Editar

Usar o portal do Azure para habilitar a criptografia do lado do servidor com as chaves gerenciadas pelo cliente para discos gerenciados

  • Como fazer

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️

O Armazenamento em Disco do Azure permite que você gerencie as próprias chaves ao usar a SSE (criptografia do lado do servidor) para discos gerenciados, se você escolher. Para obter informações conceituais sobre a SSE com chaves gerenciadas pelo cliente e outros tipos de criptografia de disco gerenciado, confira a seção Chaves gerenciadas pelo cliente do nosso artigo sobre criptografia de disco: Chaves gerenciadas pelo cliente

Pré-requisitos

Nenhum

Restrições

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

  • Se esse recurso estiver habilitado para um disco com instantâneos incrementais, ele não poderá ser desabilitado nesse disco ou em seus instantâneos. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não use chaves gerenciadas pelo cliente. Você pode fazer isso com a CLI do Azure ou com o módulo do Azure PowerShell.
  • chaves de software e chaves RSA HSM de tamanhos 2.048, 3.072 e 4.096 bits são suportadas. Não são aceitas outras chaves ou tamanhos.
    • As chaves HSM exigem a camada Premium de cofres de chaves do Azure.
  • Somente para Discos Ultra e discos SSD Premium v2:
    • Os instantâneos criados a partir de discos criptografados com criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados com as mesmas chaves gerenciadas pelo cliente.
    • Não há suporte para identidades gerenciadas atribuídas pelo usuário em Discos Ultra e discos SSD Premium v2 criptografados com chaves gerenciadas pelo cliente.
  • A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) precisa estar na mesma assinatura e região.
    • Os cofres de chaves do Azure podem ser usados em outra assinatura, mas precisam estar na mesma região do conjunto de criptografia de disco. Com o acesso à versão prévia, você poderá usar os Azure Key Vaults de diferentes locatários do Microsoft Entra.
  • Os discos criptografados com chaves gerenciadas pelo cliente só poderão ser movidos para outro grupo de recursos se a VM à qual estão anexados for desalocada.
  • Os discos, os instantâneos e as imagens criptografadas com chaves gerenciadas pelo cliente não podem ser movidas entre assinaturas.
  • Os discos gerenciados atualmente ou criptografados anteriormente usando Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
  • Só é possível criar até 5 mil conjuntos de criptografia de disco por região e assinatura.
  • Para obter informações sobre o uso de chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, confira Preview: Use chaves gerenciadas pelo cliente para criptografar imagens.

As seguintes seções abordam como habilitar e usar chaves gerenciadas pelo cliente nos discos gerenciados:

A configuração de chaves gerenciadas pelo cliente para os discos exigirá que você crie recursos em uma ordem específica, caso esteja fazendo isso pela primeira vez. Primeiro, será necessário criar e configurar um Azure Key Vault.

Configure o seu Cofre da Chave do Azure

  1. Entre no portal do Azure.

  2. Procure e selecione Key Vaults.

    Captura de tela do portal do Azure com a caixa de diálogo Pesquisar expandida.

    Importante

    Seu conjunto de criptografia de disco, VM, discos e instantâneos devem estar todos na mesma região e assinatura para que a implantação seja bem-sucedida. Os Azure Key Vaults podem ser usados de uma assinatura diferente, mas precisam estar na mesma região e no mesmo locatário que o conjunto de criptografia de disco.

  3. Selecione +Criar para criar um cofre de chaves.

  4. Criar um grupo de recursos.

  5. Insira um nome de Key Vault, selecione uma região e selecione um tipo de preço.

    Observação

    Ao criar a instância do Key Vault, habilite a exclusão temporária e a proteção de limpeza. A exclusão temporária garante que a Key Vault mantenha uma chave excluída para determinado período de retenção (padrão de 90 dias). A proteção de limpeza garante que uma chave excluída não seja excluída permanentemente até que o período de retenção termine. Essas configurações protegem você contra a perda de dados devido à exclusão acidental. Essas configurações são obrigatórias ao usar um Key Vault para criptografar discos gerenciados.

  6. Selecione Revisar + Criar, verifique suas escolhas e selecione Criar.

    Captura de tela da experiência de criação do Azure Key Vault mostrando os valores particulares criados por você.

  7. Assim que o seu cofre de chaves terminar de ser implantado, selecione-o.

  8. Selecione Chaves em Objetos.

  9. Selecione Gerar/Importar.

    Captura de tela do painel de configurações do recurso do Key Vault, mostrando o botão gerar/importar dentro das configurações.

  10. Deixe o Tipo de chave definido como RSA e o Tamanho da chave RSA definido como 2048.

  11. Preencha as seleções restantes como desejar e, em seguida, selecione Criar.

    Captura de tela do painel de criação de uma chave que aparece quando o botão de gerar/importar é selecionado.

