Configurar a criptografia de chave gerenciada pelo cliente em repouso na Solução VMware no Azure

  • Artigo

Este artigo ilustra como criptografar KEKs (Chaves de Criptografia de Chave) do VMware vSAN com CMKs (chaves gerenciadas pelo cliente) gerenciadas por uma instância do Azure Key Vault de propriedade do cliente.

Quando as criptografias de CMK são habilitadas na nuvem privada da Solução VMware no Azure, a Solução VMware no Azure usa a CMK do cofre de chaves para criptografar as KEKs vSAN. Cada host ESXi que participa do cluster do vSAN usa DEKs (Chaves de Criptografia de Disco) geradas aleatoriamente que o ESXi usa para criptografar dados inativos de disco. O vSAN criptografa todas as DEKs com uma KEK fornecida pelo sistema de gerenciamento de chaves da Solução VMware no Azure. A nuvem privada da Solução VMware no Azure e o cofre de chaves não precisam estar na mesma assinatura.

Quando gerenciar suas chaves de criptografia, você pode:

  • Controlar o acesso do Azure às chaves vSAN.
  • Gerenciar centralmente o ciclo de vida das CMKs.
  • Revogar o acesso do Azure à KEK.

O recurso de CMKs (chaves gerenciadas pelo cliente) dá suporte aos tipos de chave a seguir e seus tamanhos de chave:

  • RSA: 2048, 3072 e 4096
  • RSA-HSM: 2048, 3072 e 4096

Topologia

O diagrama a seguir mostra como a Solução VMware no Azure usa o Microsoft Entra ID e um cofre de chaves para entregar a CMK.

Diagrama que mostra a topologia de chaves gerenciadas pelo cliente.

Pré-requisitos

Antes de começar a habilitar a funcionalidade de CMK, verifique se os requisitos listados a seguir são atendidos:

  • Você precisará de um cofre de chaves para usar a funcionalidade de CMK. Se você não tiver um cofre de chaves, poderá criar um seguindo o Início Rápido: criar um cofre de chaves usando o portal do Azure.

  • Se habilitou o acesso restrito ao Key Vault, permita que os Serviços Confiáveis da Microsoft ignorem o firewall do Key Vault. Vá para Definir as configurações de rede do Azure Key Vault para saber mais.

    Observação

    Depois que as regras de firewall estiverem ativas, os usuários poderão realizar apenas operações de plano de dados do Key Vault quando as solicitações deles originarem-se de redes virtuais ou intervalos de endereços IPv4 permitidos. Essa restrição também se aplica ao acessar o Key Vault a partir do portal do Azure. Isso também afeta o seletor do Key Vault pela Solução VMware no Azure. Os usuários poderão ver uma lista de cofres de chaves, mas não listar as chaves, se as regras de firewall impedirem que o computador cliente ou se o usuário não tiver permissão de lista no Key Vault.

  • Habilite a Identidade Atribuída pelo Sistema na nuvem privada da Solução VMware no Azure se você não a habilitou durante o provisionamento do SDDC (data center definido pelo software).

    Para habilitar a Identidade Atribuída pelo Sistema:

    1. Entre no portal do Azure.

    2. Acesse a Solução VMware no Azure e localize sua nuvem privada.

    3. No painel à esquerda, abra Gerenciar e selecione Identidade.

    4. Em Atribuído pelo Sistema, selecione Habilitar>Salvar. A Identidade Atribuída pelo Sistema agora deverá estar habilitada.

    Depois que a identidade atribuída pelo sistema estiver habilitada, você verá a guia da ID do Objeto. Anote a ID do Objeto para uso posterior.

  • Configure a política de acesso do cofre de chaves para conceder permissões à identidade gerenciada. Você a usará para autorizar o acesso ao cofre de chaves.

    1. Entre no portal do Azure.
    2. Navegue até Cofres de chaves e localize o cofre de chaves que quer usar.
    3. No painel à esquerda, em Configurações, selecione Políticas de acesso.
    4. Em Políticas de acesso, selecione Adicionar Política de Acesso e, depois:
      1. No menu suspensa Permissões da Chave, clique em Selecionar, Obter, Encapsular Chave e Desencapsular chave.
      2. Em Selecionar entidade de segurança, selecionar Nenhuma selecionada. Será aberta uma nova janela Entidade de segurança com uma caixa de pesquisa.
      3. Na caixa de pesquisa, cole a ID do Objeto da etapa anterior. Ou pesquise o nome da nuvem privada que quer usar. Clique em Selecionar quando terminar.
      4. Selecione AICIONAR.
      5. Verifique se a nova política aparece na seção Aplicativo da política atual.
      6. Selecione Salvar para confirmar as alterações.

Ciclo de vida da versão da chave gerenciada pelo cliente

É possível alterar a CMK criando uma versão da chave. A criação de uma nova versão não interromperá o fluxo de trabalho da VM (máquina virtual).

Na Solução VMware no Azure, a rotação da versão de chave CMK dependerá da configuração da seleção de chave escolhida durante a instalação da CMK.

