Criptografia no servidor do Armazenamento em Disco do Azure

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

A maioria dos discos gerenciados do Azure é criptografada com a criptografia de armazenamento do Azure, que usa a SSE (criptografia do lado do servidor) para proteger seus dados e ajudá-lo a atender aos seus compromissos de segurança e conformidade organizacionais. A criptografia de armazenamento do Azure criptografa automaticamente seus dados armazenados em discos gerenciados do Azure (sistema operacional e discos de dados) em repouso por padrão ao mantê-los para a nuvem. Os discos com criptografia no host habilitado, entretanto, não são criptografados através do Armazenamento do Microsoft Azure. Para discos com criptografia no host habilitado, o servidor que hospeda sua VM fornece a criptografia para seus dados e os dados criptografados fluem para o armazenamento do Azure.

Os dados nos discos gerenciados são criptografados de maneira transparente usando a criptografia AES de 256 bits, uma das codificações de bloco mais fortes disponíveis, e são compatíveis com o FIPS 140-2. Para obter mais informações sobre os módulos criptográficos subjacentes aos discos gerenciados do Azure, veja API de Criptografia: Próxima geração

A criptografia do Armazenamento do Microsoft Azure não afeta o desempenho dos discos gerenciados e não existe nenhum custo adicional. Para obter mais informações sobre a criptografia de armazenamento do Azure, consulte criptografia de armazenamento do Azure.

Observação

Discos temporários não são discos gerenciados e não são criptografados pelo SSE, a menos que você habilite a criptografia no host.

Sobre o gerenciamento de chaves de criptografia

Você pode contar com chaves gerenciadas pela plataforma para a criptografia do disco gerenciado ou gerenciar a criptografia usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, pode especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar todos os dados nos discos gerenciados.

As seções a seguir descrevem mais detalhadamente cada uma das opções de gerenciamento de chaves.

Chaves gerenciadas pela plataforma

Por padrão, os discos gerenciados usam chaves de criptografia gerenciadas pela plataforma. A partir de 10 de junho de 2017, todos os novos discos gerenciados, instantâneos, imagens e novos dados gravados em discos gerenciados existentes são criptografados automaticamente em repouso com chaves gerenciadas pela plataforma. As chaves gerenciadas pela plataforma são gerenciadas pela Microsoft.

Chaves gerenciadas pelo cliente

Você pode optar por gerenciar a criptografia no nível de cada disco gerenciado com suas próprias chaves. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. Chaves gerenciadas pelo cliente oferecem maior flexibilidade para gerenciar controles de acesso.

Você deve usar um dos seguintes repositórios de chaves do Azure para armazenar suas chaves gerenciadas pelo cliente:

• Azure Key Vault
• HSM (Módulo de Segurança de Hardware) gerenciado do Azure Key Vault

É possível importar as chaves RSA para o Key Vault ou gerar novas chaves RSA no Azure Key Vault. Os discos gerenciados do Azure tratam a criptografia e a descriptografia de maneira totalmente transparente com o uso da criptografia de envelope. Ela criptografa dados usando uma DEK (chave de criptografia de dados) baseada em AES 256 que, por sua vez, é protegida com suas chaves. O serviço de armazenamento gera chaves de criptografia de dados e as criptografa com chaves gerenciadas pelo cliente usando a criptografia RSA. A criptografia de envelope permite alternar (mudar) as chaves periodicamente de acordo com as políticas de conformidade, sem afetar as VMs. Quando você alterna as chaves, o serviço de armazenamento criptografa novamente as chaves de criptografia de dados com as novas chaves gerenciadas pelo cliente.

Os discos gerenciados e o Key Vault ou o HSM Gerenciado devem estar na mesma região do Azure, mas podem estar em assinaturas diferentes. Também precisam estar no mesmo locatário do Microsoft Entra, a menos que você esteja usando Discos gerenciados criptografados entre locatários com chaves gerenciadas pelo cliente (versão prévia).

