Visão geral de Azure Disk EncryptionAzure Disk Encryption overview

Azure Disk Encryption ajuda a proteger e proteger seus dados para atender aos compromissos de segurança e conformidade da organização.Azure Disk Encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Ele usa o recurso BitLocker do Windows e o recurso DM-cript do Linux para fornecer criptografia de volume para o sistema operacional e os discos de dados das VMs (máquinas virtuais) do Azure.It uses the BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and data disks of Azure virtual machines (VMs). Ele também é integrado com Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e os segredos de criptografia de disco e garante que todos os dados nos discos de VM sejam criptografados em repouso no armazenamento do Azure.It is also integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets, and ensures that all data on the VM disks are encrypted at rest while in Azure storage. Azure Disk Encryption para VMs Windows e Linux está em disponibilidade geral em todas as regiões públicas do Azure e regiões do Azure governamental para VMs padrão e VMs com o armazenamento Premium do Azure.Azure Disk Encryption for Windows and Linux VMs is in General Availability in all Azure public regions and Azure Government regions for Standard VMs and VMs with Azure Premium Storage.

Se você usar a Central de Segurança do Azure, receberá um alerta se tiver VMs não criptografadas.If you use Azure Security Center, you're alerted if you have VMs that aren't encrypted. Esses alertas são mostrados como Alta Gravidade e a recomendação é criptografar essas VMs.The alerts show as High Severity and the recommendation is to encrypt these VMs.

Alerta de criptografia de disco na Central de Segurança do Azure

Observação

Determinadas recomendações podem aumentar o uso de recursos de dados, rede ou computação e resultar em custos adicionais de licença ou assinatura.Certain recommendations might increase data, network, or compute resource usage and result in additional license or subscription costs.

Cenários de criptografiaEncryption scenarios

Com o Azure Disk Encryption, você pode atender aos requisitos de segurança e conformidade organizacionais protegendo suas VMs do Azure em repouso usando a tecnologia de criptografia padrão do setor.With Azure Disk Encryption, you can address organizational security and compliance requirements by securing your Azure VMs at rest using industry-standard encryption technology. Você também pode configurar VMs para inicialização em chaves e políticas controladas pelo cliente (BYOK) e auditar o uso dessas chaves em seu cofre de chaves.You can also configure VMs to boot under customer-controlled keys and policies (BYOK), and audit the usage of these keys in your key vault.

O Azure Disk Encryption dá suporte aos seguintes cenários de cliente:Azure Disk Encryption supports the following customer scenarios:

  • Habilitar e desabilitar a criptografia em novas VMs criadas com base nas imagens do Azure Gallery com suporte.Enabling and disabling encryption on new VMs created from the supported Azure Gallery images.
  • Habilitando e desabilitando a criptografia em VMs existentes que são executadas no Azure.Enabling and disabling encryption on existing VMs that run in Azure.
  • Habilitar e desabilitar a criptografia em novas VMs do Windows criadas com base em VHD e chaves de criptografia previamente criptografadas.Enabling and disabling encryption on new Windows VMs created from pre-encrypted VHD and encryption keys.
  • Habilitando e desabilitando a criptografia em conjuntos de dimensionamento de máquinas virtuais do Windows.Enabling and disabling encryption on Windows virtual machine scale sets.
  • Habilitando e desabilitando a criptografia em unidades de dados para conjuntos de dimensionamento de máquinas virtuais do Linux.Enabling and disabling encryption on data drives for Linux virtual machine scale sets.
  • Habilitando e desabilitando a criptografia de VMs de disco gerenciado.Enabling and disabling encryption of managed disk VMs.
  • Atualizando as configurações de criptografia de uma VM de armazenamento existente criptografada Premium e não Premium.Updating encryption settings of an existing encrypted Premium and non-Premium Storage VM.
  • Fazendo backup e restaurando VMs criptografadas.Backing up and restoring encrypted VMs.
  • BYOE (traga sua própria criptografia) e cenários de traga sua própria chave (BYOK), em que os clientes usam suas próprias chaves de criptografia e as armazenam em um cofre de chaves do Azure.Bring your own encryption (BYOE) and bring your own key (BYOK) scenarios, in which the customers use their own encryption keys and store them in an Azure key vault.

