Opções de criptografia para proteger VMs do Linux e do Windows
Vamos supor que os parceiros comerciais de sua empresa têm políticas de segurança que exigem que seus dados comerciais sejam protegidos com criptografia forte. Você usa um aplicativo B2B que é executado em seus servidores Windows e armazena dados no disco de dados do servidor. Agora que você está fazendo a transição para a nuvem, você precisa demonstrar para seus parceiros comerciais que os dados armazenados em suas VMs do Azure não podem ser acessados por aplicativos, dispositivos ou usuários não autorizados. Você precisa escolher uma estratégia para implementar a criptografia de dados B2B.
Seus requisitos de auditoria determinam que suas chaves de criptografia sejam gerenciadas internamente e não por terceiros. Você também deseja certificar-se que o desempenho e a capacidade de gerenciamento dos seus servidores baseados no Azure sejam mantidos. Portanto, antes de implementar a criptografia, você quer ter certeza de que não haverá impacto no desempenho.
O que é criptografia?
Criptografia é a conversão de informações significativas em algo que é parece sem relevância, como uma sequência aleatória de letras e números. O processo de criptografia usa uma forma de chave como parte do algoritmo que cria os dados criptografados. Uma chave também é necessária para executar a descriptografia. As chaves podem ser simétricas, em que a mesma chave é usada para criptografia e descriptografia, ou assimétricas, em que chaves diferentes são usadas. Um exemplo do último caso são os pares de chaves públicas-privadas usados em certificados digitais.
Criptografia simétrica
Algoritmos que usam chaves simétricas, como a criptografia AES, normalmente são mais rápidos do que algoritmos de chave pública e geralmente são usados para proteger armazenamentos de dados grandes. Como há somente uma chave, devem haver procedimentos em vigor para impedir que a chave se tornar publicamente conhecida.
Criptografia assimétrica
Com algoritmos assimétricos, somente o membro da chave privada do par deve ser mantido privado e seguro; como o nome sugere, a chave pública pode ser disponibilizada para qualquer pessoa sem comprometer os dados criptografados. No entanto, a desvantagem dos algoritmos de chave públicas é que eles são muito mais lentos do que os algoritmos simétricos e não podem ser usados para criptografar uma grande quantidade de dados.
Gerenciamento de chaves
No Azure, a Microsoft ou o cliente podem gerenciar suas chaves de criptografia. Muitas vezes, a demanda por chaves gerenciadas pelo cliente vem de organizações que precisam demonstrar conformidade com o HIPAA ou outros regulamentos. Essa conformidade pode exigir que o acesso às chaves seja registrado em log e que as alterações regulares das chaves sejam feitas e registradas.
Tecnologias de criptografia de disco do Azure
As principais tecnologias de proteção de disco baseada em criptografia para VMs do Azure são:
- SSE (Criptografia do Serviço de Armazenamento) do Azure
- Azure Disk Encryption (ADE)
A SSE é executada em discos físicos no data center. Se alguém tiver acesso direto ao disco físico, os dados serão criptografados. Quando os dados são acessados no disco, são descriptografados e carregados na memória.
O ADE criptografa os VHDs (discos rígidos virtuais) da máquina virtual. Se um VHD estiver protegido com o ADE, a imagem do disco só poderá ser acessada pela máquina virtual que tem o disco.
É possível usar ambos os serviços para proteger seus dados.
Criptografia do Serviço de Armazenamento
A SSE é um serviço de criptografia interno do Azure usado para proteger dados inativos. A plataforma de armazenamento do Azure criptografa automaticamente os dados antes que eles sejam armazenados em vários serviços de armazenamento, incluindo o Azure Managed Disks. A criptografia é habilitada por padrão usando a criptografia AES de 256 bits e é gerenciada pelo administrador da conta de armazenamento.
A SSE está habilitada para todas as contas de armazenamento novas e existentes e não pode ser desabilitada. Seus dados são protegidos por padrão. Você não precisa modificar o código nem os aplicativos para aproveitar a SSE.
A SSE não afeta o desempenho dos serviços de armazenamento do Azure.
Criptografia de Disco do Azure
O proprietário da VM gerencia o ADE. Ele controla a criptografia dos discos controlados por VM do Windows e do Linux, usando BitLocker em VMs do Windows e DM-Crypt em VMs do Linux. A Criptografia de Unidade de Disco BitLocker é um recurso de proteção de dados que se integra com o sistema operacional e lida com as ameaças de roubo ou exposição de dados de computadores perdidos, roubados ou descomissionados. Da mesma forma, a DM-Crypt criptografa os dados em repouso para Linux antes de gravar no armazenamento.
A ADE garante que todos os dados em discos de VM são criptografados em repouso no armazenamento do Azure e a ADE é necessária para VMs em backup no Cofre de Recuperação.
Com o ADE, a inicialização das VMs ocorre sob políticas e chaves controladas pelo cliente. O ADE é integrado ao Azure Key Vault para gerenciar estes segredos e chaves de criptografia de disco.
Observação
O ADE não dá suporte à criptografia de VMs de camada Básica e você não pode usar um KMS (Serviço de Gerenciamento de Chaves) local com o ADE.
Quando usar a criptografia
Os dados do computador ficam em risco quando eles estão em trânsito (transmitidos pela Internet ou outra rede), e quando eles estão em repouso (salvos em um dispositivo de armazenamento). O cenário de dados em repouso é a principal preocupação ao proteger dados em discos de VM do Azure. Por exemplo, alguém pode baixar o arquivo de Disco Rígido Virtual (VHD) associado a uma VM do Azure e salvá-lo em seu laptop. Se o VHD não for criptografado, o conteúdo do VHD é potencialmente acessível para qualquer pessoa que pode montar o arquivo VHD em seu computador.
Para os discos do sistema operacional (SO), os dados, como as senhas, são criptografados automaticamente, portanto, mesmo que o próprio VHD não esteja criptografado, não será fácil acessar essas informações. Os aplicativos também podem criptografar automaticamente seus próprios dados. No entanto, mesmo com essas proteções, se alguém com intenções maliciosas obtiver acesso a um disco de dados, e o disco em si não estiver criptografado, poderá explorar quaisquer pontos fracos conhecidos na proteção de dados desse aplicativo. Com a criptografia de disco em vigor, essas explorações não são possíveis.
A SSE faz parte do próprio Azure, e não deve haver nenhum impacto perceptível no desempenho na E/S de disco da VM durante o uso da SSE. Os discos gerenciados com a SSE agora são o padrão, e não deve haver nenhum motivo para alterar isso. O ADE usa as ferramentas do sistema operacional da VM (BitLocker e DM-Crypt). Portanto, a própria VM precisa realizar algum trabalho durante a criptografia ou a descriptografia nos discos da VM. O impacto dessa atividade adicional de CPU da VM é geralmente insignificante, exceto em determinadas situações. Por exemplo, se você tiver um aplicativo com uso intensivo de CPU, pode ser necessário deixar o disco do sistema operacional não criptografado para maximizar o desempenho. Em uma situação como essa, você poderá armazenar dados do aplicativo em um disco de dados criptografados separado, o que proporciona o desempenho necessário sem comprometer a segurança.
O Azure fornece duas tecnologias de criptografia complementares que são usadas para proteger os discos de VM do Azure. Essas tecnologias (SSE e ADE) criptografam em camadas diferentes e servem para finalidades diferentes. Ambas usam a criptografia AES de 256 bits. O uso das duas tecnologias fornece uma proteção com uma defesa completa contra o acesso não autorizado ao armazenamento do Azure e a VHDs específicos.