Criptografar discos da VM existentes

  • 10 minutos

Suponha que sua empresa tenha decidido implementar o ADE (Azure Disk Encryption) em todas as VMs. Você precisa avaliar como distribuir a criptografia para volumes de VM existentes. Aqui, vamos examinar os requisitos para ADE e as etapas envolvidas na criptografia de discos em VMs do Windows e do Linux existentes. Na próxima unidade, você vai trabalhar ao longo do processo de criptografar discos de VM existentes.

Pré-requisitos do Azure Disk Encryption

Antes de criptografar os discos de VM, você precisa:

  1. Criar um cofre de chaves.
  2. Definir a política de acesso ao cofre de chaves para ser compatível com a criptografia de disco.
  3. Use o cofre de chaves para armazenar as chaves de criptografia para ADE.

Azure Key Vault

As chaves de criptografia usadas pelo ADE podem ser armazenadas no Azure Key Vault. O Azure Key Vault é uma ferramenta para armazenar e acessar segredos de forma segura. Um segredo é tudo aquilo cujo acesso você quer controlar com rigor, como chaves de API, senhas ou certificados. Isso proporciona armazenamento seguro altamente disponível e escalonável conforme definido em HSMs (módulos de segurança de Hardware) validados para FIPS (Federal Information Processing Standards) 140-2 Nível 2. Usando o Key Vault, você mantém o controle total das chaves usadas para criptografar seus dados e pode gerenciar e auditar o uso das chaves.

Observação

O Azure Disk Encryption exige que seu cofre de chaves e suas VMs estejam na mesma região do Azure. Isso garante que os segredos de criptografia não ultrapassem limites regionais.

Você pode configurar e gerenciar seu cofre de chaves com:

PowerShell

New-AzKeyVault -Location <location> `
    -ResourceGroupName <resource-group> `
    -VaultName "myKeyVault" `
    -EnabledForDiskEncryption

CLI do Azure

az keyvault create \
    --name "myKeyVault" \
    --resource-group <resource-group> \
    --location <location> \
    --enabled-for-disk-encryption True

Portal do Azure

Um Azure Key Vault é um recurso que pode ser criado no portal do Azure usando o processo normal de criação de recursos.

  1. No menu do portal do Azure ou na Página inicial, selecione Criar um recurso.

  2. Na caixa de pesquisa, pesquise e selecione Key Vault. O painel do Key Vault será exibido.

  3. Selecione Criar. O painel Criar um cofre de chaves será exibido.

  4. Na guia Básico, insira os valores a seguir para cada configuração.

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione a assinatura na qual colocar o cofre de chaves (o padrão é sua assinatura atual)
    Grupo de recursos Selecione um grupo de recursos existente ou crie um novo para ser o proprietário do cofre de chaves
    Detalhes da instância
    Nome do cofre de chaves Insira um nome para o cofre de chaves
    Região Selecione a região na qual a VM reside
    Tipo de preço Standard. Escolha Standard ou Premium para o tipo de preço. A principal diferença é que a camada Premium permite chaves com suporte de criptografia de hardware

    Screenshot showing Key vault pane.

  5. Selecione Avançar para ir para a guia Configuração de Acesso. Você precisa alterar as políticas de acesso para serem compatíveis com a Criptografia de Disco. Por padrão, ela adiciona sua conta à política.

  6. Na guia Configuração de Acesso, insira o valor a seguir para a configuração.

    Configuração Valor
    Acesso a recursos Marque a caixa para Azure Disk Encryption para criptografia de volume. Você poderá remover sua conta se desejar, pois ela não será necessária se você quiser usar o cofre de chaves para a criptografia de disco.

  7. Selecione Examinar + criar.

  8. Depois que a validação for aprovada, para criar o cofre de chaves, selecione Criar.

Habilitar políticas de acesso no Key Vault

O Azure precisa de acesso às chaves de criptografia ou aos segredos no cofre de chaves para disponibilizá-los para a VM para inicializar e descriptografar os volumes. Você fez isso nas etapas anteriores quando alterou a Política de Acesso.