Ele também dá suporte aos seguintes cenários para VMs quando eles estão habilitados no Microsoft Azure:It also supports the following scenarios for VMs when they're enabled in Microsoft Azure:

  • Integração com o Azure Key Vault.Integration with Azure Key Vault.

  • As VMs da camada Standard que atendem ao requisito mínimo de memória.Standard tier VMs that meet the minimum memory requirement.

  • Habilitando a criptografia em VMs do Windows e Linux, disco gerenciado e VMs do conjunto de dimensionamento das imagens com suporte da galeria do Azure.Enabling encryption on Windows and Linux VMs, managed disk, and scale set VMs from the supported Azure Gallery images.

  • Desabilitar a criptografia no sistema operacional e nas unidades de dados para VMs do Windows, VMs do conjunto de dimensionamento e VMs de disco gerenciado.Disabling encryption on OS and data drives for Windows VMs, scale set VMs, and managed disk VMs.

  • Desabilitar a criptografia em unidades de dados para VMs do Linux, VMs do conjunto de dimensionamento e VMs de disco gerenciado.Disabling encryption on data drives for Linux VMs, scale set VMs, and managed disk VMs.

  • Habilitando a criptografia em VMs que executam o sistema operacional cliente Windows.Enabling encryption on VMs that run the Windows Client OS.

  • Habilitando a criptografia em volumes com caminhos de montagem.Enabling encryption on volumes with mount paths.

  • Habilitando a criptografia em VMs Linux configuradas com a distribuição de disco (RAID) usando o mdadm.Enabling encryption on Linux VMs that are configured with disk striping (RAID) by using mdadm.

  • Habilitando a criptografia em VMs Linux que usam o LVM para discos de dados.Enabling encryption on Linux VMs that use LVM for data disks.

  • Habilitando a criptografia no so da VM Linux e nos discos de dados.Enabling encryption on the Linux VM OS and data disks.

    Observação

    Não há suporte para criptografia de unidade do sistema operacional para algumas distribuições do Linux.OS drive encryption for some Linux distributions isn't supported. Para obter mais informações, consulte os Azure Disk Encryption sistemas operacionais com suporte: Linux.For more information, see the Azure Disk Encryption supported operating systems: Linux.

  • Habilitando a criptografia em VMs configuradas com espaços de armazenamento do Windows a partir do Windows Server 2016.Enabling encryption on VMs that are configured with Windows Storage Spaces beginning in Windows Server 2016. Espaços de Armazenamento Diretos (S2D) ainda não tem suporte.Storage Spaces Direct (S2D) isn't supported yet.

  • Backup e restauração de VMs criptografadas para KEK (chave de criptografia de chave) e cenários não KEK.Back up and restoration of encrypted VMs for both key encryption key (KEK) and non-KEK scenarios.

Azure Disk Encryption não funciona para os seguintes cenários, recursos e tecnologia:Azure Disk Encryption does not work for the following scenarios, features, and technology:

  • Criptografia de VM de camada básica ou VMs criadas por meio do método de criação de VM clássico.Encrypting basic tier VM or VMs created through the classic VM creation method.
  • Desabilitar a criptografia em uma unidade do sistema operacional ou unidade de dados de uma VM do Linux quando a unidade do sistema operacional é criptografada.Disabling encryption on an OS drive or data drive of a Linux VM when the OS drive is encrypted.
  • Criptografando a unidade do sistema operacional para conjuntos de dimensionamento de máquinas virtuais do Linux.Encrypting OS drive for Linux virtual machine scale sets.
  • Criptografia de VMs do Windows configuradas com sistemas RAID baseados em software.Encrypting Windows VMs configured with software-based RAID systems.
  • Criptografar imagens personalizadas em VMs do Linux.Encrypting custom images on Linux VMs.
  • Integração com um sistema de gerenciamento de chaves local.Integration with an on-premises key management system.
  • Arquivos do Azure (sistema de arquivo compartilhado).Azure Files (shared file system).
  • NFS (Network File System).Network File System (NFS).
  • Volumes dinâmicos.Dynamic volumes.