Adicionar uma função RBAC do Azure

Agora que você criou o cofre de chaves do Azure e uma chave, deve adicionar uma função de RBAC do Azure, para que você possa usar o cofre de chaves do Azure com o conjunto de criptografia de disco.

  1. Selecione Controle de acesso (IAM) e adicione uma função.
  2. Adicione as funções Administrador do Key Vault, Proprietário ou Colaborador.

Configurar o conjunto de criptografia de disco

  1. Procure por Conjuntos de criptografia de disco e selecione-o.

  2. No painel Conjuntos de Criptografia de Disco, selecione +Criar.

  3. Selecione seu grupo de recursos, nomeie o conjunto de criptografia e selecione a mesma região que o cofre de chaves.

  4. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

    Observação

    Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se você quiser usar um tipo de criptografia diferente, deverá criar um novo conjunto de criptografia de disco.

  5. Verifique se Selecionar cofre de chaves do Azure e a chave está selecionado.

  6. Selecione o cofre de chaves e a chave que você criou anteriormente e a versão.

  7. Se você quiser habilitar a rotação automática de chaves gerenciadas pelo cliente, selecione Rotação automática de chaves.

  8. Selecione Examinar + Criar e Criar.

    Captura de tela do painel de criação de criptografia de disco, mostrando a assinatura, o grupo de recursos, o nome do conjunto de criptografia de disco, a região e o cofre de chaves + seletor de chave.

  9. Navegue até o conjunto de criptografia de disco assim que ele for implantado e selecione o alerta exibido.

    Captura de tela do usuário selecionando o alerta 'Para associar um disco, uma imagem ou um instantâneo a este conjunto de criptografia de disco, você deve conceder permissões ao cofre de chaves.'

  10. Isso concederá permissões ao cofre de chaves para o conjunto de criptografia de disco.

    Captura de tela da confirmação de que as permissões foram concedidas.

Implantar uma máquina virtual

Agora que você criou e configurou o cofre de chaves e o conjunto de criptografia de disco, você pode implantar uma VM usando a criptografia. O processo de implantação de VM é semelhante ao processo de implantação padrão, as únicas diferenças são que você precisa implantar a VM na mesma região que os outros recursos e optar por usar uma chave gerenciada pelo cliente.

  1. Pesquise Máquinas Virtuais e selecione + Criar para criar uma VM.

  2. No painel Básico, selecione a mesma região que o conjunto de criptografia de disco e o Azure Key Vault.

  3. Preencha os outros valores no painel Básico como quiser.

    Captura de tela da experiência de criação da VM, com o valor de região realçado.

  4. No painel Discos, para Gerenciamento de chaves, selecione o conjunto de criptografia de disco, o cofre de chaves e a chave na lista suspensa.

  5. Faça as seleções restantes como desejar.

    Captura de tela da experiência de criação da VM e do painel de discos com a chave gerenciada pelo cliente selecionada.

Habilitar em um disco existente

Cuidado

Habilitar a criptografia de disco em qualquer disco anexado a uma VM exige que você interrompa a VM.

  1. Navegue até uma VM que está na mesma região que um dos seus conjuntos de criptografia de disco.

  2. Abra a VM e selecione Parar.

Captura de tela da sobreposição principal da sua VM de exemplo, com o botão Parar realçado.

  1. Após a interrupção total da VM, selecione Discos e selecione o disco que você quer criptografar.

Captura de tela da VM de exemplo, com o painel Discos aberto. O disco do SO está realçado como um exemplo de disco para você selecionar.

  1. Selecione Criptografia e, em Gerenciamento de chaves, selecione o cofre de chaves e a chave na lista suspensa, em Chave gerenciada pelo cliente.

  2. Clique em Salvar.

Captura de tela do disco de SO de exemplo. O painel de criptografia está aberto, a criptografia inativa com uma chave gerenciada pelo cliente está selecionada, bem como o Azure Key Vault de exemplo.

  1. Repita esse processo para todos os outros discos anexados à VM que você gostaria de criptografar.

  2. Quando os discos terminarem de alternar para as chaves gerenciadas pelo cliente, se não houver nenhum outro disco anexado que você queira criptografar, inicie a VM.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Ao configurar chaves gerenciadas pelo cliente, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Caso mova posteriormente a assinatura, o grupo de recursos ou o disco gerenciado de um diretório do Microsoft Entra para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, confira Como transferir uma assinatura entre os diretórios do Microsoft Entra.

Habilitar a rotação automática de chaves em um conjunto de criptografia de disco existente

  1. Navegue até o conjunto de criptografia de disco no qual você deseja habilitar a rotação automática de chaves.

  2. Em Configurações, selecione Chave.

  3. Selecione Rotação automática de chaves e selecione Salvar.

Conteúdo relacionado