Controle total de suas chaves

É necessário conceder acesso aos discos gerenciados no Key Vault ou HSM gerenciado para usar as chaves para criptografar e descriptografar o DEK. Isso permite o controle total de dados e chaves. É possível desabilitar as chaves ou revogar o acesso aos discos gerenciados a qualquer momento. Você também pode auditar o uso da chave de criptografia com monitoramento do Azure Key Vault para garantir que apenas os discos gerenciados ou outros serviços confiáveis do Azure acessem as chaves.

Importante

Quando uma chave for desabilitada, excluída ou expirar, todas as VMs com discos de dados ou sistema operacional que usam essa chave serão desligadas automaticamente. Após o desligamento automatizado, as VMs não serão inicializadas até que a chave esteja habilitada novamente ou você atribua uma nova chave.

Geralmente, a E/S do disco (operações de leitura ou gravação) começa a falhar 1 hora depois que uma chave for desabilitada, excluída ou expirar.

O diagrama a seguir mostra como os discos gerenciados usam o Microsoft Entra ID e o Azure Key Vault para fazer solicitações usando a chave gerenciada pelo cliente:

A lista a seguir explica o diagrama mais detalhadamente:

1. Um administrador do Azure Key Vault cria os recursos do Key Vault.
2. O administrador do Key Vault importa as chaves RSA para o Key Vault ou gera novas chaves RSA no Key Vault.
3. Esse administrador cria uma instância do recurso de conjunto de criptografia de disco, especificando uma ID do Azure Key Vault e uma URL da chave. O conjunto de criptografia de disco é um novo recurso que simplifica o gerenciamento de chaves dos discos gerenciados.
4. Quando um conjunto de criptografia de discos é criado, uma identidade gerenciada atribuída pelo sistema é criada no Microsoft Entra ID e associada ao conjunto de criptografia de discos.
5. O administrador do Azure Key Vault concede a permissão de identidade gerenciada para realizar operações no Key Vault.
6. Um usuário da VM cria discos associando-os ao conjunto de criptografia de disco. O usuário da VM também pode habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para recursos existentes, associando-as ao conjunto de criptografia de disco.
7. Os discos gerenciados usam a identidade gerenciada para enviar solicitações ao Azure Key Vault.
8. Para leitura ou gravação de dados, os discos gerenciados enviam solicitações ao Azure Key Vault para criptografar (encapsular) e descriptografar (desencapsular) a chave de criptografia de dados, a fim de criptografar e descriptografar os dados.

Para revogar o acesso às chaves gerenciadas pelo cliente, confira Azure Key Vault PowerShell e Azure Key Vault CLI. Revogar o acesso bloqueia o acesso a todos os dados na conta de armazenamento, pois a chave de criptografia não é acessível pelo Armazenamento do Microsoft Azure.

Rotação automática de chaves gerenciadas pelo cliente

Em geral, se você estiver usando chaves gerenciadas pelo cliente, deverá habilitar a rotação automática de chaves para a versão mais recente. O giro automático de chaves ajuda a garantir que suas chaves estejam seguras. Um disco faz referência a uma chave por meio de seu conjunto de criptografia de disco. Quando você habilita a rotação automática para um conjunto de criptografia de disco, o sistema atualiza automaticamente todos os discos gerenciados, instantâneos e imagens que fazem referência ao conjunto de criptografia de disco para usar a nova versão da chave em uma hora. Para saber como habilitar as chaves gerenciadas pelo cliente com rotação automática de chaves, consulte Configurar um Azure Key Vault e DiskEncryptionSet com a rotação automática de chaves.

Observação

As Máquinas Virtuais não são reiniciadas durante o giro automático de chaves.

Se você não puder habilitar o giro automático de chaves, poderá usar outros métodos para alertá-lo antes que as chaves expirem. Dessa forma, você pode garantir o giro de suas chaves antes do vencimento e manter a continuidade dos negócios. Você pode usar um Azure Policy ou Grade de Eventos do Azure para enviar uma notificação quando uma chave expirar em breve.

