Opções de encriptação para proteger VMs do Windows e do Linux
Suponha que os parceiros comerciais da sua empresa têm políticas de segurança que exigem que os seus dados comerciais sejam protegidos com encriptação forte. Você usa um aplicativo B2B que é executado em seus servidores Windows e armazena dados no disco de dados do servidor. Agora que está a fazer a transição para a nuvem, tem de demonstrar aos seus parceiros comerciais que utilizadores, dispositivos ou aplicações não autorizados não podem aceder aos dados armazenados nas suas VMs do Azure. Precisa escolher uma estratégia de implementação de encriptação dos seus dados de B2B.
Os requisitos de auditoria requerem que as suas chaves de encriptação sejam geridas internamente e não por terceiros. Você também deseja garantir que o desempenho e a capacidade de gerenciamento de seus servidores baseados no Azure sejam mantidos. Portanto, antes de implementar a criptografia, você quer ter certeza de que não haverá um impacto no desempenho.
O que é a encriptação?
A encriptação trata-se de converter informações significativas em algo que é apresentado sem significado, como uma sequência aleatória de letras e números. O processo de encriptação utiliza algum tipo de chave como parte do algoritmo que cria os dados encriptados. Também é necessária uma chave para realizar a desencriptação. As chaves podem ser simétricas, onde a mesma chave é usada para criptografia e descriptografia, ou assimétricas, onde chaves diferentes são usadas. Um exemplo destas últimas são os pares de chaves públicas-privadas utilizadas em certificados digitais.
Encriptação simétrica
Os algoritmos que usam chaves simétricas, como o AES (Advanced Encryption Standard), são normalmente mais rápidos do que os algoritmos de chave pública e são frequentemente usados para proteger grandes armazenamentos de dados. Como há apenas uma chave, procedimentos devem ser cumpridos para impedir que a chave se torne de conhecimento público.
Criptografia assimétrica
Com algoritmos assimétricos, apenas o membro da chave privada do par deve ser mantido privado e seguro. Como o próprio nome sugere, a chave pública pode ser disponibilizada para qualquer pessoa sem comprometer os dados criptografados. A desvantagem dos algoritmos de chave pública, no entanto, é que eles são mais lentos do que os algoritmos simétricos e não podem ser usados para criptografar grandes quantidades de dados.
Gestão de chaves
No Azure, a Microsoft ou o cliente pode gerenciar suas chaves de criptografia. Muitas vezes, a demanda por chaves gerenciadas pelo cliente vem de organizações que precisam demonstrar conformidade com a HIPAA ou outras regulamentações. Essa conformidade pode exigir que o acesso às chaves seja registrado e que alterações regulares de chaves sejam feitas e registradas.
Tecnologias de encriptação de disco do Azure
As principais tecnologias de proteção de disco baseadas em encriptação para VMs do Azure são:
- Criptografia do Serviço de Armazenamento do Azure (SSE)
- Azure Disk Encryption (ADE)
O SSE é executado nos discos físicos do data center. Se alguém acessasse diretamente o disco físico, os dados seriam criptografados. Quando os dados são acedidos a partir do disco, os dados são desencriptados e carregados na memória.
O ADE criptografa os discos rígidos virtuais (VHDs) da máquina virtual. Se um VHD estiver protegido com ADE, a imagem de disco só será acessível pela máquina virtual proprietária do disco.
É possível utilizar ambos os serviços para proteger os seus dados.
Encriptação do Serviço de Armazenamento
O SSE é um serviço de criptografia integrado ao Azure usado para proteger dados em repouso. A plataforma de armazenamento do Azure criptografa automaticamente os dados antes de armazená-los em vários serviços de armazenamento, incluindo os Discos Gerenciados do Azure. A criptografia é habilitada por padrão usando criptografia AES de 256 bits e o administrador da conta de armazenamento a gerencia.
O SSE está habilitado para todas as contas de armazenamento novas e existentes e não pode ser desabilitado. Os seus dados estão protegidos por defeito; você não precisa modificar seu código ou aplicativos para aproveitar o SSE.
O SSE não afeta o desempenho dos serviços de armazenamento do Azure.
Azure Disk Encryption
O proprietário da máquina virtual (VM) gerencia o ADE. O ADE controla a encriptação de discos controlados por VM do Windows e do Linux, ao utilizar o BitLocker em VMs do Windows e o DM-Crypt em VMs do Linux. A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados que se integra ao sistema operacional e aborda as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou desativados indevidamente. Da mesma forma, o DM-Crypt encripta dados inativos para Linux antes de escrever no armazenamento.
O ADE garante que todos os dados em discos de VM sejam encriptados em inatividade no armazenamento do Azure, e o ADE é necessário para VMs cuja cópia de segurança foi feita pelo Cofre de Recuperação.
Com o ADE, o arranque de VMs ocorre recorrendo a chaves e políticas controladas pelo cliente. O ADE é integrado ao Azure Key Vault para gerenciar essas chaves e segredos de criptografia de disco.
Nota
O ADE não oferece suporte à criptografia de VMs de camada básica e você não pode usar um KMS (Serviço de Gerenciamento de Chaves) local com o ADE.
Quando usar a criptografia
Os dados do computador estão em risco quando estão em trânsito (transmitidos através da Internet ou de outra rede) e quando estão inativos (guardados num dispositivo de armazenamento). O cenário com dados inativos é a principal preocupação ao proteger dados em discos de VM do Azure. Por exemplo, alguém pode baixar o arquivo VHD (Disco Rígido Virtual) associado a uma VM do Azure e salvá-lo em seu laptop. Se o VHD não estiver encriptado, o conteúdo do VHD é potencialmente acessível a qualquer pessoa que possa montar o ficheiro VHD no seu computador.
Para discos de sistema operacional (SO), dados como senhas são criptografados automaticamente, portanto, mesmo que o VHD em si não esteja criptografado, não é fácil acessar essas informações. Os aplicativos também podem criptografar automaticamente seus próprios dados. No entanto, mesmo com essas proteções, se alguém com intenções maliciosas obtiver acesso a um disco de dados e o disco em si não estiver criptografado, poderá explorar quaisquer fraquezas conhecidas na proteção de dados desse aplicativo. Com a criptografia de disco em vigor, essas explorações não são possíveis.
O SSE faz parte do próprio Azure e não deve haver um impacto percetível no desempenho da E/S do disco da VM ao usar o SSE. Os discos geridos com o SSE são agora a predefinição e não deverá existir qualquer motivo para alterar isso. O ADE usa as ferramentas do sistema operacional VM BitLocker e DM-Crypt. Portanto, a própria VM tem que fazer algum trabalho quando a criptografia ou descriptografia em discos de VM está sendo executada. O impacto dessa atividade extra da CPU da VM normalmente é insignificante, exceto em determinadas situações. Por exemplo, se você tiver um aplicativo com uso intensivo de CPU, pode haver um caso para deixar o disco do sistema operacional não criptografado para maximizar o desempenho. Nessa situação, você pode armazenar dados de aplicativos em um disco de dados criptografado separado, o que oferece o desempenho necessário sem comprometer a segurança.
O Azure fornece duas tecnologias de encriptação complementares que são utilizadas para proteger discos de VM do Azure. Estas tecnologias (SSE e ADE) encriptam em diferentes camadas e servem diferentes propósitos. Ambas utilizam encriptação AES de 256 bits. Utilizar as duas tecnologias proporciona uma proteção de defesa em profundidade contra acesso não autorizado ao armazenamento do Azure e a VHDs específicos.