Usar chaves de criptografia gerenciadas pelo cliente para o Cache HPC do Azure

Você pode usar o Cofre da Chave do Azure para controlar a propriedade das chaves usadas para criptografar seus dados no Cache HPC do Azure. Este artigo explica como usar chaves gerenciadas pelo cliente para criptografia de dados de cache.

Nota

Todos os dados armazenados no Azure, incluindo nos discos de cache, são criptografados em repouso usando chaves gerenciadas pela Microsoft por padrão. Você só precisa seguir as etapas neste artigo se quiser gerenciar as chaves usadas para criptografar seus dados.

O Cache HPC do Azure também é protegido pela criptografia de host de VM nos discos gerenciados que armazenam seus dados armazenados em cache, mesmo se você adicionar uma chave de cliente para os discos de cache. Adicionar uma chave gerenciada pelo cliente para criptografia dupla oferece um nível extra de segurança para clientes com necessidades de alta segurança. Leia Criptografia do lado do servidor do armazenamento em disco do Azure para obter detalhes.

Há três etapas para habilitar a criptografia de chave gerenciada pelo cliente para o Cache HPC do Azure:

1. Configure um Cofre da Chave do Azure para armazenar as chaves.

2. Ao criar o Cache HPC do Azure, escolha a criptografia de chave gerenciada pelo cliente e especifique o cofre de chaves e a chave a serem usados. Opcionalmente, forneça uma identidade gerenciada para o cache usar para acessar o cofre de chaves.

   Dependendo das escolhas feitas nesta etapa, você poderá pular a etapa 3. Leia Escolha uma opção de identidade gerenciada para o cache para obter detalhes.

3. Se estiver usando uma identidade gerenciada atribuída pelo sistema ou uma identidade atribuída pelo usuário que não esteja configurada com acesso ao cofre de chaves: vá para o cache recém-criado e autorize-o a acessar o cofre de chaves.

   Se a identidade gerenciada ainda não tiver acesso ao Cofre de Chaves do Azure, sua criptografia não será completamente configurada até que você a autorize a partir do cache recém-criado (etapa 3).

   Se você usar uma identidade gerenciada pelo sistema, a identidade será criada quando o cache for criado. Você deve passar a identidade do cache para o cofre de chaves para torná-lo um usuário autorizado após a criação do cache.

   Você pode ignorar esta etapa se atribuir uma identidade gerenciada pelo usuário que já tenha acesso ao cofre de chaves.

Depois de criar o cache, não é possível alternar entre chaves gerenciadas pelo cliente e chaves gerenciadas pela Microsoft. No entanto, se o cache usar chaves gerenciadas pelo cliente, você poderá alterar a chave de criptografia, a versão da chave e o cofre de chaves conforme necessário.

Compreender os requisitos do cofre de chaves e das chaves

O cofre de chaves e a chave devem atender a esses requisitos para trabalhar com o Cache HPC do Azure.

Propriedades do cofre de chaves:

• Assinatura - Use a mesma assinatura usada para o cache.
• Região - O cofre de chaves deve estar na mesma região que o Cache HPC do Azure.
• Nível de preços - A camada padrão é suficiente para uso com o Cache HPC do Azure.
• Exclusão suave - O Cache HPC do Azure habilitará a exclusão suave se ainda não estiver configurado no cofre de chaves.
• Proteção contra purga - A proteção contra purga deve ser ativada.
• Política de acesso - As configurações padrão são suficientes.
• Conectividade de rede - o Cache HPC do Azure deve ser capaz de acessar o cofre de chaves, independentemente das configurações de ponto de extremidade escolhidas.

Principais propriedades:

• Tipo de chave - RSA
• Tamanho da chave RSA - 2048
• Ativado - Sim

Permissões de acesso ao cofre de chaves:

• O usuário que cria o Cache HPC do Azure deve ter permissões equivalentes à função de colaborador do Cofre da Chave. As mesmas permissões são necessárias para configurar e gerenciar o Azure Key Vault.

  Leia Acesso seguro a um cofre de chaves para obter mais informações.

Escolha uma opção de identidade gerenciada para o cache

Seu cache HPC usa sua credencial de identidade gerenciada para se conectar ao cofre de chaves.

O Cache HPC do Azure pode usar dois tipos de identidades gerenciadas:

• Identidade gerenciada atribuída ao sistema - Uma identidade exclusiva criada automaticamente para seu cache. Essa identidade gerenciada só existe enquanto o Cache HPC existe e não pode ser gerenciada ou modificada diretamente.

• Identidade gerenciada atribuída pelo usuário - Uma credencial de identidade autônoma que você gerencia separadamente do cache. Você pode configurar uma identidade gerenciada atribuída pelo usuário que tenha exatamente o acesso desejado e usá-la em vários caches HPC.

Se você não atribuir uma identidade gerenciada ao cache ao criá-lo, o Azure criará automaticamente uma identidade gerenciada atribuída ao sistema para o cache.

Com uma identidade gerenciada atribuída pelo usuário, você pode fornecer uma identidade que já tenha acesso ao seu cofre de chaves. (Por exemplo, ele foi adicionado a uma política de acesso ao cofre de chaves ou tem uma função RBAC do Azure que permite o acesso.) Se você usar uma identidade atribuída ao sistema ou fornecer uma identidade gerenciada que não tenha acesso, precisará solicitar acesso do cache após a criação. Esta é uma etapa manual, descrita abaixo na etapa 3.

• Saiba mais sobre identidades gerenciadas

• Aprenda as noções básicas do Azure Key Vault

1. Configurar o Azure Key Vault

Você pode configurar um cofre de chaves e uma chave antes de criar o cache ou fazê-lo como parte da criação do cache. Certifique-se de que esses recursos atendam aos requisitos descritos acima.

No momento da criação do cache, você deve especificar um cofre, uma chave e uma versão de chave a serem usados para a criptografia do cache.

Leia a documentação do Azure Key Vault para obter detalhes.

Nota

O Cofre da Chave do Azure deve usar a mesma assinatura e estar na mesma região que o Cache HPC do Azure. Certifique-se de que a região escolhida suporta ambos os produtos.

2. Crie o cache com chaves gerenciadas pelo cliente ativadas

Você deve especificar a fonte da chave de criptografia ao criar seu Cache HPC do Azure. Siga as instruções em Criar um Cache HPC do Azure e especifique o cofre de chaves e a chave na página Chaves de criptografia de disco. Você pode criar um novo cofre de chaves e uma nova chave durante a criação do cache.

Gorjeta

Se a página Chaves de criptografia de disco não for exibida, verifique se o cache está em uma das regiões suportadas.

O usuário que cria o cache deve ter privilégios iguais à função de colaborador do Cofre de Chaves ou superior.

1. Clique no botão para ativar chaves gerenciadas privadamente. Depois de alterar essa configuração, as configurações do cofre de chaves serão exibidas.

2. Clique em Selecionar um cofre de chaves para abrir a página de seleção de chaves. Escolha ou crie o cofre de chaves e a chave para criptografar dados nos discos desse cache.

   Se o Azure Key Vault não aparecer na lista, verifique estes requisitos:

   • O cache está na mesma assinatura que o cofre de chaves?
   • O cache está na mesma região do cofre de chaves?
   • Existe conectividade de rede entre o portal do Azure e o cofre da chave?

3. Depois de selecionar um cofre, selecione a chave individual entre as opções disponíveis ou crie uma nova chave. A chave deve ser uma chave RSA de 2048 bits.

4. Especifique a versão para a chave selecionada. Saiba mais sobre o controle de versão na documentação do Azure Key Vault.

Estas configurações são opcionais:

• Marque a caixa Sempre usar a versão atual da chave se quiser usar a rotação automática de chaves.

• Se você quiser usar uma identidade gerenciada específica para esse cache, selecione Usuário atribuído na seção Identidades gerenciadas e selecione a identidade a ser usada. Leia a documentação de identidades gerenciadas para obter ajuda.

  Gorjeta

  Uma identidade gerenciada atribuída pelo usuário pode simplificar a criação de cache se você passar uma identidade que já esteja configurada para acessar seu cofre de chaves. Com uma identidade gerenciada atribuída pelo sistema, você deve executar uma etapa extra após a criação do cache para autorizar a identidade atribuída pelo sistema recém-criada do cache a usar seu cofre de chaves.

  Nota

  Não é possível alterar a identidade atribuída depois de criar o cache.

Continue com o restante das especificações e crie o cache conforme descrito em Criar um cache HPC do Azure.

3. Autorize a criptografia do Cofre de Chaves do Azure a partir do cache (se necessário)

Nota

Esta etapa não é necessária se você forneceu uma identidade gerenciada atribuída pelo usuário com acesso ao cofre de chaves quando criou o cache.

Após alguns minutos, o novo Cache HPC do Azure aparece no seu portal do Azure. Vá para a página Visão geral para autorizá-lo a acessar seu Cofre de Chaves do Azure e habilitar a criptografia de chave gerenciada pelo cliente.

Gorjeta

O cache pode aparecer na lista de recursos antes que as mensagens de "implantação em andamento" sejam limpas. Verifique a sua lista de recursos após um ou dois minutos, em vez de esperar por uma notificação de sucesso.

Você deve autorizar a criptografia dentro de 90 minutos após a criação do cache. Se você não concluir esta etapa, o cache atingirá o tempo limite e falhará. Um cache com falha precisa ser recriado, não pode ser corrigido.

O cache mostra o status Aguardando chave. Clique no botão Ativar criptografia na parte superior da página para autorizar o cache a acessar o cofre de chaves especificado.

Clique em Ativar criptografia e, em seguida, clique no botão Sim para autorizar o cache a usar a chave de criptografia. Essa ação também permite a proteção de exclusão suave e limpeza (se ainda não estiver habilitada) no cofre de chaves.

Depois que o cache solicita acesso ao cofre de chaves, ele pode criar e criptografar os discos que armazenam dados armazenados em cache.

Depois de autorizar a encriptação, a Cache HPC do Azure passa por mais alguns minutos de configuração para criar os discos encriptados e a infraestrutura relacionada.

Atualizar configurações de chave

Pode alterar o cofre da chave, a chave ou a versão da chave para a sua cache a partir do portal do Azure. Clique no link Configurações de criptografia do cache para abrir a página Configurações de chave do cliente.

Não é possível alterar um cache entre chaves gerenciadas pelo cliente e chaves gerenciadas pelo sistema.

Clique no link Alterar chave e, em seguida, clique em Alterar o cofre de chaves, a chave ou a versão para abrir o seletor de chaves.

Os cofres de chaves na mesma assinatura e na mesma região que esse cache são mostrados na lista.

Depois de escolher os novos valores de chave de criptografia, clique em Selecionar. Uma página de confirmação é exibida com os novos valores. Clique em Salvar para finalizar a seleção.

Leia mais sobre chaves gerenciadas pelo cliente no Azure

Estes artigos explicam mais sobre como usar o Cofre de Chaves do Azure e chaves gerenciadas pelo cliente para criptografar dados no Azure:

• Visão geral da criptografia de armazenamento do Azure
• Criptografia de disco com chaves gerenciadas pelo cliente - Documentação para usar o Cofre de Chaves do Azure com discos gerenciados, que é um cenário semelhante ao Cache HPC do Azure

Próximos passos

Depois de criar o Cache HPC do Azure e a criptografia autorizada baseada no Cofre da Chave, continue a configurar o cache dando-lhe acesso às suas fontes de dados.

• Adicionar destinos de armazenamento