Restrições

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

• Se esse recurso estiver habilitado para um disco com instantâneos incrementais, ele não poderá ser desabilitado nesse disco ou em seus instantâneos. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não use chaves gerenciadas pelo cliente. Você pode fazer isso com a CLI do Azure ou com o módulo do Azure PowerShell.
• Só chaves de software e chaves RSA HSM de tamanhos 2.048, 3.072 e 4.096 bits são suportadas. Não são aceitas outras chaves ou tamanhos.
  • As chaves HSM exigem a camada Premium de cofres de chaves do Azure.
• Somente para Discos Ultra e discos SSD Premium v2:
  • Os instantâneos criados a partir de discos criptografados com criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados com as mesmas chaves gerenciadas pelo cliente.
  • Não há suporte para identidades gerenciadas atribuídas pelo usuário em Discos Ultra e discos SSD Premium v2 criptografados com chaves gerenciadas pelo cliente.
• A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) precisa estar na mesma assinatura e região.
  • Os cofres de chaves do Azure podem ser usados em outra assinatura, mas precisam estar na mesma região do conjunto de criptografia de disco. Com o acesso à versão prévia, você poderá usar os Azure Key Vaults de diferentes locatários do Microsoft Entra.
• Os discos criptografados com chaves gerenciadas pelo cliente só poderão ser movidos para outro grupo de recursos se a VM à qual estão anexados for desalocada.
• Os discos, os instantâneos e as imagens criptografadas com chaves gerenciadas pelo cliente não podem ser movidas entre assinaturas.
• Os discos gerenciados atualmente ou criptografados anteriormente usando Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
• Só é possível criar até 5 mil conjuntos de criptografia de disco por região e assinatura.
• Para obter informações sobre o uso de chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, confira Preview: Use chaves gerenciadas pelo cliente para criptografar imagens.

Regiões com suporte

As chaves gerenciadas pelo cliente estão disponíveis em todas as regiões em que os discos gerenciados estão disponíveis.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Ao configurar chaves gerenciadas pelo cliente, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Caso, subsequentemente, você transfira a assinatura, o grupo de recursos ou o disco gerenciado de um diretório do Microsoft Entra para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário e, portanto, as chaves gerenciadas pelo cliente talvez não funcionem mais. Para obter mais informações, confira Como transferir uma assinatura entre os diretórios do Microsoft Entra.

Para habilitar chaves gerenciadas pelo cliente para discos gerenciados, consulte nossos artigos que abordam como habilitá-lo com o módulo Azure PowerShell, o CLI do Azure ou o portal do Azure.

Consulte Criar um disco gerenciado de um instantâneo com a CLI para obter um exemplo de código.

Criptografia em criptografia de host de ponta a ponta para os dados da VM

Quando você habilita a criptografia no host, essa criptografia é iniciada no host da VM em si, no servidor do Azure ao qual sua VM está alocada. Os dados para o disco temporário e caches do sistema operacional/disco do disco de dados são armazenados nesse host de VM. Após habilitar a criptografia no host, todos esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento, em que são mantidos. Essencialmente, a criptografia no host criptografa seus dados de ponta a ponta. A criptografia no host não utiliza a CPU da sua VM e não afeta o desempenho da VM.

Discos temporários e discos do sistema operacional efêmero são criptografados em repouso com chaves gerenciadas pela plataforma quando você habilita a criptografia de ponta a ponta. Os caches do sistema operacional e dos dados são criptografados em repouso com chaves gerenciadas pelo cliente ou gerenciadas por plataforma, dependendo do tipo de criptografia de disco selecionado. Por exemplo, se um disco for criptografado com chaves gerenciadas pelo cliente, o cache do disco será criptografado com chaves gerenciadas pelo cliente e, se um disco for criptografado com chaves gerenciadas pela plataforma, o cache do disco será criptografado com chaves gerenciadas pela plataforma.