Configuração de seleção de chave 1

Um cliente habilita a criptografia de CMK sem fornecer uma versão de chave específica para a CMK. A Solução VMware no Azure seleciona a versão de chave mais recente da CMK no cofre de chaves do cliente para criptografar as KEKs do vSAN. A Solução VMware no Azure acompanha a CMK para rotação de versão. Quando uma nova versão da chave CMK no Key Vault é criada, ela é capturada pela Solução VMware no Azure automaticamente para criptografar KEKs do vSAN.

Observação

A Solução VMware no Azure pode levar até dez minutos para detectar uma nova versão de chave de rotação automática.

Configuração de seleção de chave 2

Um cliente pode habilitar a criptografia de CMK para uma versão de chave CMK especificada para fornecer o URI de versão de chave completa na opção Inserir Chave do URI. Quando a chave atual do cliente expirar, ele precisará estender a expiração da chave CMK ou desabilitar a CMK.

Habilitar a CMK com a identidade atribuída pelo sistema

A identidade atribuída ao sistema é restrita a uma por recurso e está vinculada ao ciclo de vida do recurso. Você pode conceder permissões à identidade gerenciada no recurso do Azure. A identidade gerenciada é autenticada com o Microsoft Entra ID, portanto, você não precisa armazenar nenhuma credencial no código.

Importante

Verifique se o Key Vault está na mesma região que a nuvem privada da Solução VMware no Azure.

Navegue até a instância do Key Vault e forneça acesso ao SDDC no Key Vault usando a ID da entidade de segurança capturada na guia Habilitar MSI.

  1. Na nuvem privada da Solução VMware no Azure, em Gerenciar, selecione Criptografia. Selecione CMKs (Chaves gerenciadas pelo cliente).

  2. A CMK fornece duas opções para Seleção de Chaves a partir do Key Vault:

    Opção 1:

    1. Em Chave de criptografia, escolha Selecionar no Key Vault.
    2. Selecione o tipo de criptografia. Depois, selecione a opção Selecionar Key Vault e chave.
    3. Selecione Key Vault e chave na lista suspensa. Em seguida, escolha Selecionar.

    Opção 2:

    1. Em Chave de criptografia, selecione Inserir chave a partir do URI.
    2. Insira um URI de chave específico na caixa URI da Chave.

    Importante

    Se você quiser selecionar uma versão de chave específica em vez da versão mais recente selecionada automaticamente, precisará especificar o URI da Chave com a versão da chave. Essa opção afeta o ciclo de vida da versão da chave CMK.

    A opção HSM (Módulo de Segurança de Hardware) Gerenciado pelo Key Vault só tem suporte com a opção de URI de chave.

  3. Selecione Salvar para conceder acesso ao recurso.

Mudar de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft

Quando um cliente quiser mudar de uma CMK para uma MMK (chave gerenciada pela Microsoft), a carga de trabalho da VM não será interrompida. Para fazer a alteração de CMK para MMK:

  1. Em Gerenciar, selecione Criptografia, na nuvem privada da Solução VMware no Azure.
  2. Selecione Chaves gerenciadas pela Microsoft (MMK).
  3. Selecione Salvar.

Limitações

O Key Vault deve ser configurado como recuperável. Você precisa:

  • Configure o Key Vault com a opção Exclusão Temporária.
  • Ative a Proteção de Limpeza para proteger contra a exclusão forçada do cofre de segredo mesmo após a exclusão temporária.

A atualização das configurações da CMK não funcionará se a chave tiver expirado ou se a chave de acesso da Solução VMware no Azure tiver sido revogada.

Solução de problemas e melhores práticas

Aqui estão dicas de solução de problemas para alguns problemas comuns que você pode encontrar e também melhores práticas a serem seguidas.

Exclusão acidental de uma chave

Se você excluir acidentalmente sua chave no Key Vault, a nuvem privada não poderá executar algumas operações de modificação de cluster. Para evitar esse cenário, recomendamos manter as exclusões temporárias habilitadas no cofre de chaves. Essa opção garante que, se uma chave for excluída, ela possa ser recuperada dentro de um período de 90 dias como parte da retenção padrão da exclusão temporária. Se você estiver dentro do período de 90 dias, poderá restaurar a chave para resolver o problema.

Restaurar a permissão do cofre de chaves

Se você tiver uma nuvem privada que perdeu acesso à CMK, verifique se a MSI (Identidade do Sistema Gerenciado) exige permissões no cofre de chaves. A notificação de erro retornada do Azure pode não indicar corretamente a MSI que exige permissões no cofre de chaves como a causa raiz. Lembre-se que as permissões necessárias são get, wrapKey e unwrapKey. Confira a etapa 4 em Pré-requisitos.

Corrigir uma chave expirada

Se você não estiver usando a função de rotação automática e a CMK tiver expirado no cofre de chaves, será possível alterar a data de validade na chave.

Restaurar o acesso ao cofre de chaves

Verifique se a MSI é usada para fornecer acesso de nuvem privada ao cofre de chaves.

Exclusão de MSI

Se você excluir acidentalmente a MSI associada a uma nuvem privada, será necessário desabilitar a CMK. Em seguida, siga as etapas para habilitar a CMK desde o início.

Próximas etapas