Visão geral das opções de criptografia de disco gerenciado
Há vários tipos de criptografia disponíveis para seus discos gerenciados, incluindo ADE (Azure Disk Encryption), SSE (criptografia do lado do servidor) e criptografia no host.
A criptografia do servidor do Armazenamento em Disco do Azure (também conhecida como criptografia de dados inativos ou criptografia do Armazenamento do Azure) está sempre habilitada e criptografa automaticamente os dados armazenados nos discos gerenciados do Azure (SO e discos de dados) quando eles persistem nos clusters de armazenamento. Quando configurado com um DES (conjunto de criptografia de disco), ela também dá suporte a chaves gerenciadas pelo cliente. Ela não criptografa discos temporários ou caches de disco. Para obter detalhes completos, confira Criptografia no servidor do Armazenamento em Disco do Azure.
A criptografia no host é uma opção de Máquina Virtual que aprimora o Armazenamento em Disco do Azure Server-Side Criptografia para garantir que todos os discos temporários e caches de disco sejam criptografados em repouso e fluam criptografados para os clusters de armazenamento. Para obter detalhes completos, consulte Criptografia no host - Criptografia de ponta a ponta para dados da VM.
O Azure Disk Encryption ajuda a proteger seus dados e a atender aos compromissos de conformidade e segurança da sua organização. O ADE criptografia o SO e os discos de dados das VMs (máquinas virtuais) do Azure dentro de suas VMs usando o recurso DM-Crypt do Linux ou o recurso BitLocker do Windows. O ADE é integrado ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco, com a opção de criptografar com uma chave de criptografia de chave (KEK). Para obter detalhes completos, confira Azure Disk Encryption para VMs do Linux ou Azure Disk Encryption para VMs do Windows.
A criptografia de disco confidencial associa chaves de criptografia de disco ao TPM da máquina virtual e torna o conteúdo do disco protegido acessível somente para a VM. O estado do convidado da VM e do TPM sempre é criptografado em código atestado usando chaves liberadas por um protocolo seguro que ignora o hipervisor e o sistema operacional host. Atualmente, disponível apenas para o disco do SO. A criptografia no host pode ser usada para outros discos em uma VM Confidencial além da Criptografia de Disco Confidencial. Para obter todos os detalhes, confira VMs confidenciais das séries DCasv5 e ECasv5.
A criptografia faz parte de uma abordagem em camadas para a segurança e deve ser usada com outras recomendações a fim de proteger máquinas virtuais e os discos delas. Para obter todos os detalhes, confira Recomendações de segurança para máquinas virtuais no Azure e Restringir o acesso de importação/exportação aos discos gerenciados.
Comparação
Veja uma comparação entre SSE do Armazenamento em Disco, ADE, Criptografia no host e Criptografia de disco confidencial.
| Criptografia do lado do servidor do Armazenamento em Disco do Azure | Criptografia no host | Criptografia de Disco do Azure | Criptografia de disco confidencial (somente para o disco do sistema operacional) | |
|---|---|---|---|---|
| Criptografia em repouso (SO e discos de dados) | ✅ | ✅ | ✅ | ✅ |
| Criptografia de disco temporário | ❌ | ✅ tem suporte apenas da chave gerenciada da plataforma | ✅ | ❌ |
| Criptografia de caches | ❌ | ✅ | ✅ | ✅ |
| Fluxos de dados criptografados entre computação e armazenamento | ❌ | ✅ | ✅ | ✅ |
| Controle de chaves do cliente | ✅ Quando configurado com DES | ✅ Quando configurado com DES | ✅ Quando configurado com a KEK | ✅ Quando configurado com DES |
| Suporte ao HSM | Azure Key Vault Premium e HSM gerenciado | Azure Key Vault Premium e HSM gerenciado | Azure Key Vault Premium | Azure Key Vault Premium e HSM gerenciado |
| Não usa a CPU da VM | ✅ | ✅ | ❌ | ❌ |
| Funciona para imagens personalizadas | ✅ | ✅ | ❌Não funciona para imagens personalizadas do Linux | ✅ |
| Proteção de chave avançada | ❌ | ❌ | ❌ | ✅ |
| Status de criptografia de disco do Microsoft Defender para Nuvem* | Unhealthy | Íntegros | Íntegros | Não aplicável |
Importante
Para criptografia de disco confidencial, o Microsoft Defender para Nuvem atualmente não tem uma recomendação aplicável.
* Microsoft Defender para Nuvem tem as seguintes recomendações de criptografia de disco:
- As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento (apenas detecta Azure Disk Encryption)
- [Versão prévia]: as máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou EncryptionAtHost (detecta o Azure Disk Encryption e o EncryptionAtHost)
- [Versão prévia]: as máquinas virtuais do Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost (detecta o Azure Disk Encryption e o EncryptionAtHost)