Restrições

• Compatível com Discos Ultra de tamanho de setor de 4k e SSD Premium v2.
• Só terá suporte em Discos Ultra de tamanho de setor 512e e SSD Premium v2 se eles foram criados após 13/5/2023.
  • Para discos criados antes dessa data, gere um instantâneo do disco e crie um novo disco usando esse instantâneo.
• Não pode ser habilitado em VMs (máquinas virtuais) ou conjuntos de dimensionamento de máquinas virtuais que já tiverem ou têm atualmente o Azure Disk Encryption habilitado.
• O Azure Disk Encryption não pode ser habilitado em discos que têm criptografia no host habilitada.
• A criptografia pode ser habilitada nos conjuntos de dimensionamento de máquinas virtuais existentes. No entanto, somente as novas VMs criadas após a ativação da criptografia são criptografadas automaticamente.
• As VMs existentes devem ser desalocadas e realocadas para serem criptografadas.

Disponibilidade regional

A criptografia no host está disponível em todas as regiões para todos os tipos de discos.

Tamanhos de VM com suporte

A lista completa de tamanhos de VM compatíveis pode ser extraída programaticamente. Para saber como recuperá-los de modo programático, confira os artigos da seção de localização de tamanhos de VM com suporte Módulo do Azure PowerShell ou CLI do Azure.

Para habilitar a criptografia de ponta a ponta usando a criptografia no host, consulte nossos artigos que abordam como habilitá-lo com o módulo Azure PowerShell, o CLI do Azureou o portal do Azure.

Criptografia dupla em repouso

Clientes altamente sensíveis à segurança, que estão preocupados com o risco associado a um algoritmo de criptografia, implementação ou chave específica sendo comprometido, agora podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura, utilizando chaves de criptografia gerenciadas pela plataforma. Essa nova camada pode ser aplicada ao sistema operacional persistente e discos de dados, instantâneos e imagens, todos os quais serão criptografados em repouso com criptografia dupla.

Restrições

Atualmente, não há suporte para criptografia dupla em repouso com discos do tipo Discos Ultra ou SSD Premium v2.

Regiões com suporte

A criptografia dupla está disponível em todas as regiões em que os discos gerenciados estão disponíveis.

Para habilitar a criptografia dupla em repouso para discos gerenciados, consulte nossos artigos que abordam como habilitá-lo com o módulo Azure PowerShell, o CLI do Azure ou o portal do Azure.

Criptografia do lado do servidor versus criptografia de disco do Azure

O Azure Disk Encryption aproveita o recurso DM-Crypt do Linux ou o recurso BitLocker do Windows para criptografar discos gerenciados com chaves gerenciadas pelo cliente na VM convidada. A criptografia do lado do servidor com chaves gerenciadas pelo cliente aprimora o ADE, permitindo usar quaisquer tipos de sistema operacional e imagens para as VMs, criptografando dados no serviço de armazenamento.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Ao configurar chaves gerenciadas pelo cliente, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Caso, subsequentemente, você transfira a assinatura, o grupo de recursos ou o disco gerenciado de um diretório do Microsoft Entra para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário e, portanto, as chaves gerenciadas pelo cliente talvez não funcionem mais. Para obter mais informações, confira Como transferir uma assinatura entre os diretórios do Microsoft Entra.

Próximas etapas

• Habilite a criptografia de ponta a ponta usando a criptografia no host com o módulo Azure PowerShell, o CLI do Azure ou o portal do Azure.
• Habilite a criptografia dupla em repouso para discos gerenciados com o módulo Azure PowerShell, o CLI do Azure ou o portal do Azure.
• Habilite chaves gerenciadas pelo cliente para discos gerenciados com o módulo Azure PowerShell, o CLI do Azure ou o portal do Azure.
• Conheça os modelos do Azure Resource Manager para criar discos criptografados com chaves gerenciadas pelo cliente
• O que é o Cofre da Chave do Azure?