Encriptação do lado do servidor do Armazenamento de Discos do Azure

Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes

A maioria dos discos geridos do Azure é encriptada com a encriptação do Armazenamento do Azure, que utiliza a encriptação do lado do servidor (SSE) para proteger os seus dados e o ajudar a cumprir os seus compromissos organizacionais em termos de segurança e conformidade. A encriptação do Armazenamento do Azure encripta automaticamente os seus dados armazenados em discos geridos do Azure (SO e discos de dados) em repouso por predefinição ao mantê-los na cloud. No entanto, os discos com criptografia no host habilitada não são criptografados por meio do Armazenamento do Azure. Nos discos com encriptação no anfitrião ativada, o servidor que aloja sua VM fornece a encriptação para os seus dados e esses dados encriptados fluem para o Armazenamento do Azure.

Os dados nos discos gerenciados do Azure são criptografados de forma transparente usando criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com FIPS 140-2. Para obter mais informações sobre os módulos criptográficos subjacentes aos discos gerenciados do Azure, consulte API de criptografia: próxima geração

A criptografia do Armazenamento do Azure não afeta o desempenho dos discos gerenciados e não há custo extra. Para obter mais informações sobre a criptografia do Armazenamento do Azure, consulte Criptografia do Armazenamento do Azure.

Nota

Os discos temporários não são discos gerenciados e não são criptografados pelo SSE, a menos que você habilite a criptografia no host.

Sobre o gerenciamento de chaves de criptografia

Você pode confiar em chaves gerenciadas pela plataforma para a criptografia do disco gerenciado ou pode gerenciar a criptografia usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, poderá especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar todos os dados em discos gerenciados.

As seções a seguir descrevem cada uma das opções para o gerenciamento de chaves com mais detalhes.

Chaves gerenciadas pela plataforma

Por padrão, os discos gerenciados usam chaves de criptografia gerenciadas pela plataforma. Todos os discos gerenciados, instantâneos, imagens e dados gravados em discos gerenciados existentes são automaticamente criptografados em repouso com chaves gerenciadas pela plataforma. As chaves gerenciadas pela plataforma são gerenciadas pela Microsoft.

Chaves geridas pelo cliente

Pode optar por gerir a encriptação ao nível de cada disco gerido, com as suas próprias chaves. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. As chaves geridas pelo cliente oferecem uma maior flexibilidade para gerir os controlos de acesso.

Você deve usar um dos seguintes armazenamentos de chaves do Azure para armazenar suas chaves gerenciadas pelo cliente:

• Azure Key Vault
• Módulo de Segurança de Hardware Gerenciado (HSM) do Azure Key Vault

Pode importar as chaves RSA para o Cofre da Chave ou gerar novas chaves RSA no Cofre da Chave do Azure. Os discos gerenciados do Azure lidam com a criptografia e a descriptografia de forma totalmente transparente usando a criptografia de envelope. Ele criptografa dados usando uma chave de criptografia de dados baseada em AES 256 (DEK), que é, por sua vez, protegida usando suas chaves. O serviço de armazenamento gera chaves de criptografia de dados e as criptografa com chaves gerenciadas pelo cliente usando criptografia RSA. A criptografia de envelope permite que você gire (altere) suas chaves periodicamente de acordo com suas políticas de conformidade sem afetar suas VMs. Quando você gira suas chaves, o serviço de armazenamento criptografa novamente as chaves de criptografia de dados com as novas chaves gerenciadas pelo cliente.

Os discos gerenciados e o Cofre da Chave ou HSM gerenciado devem estar na mesma região do Azure, mas podem estar em assinaturas diferentes. Eles também devem estar no mesmo locatário do Microsoft Entra, a menos que você esteja usando Criptografar discos gerenciados com chaves gerenciadas pelo cliente entre locatários (visualização).

Controlo total das suas chaves

Você deve conceder acesso a discos gerenciados em seu Cofre de Chaves ou HSM gerenciado para usar suas chaves para criptografar e descriptografar a DEK. Isto permite-lhe o controlo total dos seus dados e chaves. Você pode desativar suas chaves ou revogar o acesso a discos gerenciados a qualquer momento. Você também pode auditar o uso da chave de criptografia com o monitoramento do Cofre de Chaves do Azure para garantir que apenas discos gerenciados ou outros serviços confiáveis do Azure estejam acessando suas chaves.

Importante

Quando uma chave é desativada, excluída ou expirada, todas as VMs com SO ou discos de dados que usam essa chave serão automaticamente desligadas. Após o desligamento automatizado, as VMs não inicializarão até que a chave seja habilitada novamente ou você atribua uma nova chave.

Geralmente, a E/S de disco (operações de leitura ou gravação) começa a falhar uma hora depois que uma chave é desabilitada, excluída ou expirada.

O diagrama a seguir mostra como os discos gerenciados usam a ID do Microsoft Entra e o Cofre da Chave do Azure para fazer solicitações usando a chave gerenciada pelo cliente:

A lista a seguir explica o diagrama com mais detalhes:

1. Um administrador do Cofre de Chaves do Azure cria recursos do Cofre de Chaves.
2. O administrador do cofre de chaves importa suas chaves RSA para o Cofre de chaves ou gera novas chaves RSA no Cofre de chaves.
3. Esse administrador cria uma instância do recurso Conjunto de Criptografia de Disco, especificando uma ID do Cofre de Chaves do Azure e uma URL de chave. O Conjunto de Criptografia de Disco é um novo recurso introduzido para simplificar o gerenciamento de chaves para discos gerenciados.
4. Quando um conjunto de criptografia de disco é criado, uma identidade gerenciada atribuída ao sistema é criada no Microsoft Entra ID e associada ao conjunto de criptografia de disco.
5. Em seguida, o administrador do cofre de chaves do Azure concede a permissão de identidade gerenciada para executar operações no cofre de chaves.
6. Um usuário de VM cria discos associando-os ao conjunto de criptografia de disco. O usuário da VM também pode habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para recursos existentes, associando-as ao conjunto de criptografia de disco.
7. Os discos gerenciados usam a identidade gerenciada para enviar solicitações ao Cofre de Chaves do Azure.
8. Para ler ou gravar dados, os discos gerenciados enviam solicitações ao Cofre de Chaves do Azure para criptografar (encapsular) e descriptografar (desempacotar) a chave de criptografia de dados para executar a criptografia e a descriptografia dos dados.

Para revogar o acesso a chaves gerenciadas pelo cliente, consulte Azure Key Vault PowerShell e Azure Key Vault CLI. A revogação do acesso bloqueia efetivamente o acesso a todos os dados na conta de armazenamento, uma vez que a chave de encriptação está inacessível pelo Armazenamento do Azure.

Rotação automática de chaves gerenciadas pelo cliente

Geralmente, se você estiver usando chaves gerenciadas pelo cliente, deverá habilitar a rotação automática de chaves para a versão de chave mais recente. A rotação automática de chaves ajuda a garantir que as suas chaves estão seguras. Um disco faz referência a uma chave através do seu conjunto de encriptação de disco. Quando você habilita a rotação automática para um conjunto de criptografia de disco, o sistema atualiza automaticamente todos os discos gerenciados, instantâneos e imagens que fazem referência ao conjunto de criptografia de disco para usar a nova versão da chave dentro de uma hora. Para saber como habilitar chaves gerenciadas pelo cliente com rotação automática de chaves, consulte Configurar um Cofre de Chaves do Azure e DiskEncryptionSet com rotação automática de chaves.

Nota

As máquinas virtuais não são reinicializadas durante a rotação automática de chaves.

Se não conseguir ativar a rotação automática de chaves, pode utilizar outros métodos para alertá-lo antes de as chaves expirarem. Dessa forma, você pode se certificar de girar suas chaves antes da expiração e manter a continuidade dos negócios. Você pode usar uma Política do Azure ou uma Grade de Eventos do Azure para enviar uma notificação quando uma chave expirar em breve.

Restrições

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

• Se esse recurso estiver habilitado para um disco com snapshots incrementais, ele não poderá ser desabilitado nesse disco ou em seus snapshots. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não esteja usando chaves gerenciadas pelo cliente. Você pode fazer isso com a CLI do Azure ou o módulo do Azure PowerShell.
• Apenas software e chaves HSM RSA de tamanhos de 2.048 bits, 3.072 bits e 4.096 bits são suportados, sem outras chaves ou tamanhos.
  • As chaves HSM exigem a camada premium dos cofres da Chave do Azure.
• Apenas para discos Ultra e SSD Premium v2:
  • Os instantâneos criados a partir de discos criptografados com criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados com as mesmas chaves gerenciadas pelo cliente.
  • As identidades gerenciadas atribuídas pelo usuário não são suportadas para discos Ultra Disks e SSD Premium v2 criptografados com chaves gerenciadas pelo cliente.
• A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) deve estar na mesma assinatura e região.
  • Os Cofres de Chaves do Azure podem ser usados a partir de uma assinatura diferente, mas devem estar na mesma região do conjunto de criptografia de disco. Como visualização, você pode usar os Cofres de Chaves do Azure de diferentes locatários do Microsoft Entra.
• Os discos criptografados com chaves gerenciadas pelo cliente só podem ser movidos para outro grupo de recursos se a VM à qual estão conectados for deslocalizada.
• Discos, instantâneos e imagens criptografados com chaves gerenciadas pelo cliente não podem ser movidos entre assinaturas.
• Os discos gerenciados atualmente ou anteriormente criptografados usando o Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
• Só pode criar até 5000 conjuntos de criptografia de disco por região e por assinatura.
• Para obter informações sobre como usar chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, consulte Visualização: usar chaves gerenciadas pelo cliente para criptografar imagens.

Regiões suportadas

As chaves gerenciadas pelo cliente estão disponíveis em todas as regiões em que os discos gerenciados estão disponíveis.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Quando você configura chaves gerenciadas pelo cliente, uma identidade gerenciada é automaticamente atribuída aos seus recursos sob as cobertas. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o disco gerenciado de um diretório do Microsoft Entra para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente podem não funcionar mais. Para obter mais informações, consulte Transferindo uma assinatura entre diretórios do Microsoft Entra.

Para habilitar chaves gerenciadas pelo cliente para discos gerenciados, consulte nossos artigos sobre como habilitá-lo com o módulo do Azure PowerShell, a CLI do Azure ou o portal do Azure.

Consulte Criar um disco gerenciado a partir de um snapshot com a CLI para obter um exemplo de código.

Criptografia no host - Criptografia de ponta a ponta para seus dados de VM

Quando você habilita a criptografia no host, essa criptografia começa no próprio host da VM, o servidor do Azure ao qual sua VM está alocada. Os dados do disco temporário e dos caches de disco de SO/dados são armazenados nesse host de VM. Depois de habilitar a criptografia no host, todos esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento, onde persistem. Essencialmente, a criptografia no host criptografa seus dados de ponta a ponta. A criptografia no host não usa a CPU da VM e não afeta o desempenho da VM.

Discos temporários e discos efêmeros do sistema operacional são criptografados em repouso com chaves gerenciadas pela plataforma quando você habilita a criptografia de ponta a ponta. Os caches do sistema operacional e do disco de dados são criptografados em repouso com chaves gerenciadas pelo cliente ou pela plataforma, dependendo do tipo de criptografia de disco selecionado. Por exemplo, se um disco for criptografado com chaves gerenciadas pelo cliente, o cache do disco será criptografado com chaves gerenciadas pelo cliente e, se um disco for criptografado com chaves gerenciadas pela plataforma, o cache do disco será criptografado com chaves gerenciadas pela plataforma.

Restrições

• Compatível com Ultra Disks de tamanho de sector 4k e SSD Premium v2.
• Suportado apenas em Ultra Disks de tamanho de setor 512e e SSD Premium v2 se tiverem sido criados após 13/05/2023.
  • Para discos criados antes dessa data, crie um snapshot do disco e crie um novo disco usando o snapshot.
• Não pode ser habilitado em máquinas virtuais (VMs) ou conjuntos de dimensionamento de máquinas virtuais que atualmente ou já tiveram a Criptografia de Disco do Azure habilitada.
• A Criptografia de Disco do Azure não pode ser habilitada em discos com criptografia no host habilitada.
• A criptografia pode ser habilitada em conjuntos de escala de máquina virtual existentes. No entanto, apenas as novas VMs criadas após a ativação da criptografia são automaticamente criptografadas.
• As VMs existentes devem ser desalocadas e realocadas para serem criptografadas.

Disponibilidade regional

A criptografia no host está disponível em todas as regiões para todos os tipos de disco.

Tamanhos de VM suportados

A lista completa de tamanhos de VM suportados pode ser extraída programaticamente. Para saber como recuperá-los programaticamente, consulte a seção Localizando tamanhos de VM com suporte do módulo do Azure PowerShell ou dos artigos da CLI do Azure.

Para habilitar a criptografia de ponta a ponta usando criptografia no host, consulte nossos artigos sobre como habilitá-la com o módulo do Azure PowerShell, a CLI do Azure ou o portal do Azure.

Encriptação dupla inativa

Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave sendo comprometida agora podem optar por uma camada extra de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Essa nova camada pode ser aplicada a sistemas operacionais persistentes e discos de dados, instantâneos e imagens, todos os quais serão criptografados em repouso com criptografia dupla.

Restrições

A criptografia dupla em repouso não é suportada atualmente com discos Ultra ou SSD Premium v2.

Regiões suportadas

A criptografia dupla está disponível em todas as regiões em que os discos gerenciados estão disponíveis.

Para habilitar a criptografia dupla em repouso para discos gerenciados, consulte nossos artigos sobre como habilitá-la com o módulo do Azure PowerShell, a CLI do Azure ou o portal do Azure.

Criptografia do lado do servidor versus criptografia de disco do Azure

A Criptografia de Disco do Azure aproveita o recurso DM-Crypt do Linux ou o recurso BitLocker do Windows para criptografar discos gerenciados com chaves gerenciadas pelo cliente na VM convidada. A criptografia do lado do servidor com chaves gerenciadas pelo cliente melhora o ADE permitindo que você use quaisquer tipos de sistema operacional e imagens para suas VMs criptografando dados no serviço de armazenamento.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Quando você configura chaves gerenciadas pelo cliente, uma identidade gerenciada é automaticamente atribuída aos seus recursos sob as cobertas. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o disco gerenciado de um diretório do Microsoft Entra para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente podem não funcionar mais. Para obter mais informações, consulte Transferindo uma assinatura entre diretórios do Microsoft Entra.

Próximos passos

• Habilite a criptografia de ponta a ponta usando a criptografia no host com o módulo do Azure PowerShell, a CLI do Azure ou o portal do Azure.
• Habilite a criptografia dupla em repouso para discos gerenciados com o módulo do Azure PowerShell, a CLI do Azure ou o portal do Azure.
• Habilite chaves gerenciadas pelo cliente para discos gerenciados com o módulo do Azure PowerShell, a CLI do Azure ou o portal do Azure.
• Explore os modelos do Azure Resource Manager para criar discos criptografados com chaves gerenciadas pelo cliente
• O que é o Azure Key Vault?