Recursos de criptografiaEncryption features

Ao habilitar e implantar Azure Disk Encryption para VMs do Azure, você pode configurar os seguintes recursos para serem habilitados:When you enable and deploy Azure Disk Encryption for Azure VMs, you can configure the following capabilities to be enabled:

  • Criptografar o volume do sistema operacional para proteger o volume de inicialização em repouso no armazenamento.Encrypting the OS volume to protect the boot volume at rest in your storage.
  • Criptografar volumes de dados para proteger os volumes de dados em repouso em seu armazenamento.Encrypting data volumes to protect the data volumes at rest in your storage.
  • Desabilitar a criptografia no sistema operacional e nas unidades de dados para VMs do Windows.Disabling encryption on the OS and data drives for Windows VMs.
  • Desabilitar a criptografia nas unidades de dados para VMs do Linux (somente quando a unidade do sistema operacional não está criptografada).Disabling encryption on the data drives for Linux VMs (only when the OS drive isn't encrypted).
  • Proteger as chaves de criptografia e os segredos em sua assinatura do Azure Key Vault.Safeguarding the encryption keys and secrets in your Azure Key Vault subscription.
  • Relatar o status de criptografia da VM criptografada.Reporting the encryption status of the encrypted VM.
  • Removendo as definições de configuração de criptografia de disco da VM.Removing the disk encryption configuration settings from the VM.
  • Fazer backup e restaurar as VMs criptografadas usando o serviço de backup do Azure.Backing up and restoring the encrypted VMs by using the Azure Backup service.

O Azure Disk Encryption para VMs para Windows e Linux inclui:Azure Disk Encryption for VMs for Windows and Linux includes:

Observação

Não são cobradas taxas adicionais para criptografar discos de VM com o Azure Disk Encryption.There's no additional charge to encrypt VM disks with Azure Disk Encryption. O preço do Key Vault padrão aplica-se ao cofre de chaves que é usado para armazenar as chaves de criptografia.Standard Key Vault pricing applies to the key vault that's used to store the encryption keys.

Fluxo de trabalho de criptografiaEncryption workflow

Para habilitar a criptografia de disco para VMs do Windows e do Linux, faça o seguinte:To enable disk encryption for Windows and Linux VMs, do the following steps:

  1. Opte por habilitar a criptografia de disco por meio do modelo do Gerenciador de Recursos de Azure Disk Encryption, cmdlets do PowerShell ou CLI do Azure e especifique a configuração de criptografia.Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • Para o cenário do VHD criptografado pelo cliente, carregue o VHD criptografado para sua conta de armazenamento e o material de chave de criptografia para o cofre de chaves.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Em seguida, forneça a configuração de criptografia para habilitar a criptografia em uma nova VM.Then, provide the encryption configuration to enable encryption on a new VM.
    • Para novas VMs criadas a partir de imagens da galeria com suporte e VMs existentes que já são executadas no Azure, forneça a configuração de criptografia para habilitar a criptografia na VM.For new VMs that are created from supported gallery images, and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  2. Conceda acesso à plataforma Azure para ler o material de chave de criptografia (chaves de criptografia BitLocker para sistemas Windows e frase secreta para Linux) do cofre de chaves para habilitar a criptografia na VM.Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  3. O Azure atualiza o modelo de serviço de VM com a configuração do cofre de chaves e a criptografia e define sua VM criptografada.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

    Microsoft Antimalware no Azure

Fluxo de trabalho de descriptografiaDecryption workflow

Para desabilitar a criptografia de disco para VMs, conclua as seguintes etapas de alto nível:To disable disk encryption for VMs, complete the following high-level steps:

  1. Opte por desabilitar a criptografia (descriptografia) em uma VM em execução no Azure e especifique a configuração de descriptografia.Choose to disable encryption (decryption) on a running VM in Azure and specify the decryption configuration. É possível por meio do modelo do Resource Manager do Azure Disk Encryption, cmdlets do PowerShell ou da CLI do Azure.You can disable via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI.

