: