Azure Disk Encryption para VMs do Windows
Aplica-se a: ✔️ VMs ✔️ do Windows Conjuntos de escala flexíveis
A Azure Disk Encryption ajuda a proteger e a salvaguardar os seus dados para cumprir as obrigações de conformidade e segurança da sua organização. Ele usa o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e discos de dados de máquinas virtuais (VMs) do Azure e é integrado ao Cofre de Chaves do Azure para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco.
O Azure Disk Encryption é resiliente à zona, da mesma forma que as Máquinas Virtuais. Para obter detalhes, consulte Serviços do Azure que dão suporte a zonas de disponibilidade.
Se você usa o Microsoft Defender for Cloud, será alertado se tiver VMs não criptografadas. Os alertas são exibidos como Alta Severidade e a recomendação é criptografar essas VMs.
Aviso
- Se você já usou o Azure Disk Encryption com a ID do Microsoft Entra para criptografar uma VM, você deve continuar usando essa opção para criptografar sua VM. Consulte Azure Disk Encryption with Microsoft Entra ID (versão anterior) para obter detalhes.
- Algumas recomendações podem aumentar o uso de dados, rede ou recursos de computação, resultando em custos adicionais de licença ou assinatura. Tem de ter uma subscrição ativa válida do Azure para criar recursos no Azure nas regiões suportadas.
- Não use o BitLocker para descriptografar manualmente uma VM ou disco que foi criptografado por meio da Criptografia de Disco do Azure.
Você pode aprender os fundamentos do Azure Disk Encryption para Windows em apenas alguns minutos com o início rápido Criar e criptografar uma VM do Windows com a CLI do Azure ou o Guia de início rápido Criar e criptografar uma VM do Windows com o Azure PowerShell.
VMs e sistemas operacionais suportados
VMs suportadas
As VMs do Windows estão disponíveis em vários tamanhos. O Azure Disk Encryption tem suporte em VMs de Geração 1 e 2. O Azure Disk Encryption também está disponível para VMs com armazenamento premium.
O Azure Disk Encryption não está disponível em VMs básicas, da série A ou em máquinas virtuais com menos de 2 GB de memória. Para obter mais exceções, consulte Azure Disk Encryption: Restrictions.
Sistemas operativos suportados
- Cliente Windows: Windows 8 e posterior.
- Windows Server: Windows Server 2008 R2 e posterior.
- Windows 10 Enterprise multi-sessão e posterior.
Nota
O Windows Server 2022 e o Windows 11 não suportam uma chave RSA de 2048 bits. Para obter mais informações, consulte FAQ: Que tamanho devo usar para minha chave de criptografia de chave?
O Windows Server 2008 R2 requer que o .NET Framework 4.5 seja instalado para criptografia; instalá-lo a partir do Windows Update com a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas baseados em x64 (KB2901983) do Windows Server 2008 R2.
O Windows Server 2012 R2 Core e o Windows Server 2016 Core exigem que o componente bdehdcfg seja instalado na VM para criptografia.
Requisitos de rede
Para habilitar a Criptografia de Disco do Azure, as VMs devem atender aos seguintes requisitos de configuração de ponto de extremidade de rede:
- Para obter um token para se conectar ao seu cofre de chaves, a VM do Windows deve ser capaz de se conectar a um ponto de extremidade do Microsoft Entra, [login.microsoftonline.com].
- Para gravar as chaves de criptografia no cofre de chaves, a VM do Windows deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.
- A VM do Windows deve ser capaz de se conectar a um ponto de extremidade de armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
- Se sua política de segurança limitar o acesso das VMs do Azure à Internet, você poderá resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída com os IPs. Para obter mais informações, consulte Azure Key Vault behind a firewall.
Requisitos da Política de Grupo
A Criptografia de Disco do Azure usa o protetor de chave externa do BitLocker para VMs do Windows. Para VMs ingressadas no domínio, não envie por push nenhuma política de grupo que imponha protetores TPM. Para obter informações sobre a política de grupo para "Permitir BitLocker sem um TPM compatível", consulte Referência da Política de Grupo do BitLocker.
A política do BitLocker em máquinas virtuais ingressadas no domínio com política de grupo personalizada deve incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. A Criptografia de Disco do Azure falhará quando as configurações de política de grupo personalizadas para o BitLocker forem incompatíveis. Em máquinas que não têm a configuração de política correta, aplique a nova política e force a atualização da nova política (gpupdate.exe /force). Pode ser necessário reiniciar novamente.
Os recursos de política de grupo do Microsoft BitLocker Administration and Monitoring (MBAM) não são compatíveis com a Criptografia de Disco do Azure.
Aviso
O Azure Disk Encryption não armazena chaves de recuperação. Se a configuração de segurança Logon interativo: limite de bloqueio de conta da máquina estiver ativada, as máquinas só poderão ser recuperadas fornecendo uma chave de recuperação por meio do console serial. Instruções para garantir que as políticas de recuperação apropriadas estejam habilitadas podem ser encontradas no plano do guia de recuperação do Bitlocker.
A Criptografia de Disco do Azure falhará se a política de grupo no nível de domínio bloquear o algoritmo AES-CBC, que é usado pelo BitLocker.
Requisitos do armazenamento de chaves de encriptação
O Azure Disk Encryption requer um Cofre de Chaves do Azure para controlar e gerenciar chaves e segredos de criptografia de disco. Seu cofre de chaves e VMs devem residir na mesma região e assinatura do Azure.
Para obter detalhes, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Terminologia
A tabela a seguir define alguns dos termos comuns usados na documentação de criptografia de disco do Azure:
| Terminologia | Definição |
|---|---|
| Azure Key Vault | O Key Vault é um serviço de gerenciamento de chaves criptográfico baseado em módulos de segurança de hardware validados pelo Federal Information Processing Standards (FIPS). Esses padrões ajudam a proteger suas chaves criptográficas e segredos confidenciais. Para obter mais informações, consulte a documentação do Azure Key Vault e Criando e configurando um cofre de chaves para o Azure Disk Encryption. |
| CLI do Azure | A CLI do Azure é otimizada para gerenciar e administrar recursos do Azure a partir da linha de comando. |
| BitLocker | O BitLocker é uma tecnologia de criptografia de volume do Windows reconhecida pelo setor que é usada para habilitar a criptografia de disco em VMs do Windows. |
| Chave de criptografia de chave (KEK) | A chave assimétrica (RSA 2048) que você pode usar para proteger ou encapsular o segredo. Você pode fornecer uma chave protegida pelo módulo de segurança de hardware (HSM) ou uma chave protegida por software. Para obter mais informações, consulte a documentação do Azure Key Vault e Criando e configurando um cofre de chaves para o Azure Disk Encryption. |
| Cmdlets do PowerShell | Para obter mais informações, consulte Cmdlets do Azure PowerShell. |
Próximos passos
- Guia de início rápido - Criar e criptografar uma VM do Windows com a CLI do Azure
- Guia de início rápido - Criar e criptografar uma VM do Windows com o Azure PowerShell
- Cenários do Azure Disk Encryption em VMs do Windows
- Script CLI de pré-requisitos do Azure Disk Encryption
- Script PowerShell de pré-requisitos do Azure Disk Encryption
- Criar e configurar um cofre de chaves para o Azure Disk Encryption