    Esta etapa desabilita a criptografia do sistema operacional ou o volume de dados ou ambos na VM do Windows em execução.This step disables encryption of the OS or the data volume or both on the running Windows VM. Como mencionado na seção anterior, não há suporte para desabilitar a criptografia de disco do sistema operacional para Linux.As mentioned in the previous section, disabling OS disk encryption for Linux isn't supported. A etapa de descriptografia é permitida apenas para unidades de dados em VMs do Linux, desde que o disco do SO não esteja criptografado.The decryption step is allowed only for data drives on Linux VMs as long as the OS disk isn't encrypted.

  2. O Azure atualiza o modelo de serviço de VM e a VM é marcada como descriptografada.Azure updates the VM service model and the VM is marked as decrypted. O conteúdo da VM não está criptografado em repouso.The contents of the VM are no longer encrypted at rest.

    Observação

    A operação de desabilitação da criptografia não exclui seu cofre de chaves nem o material da chave de criptografia (chaves de criptografia do BitLocker para sistemas Windows ou a Frase secreta para Linux).The disable encryption operation doesn't delete your key vault and the encryption key material (BitLocker encryption keys for Windows systems or Passphrase for Linux).

    Não há suporte para desativação de criptografia de disco de OS para Linux.Disabling OS disk encryption for Linux isn't supported. A etapa de descriptografia é permitida somente para unidades de dados em VMs Linux.The decryption step is allowed only for data drives on Linux VMs.

    Desabilitar criptografia do disco de dados para Linux não tem suporte se a unidade do SO estiver criptografada.Disabling data disk encryption for Linux isn't supported if the OS drive is encrypted.

Fluxo de trabalho de criptografia (versão anterior)Encryption workflow (previous release)

A nova versão do Azure Disk Encryption elimina a necessidade de fornecer um parâmetro de aplicativo do Microsoft Azure Active Directory (Azure AD) para habilitar a criptografia de disco de VM.The new release of Azure Disk Encryption eliminates the requirement to provide an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. Com a nova versão, você não precisa fornecer uma credencial do Microsoft Azure Active Directory durante a etapa de habilitação de criptografia.With the new release, you're no longer required to provide an Azure AD credential during the enable encryption step. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo do Microsoft Azure Active Directory ao usar a nova versão.All new VMs must be encrypted without the Azure AD application parameters when you use the new release. As VMs que já foram criptografadas com os parâmetros de aplicativo do Azure AD ainda têm suporte e devem continuar a ser mantidas com a sintaxe do Microsoft Azure Active Directory.VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the Azure AD syntax. Para habilitar a criptografia de disco para VMs do Windows e do Linux (versão anterior), faça o seguinte:To enable disk encryption for Windows and Linux VMs (previous release), do the following steps:

  1. Escolha um cenário de criptografia nos cenários listados na seção Cenários de criptografia.Choose an encryption scenario from the scenarios listed in the Encryption scenarios section.