Há três políticas que podem ser habilitadas:

  • Criptografia de disco: Necessário para a criptografia do Disco do Azure.
  • Implantação: (opcional) permite que o provedor de recursos Microsoft.Compute recupere segredos desse cofre de chaves quando esse cofre de chaves for mencionado na criação de recursos, por exemplo, ao criar uma VM.
  • Implantação de modelo: (opcional) permite que o Azure Resource Manager obtenha segredos desse cofre de chaves quando este for mencionado em uma implantação de modelo.

Aqui está como habilitar a política de criptografia de disco. As outras duas políticas são semelhantes, mas usam sinalizadores diferentes.

Set-AzKeyVaultAccessPolicy -VaultName <keyvault-name> -ResourceGroupName <resource-group> -EnabledForDiskEncryption

az keyvault update --name <keyvault-name> --resource-group <resource-group> --enabled-for-disk-encryption true

Criptografar um disco de VM existente

Após a configuração do cofre de chaves, você poderá criptografar a VM usando a CLI do Azure ou o Azure PowerShell. Na primeira vez que você criptografar uma VM do Windows, você pode escolher criptografar todos os discos ou apenas o disco do sistema operacional. Em algumas distribuições do Linux, somente os discos de dados podem ser criptografados. Para se qualificar para criptografia, os discos do Windows devem ser formatados como volumes NTFS.

Aviso

Para ativar a criptografia, faça um instantâneo ou um backup dos discos gerenciados. O sinalizador SkipVmBackup a seguir informa a ferramenta de que o backup foi concluído nos discos gerenciados. Sem o backup, você não conseguirá recuperar a VM se a criptografia falhar por algum motivo.

Para habilitar a criptografia usando o PowerShell, execute o cmdlet Set-AzVmDiskEncryptionExtension.


Set-AzVmDiskEncryptionExtension `
    -ResourceGroupName <resource-group> `
    -VMName <vm-name> `
    -VolumeType [All | OS | Data]
    -DiskEncryptionKeyVaultId <keyVault.ResourceId> `
    -DiskEncryptionKeyVaultUrl <keyVault.VaultUri> `
     -SkipVmBackup

Para habilitar a criptografia usando a CLI do Azure, execute o comando az vm encryption enable e especifique o volume que você quer criptografar usando o parâmetro --volume-type [all | os | data]. Aqui temos um exemplo de como criptografar todos os volumes de uma máquina virtual:

az vm encryption enable \
    --resource-group <resource-group> \
    --name <vm-name> \
    --disk-encryption-keyvault <keyvault-name> \
    --volume-type all

Exibir o status do disco

Verifique se discos específicos estão criptografados.

Get-AzVmDiskEncryptionStatus  -ResourceGroupName <resource-group> -VMName <vm-name>

az vm encryption show --resource-group <resource-group> --name <vm-name>

Esses dois comandos retornarão o status de cada disco anexado à VM especificada.

Descriptografar unidades

Para reverter a criptografia por meio do PowerShell, execute o cmdlet Disable-AzVMDiskEncryption.

Disable-AzVMDiskEncryption -ResourceGroupName <resource-group> -VMName <vm-name>

Para a CLI do Azure, execute o comando vm encryption disable.

az vm encryption disable --resource-group <resource-group> --name <vm-name>

Estes comandos desabilitam a criptografia para volumes do tipo todos na VM especificada. Assim como ocorre com a versão da criptografia, para decidir quais discos descriptografar você pode especificar um parâmetro -VolumeType[All | OS | Data]. O padrão é All, caso não seja fornecido.

Aviso

Desabilitar a criptografia de disco de dados na VM do Windows quando os discos de dados e o sistema operacional foram criptografados não funciona conforme o esperado. Em vez disso, você deve desabilitar a criptografia em todos os discos.

No próximo exercício, você experimentará alguns desses comandos em uma nova VM.