  2. Opte por habilitar a criptografia de disco por meio do modelo do Gerenciador de Recursos de Azure Disk Encryption, cmdlets do PowerShell ou CLI do Azure e especifique a configuração de criptografia.Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • Para o cenário do VHD criptografado pelo cliente, carregue o VHD criptografado para sua conta de armazenamento e o material de chave de criptografia para o cofre de chaves.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Em seguida, forneça a configuração de criptografia para habilitar a criptografia em uma nova VM.Then, provide the encryption configuration to enable encryption on a new VM.
    • Para novas VMs que são criadas a partir do Marketplace e VMs existentes que já são executadas no Azure, forneça a configuração de criptografia para habilitar a criptografia na VM.For new VMs that are created from the Marketplace and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  3. Conceda acesso à plataforma Azure para ler o material de chave de criptografia (chaves de criptografia BitLocker para sistemas Windows e frase secreta para Linux) do cofre de chaves para habilitar a criptografia na VM.Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  4. Forneça a identidade de aplicativo do Microsoft Azure Active Directory para gravar o material de chave de criptografia no cofre de chaves.Provide the Azure AD application identity to write the encryption key material to your key vault. Esta etapa habilita a criptografia na VM para os cenários mencionados na etapa 2.This step enables encryption on the VM for the scenarios mentioned in step 2.

  5. O Azure atualiza o modelo de serviço de VM com a configuração do cofre de chaves e a criptografia e define sua VM criptografada.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

TerminologiaTerminology

A tabela a seguir define alguns dos termos comuns usados na documentação de criptografia de disco do Azure:The following table defines some of the common terms used in Azure disk encryption documentation:

TerminologiaTerminology DefiniçãoDefinition
AD do AzureAzure AD Uma conta do Microsoft Azure Active Directory é usada para autenticar, armazenar e recuperar segredos de um cofre de chaves.An Azure AD account is used to authenticate, store, and retrieve secrets from a key vault.
Cofre da Chave do AzureAzure Key Vault Key Vault é um serviço de gerenciamento de chaves criptográfico baseado em módulos de segurança de hardware validados pelo FIPS (Federal Information Processing Standards).Key Vault is a cryptographic, key management service that's based on Federal Information Processing Standards (FIPS) validated hardware security modules. Esses padrões ajudam a proteger as chaves criptográficas e os segredos confidenciais.These standards help to safeguard your cryptographic keys and sensitive secrets. Para obter mais informações, consulte a documentação do Azure Key Vault.For more information, see the Azure Key Vault documentation.
BitLockerBitLocker O BitLocker é uma tecnologia de criptografia de volume do Windows reconhecida pela indústria que é usada para habilitar a criptografia de disco em VMs do Windows.BitLocker is an industry-recognized Windows volume encryption technology that's used to enable disk encryption on Windows VMs.
BEKBEK As chaves de criptografia do BitLocker (BEK) são usadas para criptografar o volume de inicialização do sistema operacional e os volumes de dados.BitLocker encryption keys (BEK) are used to encrypt the OS boot volume and data volumes. As BEKs são protegidas em um cofre de chaves como segredos.BEKs are safeguarded in a key vault as secrets.
CLI do AzureAzure CLI A CLI do Azure é otimizada para gerenciar e administrar os recursos do Azure na linha de comando.The Azure CLI is optimized for managing and administering Azure resources from the command line.
DM-CryptDM-Crypt DM-cript é o subsistema de criptografia de disco transparente, baseado em Linux, usado para habilitar a criptografia de disco em VMs do Linux.DM-Crypt is the Linux-based, transparent disk-encryption subsystem that's used to enable disk encryption on Linux VMs.
Chave de criptografia de chave (KEK)Key encryption key (KEK) A chave assimétrica (RSA 2048) que você pode usar para proteger ou encapsular o segredo.The asymmetric key (RSA 2048) that you can use to protect or wrap the secret. É possível fornecer uma chave protegida por HSM (módulos de segurança de hardware) ou uma chave protegida por software.You can provide a hardware security module (HSM)-protected key or software-protected key. Para obter mais informações, consulte a documentação do Azure Key Vault.For more information, see the Azure Key Vault documentation.
Cmdlets do PowerShellPowerShell cmdlets Para obter mais informações, confira cmdlets do Azure PowerShell.For more information, see Azure PowerShell cmdlets.

Próximas etapasNext steps

Para começar, consulte os pré-requisitos de Azure Disk Encryption.To get started, see the Azure Disk Encryption prerequisites.