Girar chaves gerenciadas pelo cliente para VMs confidenciais

  • Artigo

As máquinas virtuais confidenciais (VMs confidenciais) no Azure dão suporte a chaves gerenciadas pelo cliente. As chaves gerenciadas pelo cliente ajudam as VMs confidenciais e os artefatos associados a funcionarem corretamente. Você pode gerenciar essas chaves no Cofre de Chaves do Azure ou por meio de um Módulo de Segurança de Hardware gerenciado (HSM gerenciado). Este artigo se concentra no gerenciamento das chaves por meio de um HSM gerenciado, salvo indicação em contrário.

Se quiser usar uma chave gerenciada pelo cliente, forneça um recurso de Conjunto de Criptografia de Disco ao criar sua VM confidencial. O Conjunto de Criptografia de Disco deve fazer referência à chave gerenciada pelo cliente. Normalmente, você pode associar um único Conjunto de Criptografia de Disco a várias VMs confidenciais. É recomendável girar periodicamente uma chave gerenciada pelo cliente como uma prática recomendada de segurança. A frequência da rotação é uma decisão de política organizacional. A rotação também é necessária se uma chave gerenciada pelo cliente for comprometida.

Alterar chave gerenciada pelo cliente

Você pode alterar a chave que está usando para VMs confidenciais a qualquer momento. Para girar uma chave gerenciada pelo cliente:

  1. Inicie sessão no portal do Azure.
  2. Vá para o serviço de Máquinas Virtuais .
  3. Pare todas as VMs confidenciais com o mesmo Conjunto de Criptografia de Disco. Se uma ou mais VMs não estiverem no estado interrompido, nenhuma das VMs poderá receber a nova chave.
  4. Vá para o serviço Conjuntos de Criptografia de Disco .
  5. Selecione o recurso Conjunto de Criptografia de Disco associado à sua VM confidencial.
  6. No menu do recurso, em Configurações, selecione Chave.
  7. Selecione Alterar chave.
  8. Selecione o cofre de chaves, a chave e a versão apropriados.
  9. Guardar as suas alterações. A operação de salvamento atualiza a chave para todos os artefatos confidenciais da VM.

Repetir a rotação da chave

Em casos raros, a chave gerenciada pelo cliente pode não ser girada para todas as VMs confidenciais, mesmo quando todas as VMs foram interrompidas. Se a chave gerenciada pelo cliente não for girada, o recurso Conjunto de Criptografia de Disco ainda conterá uma referência à chave antiga. Nesse estado, algumas VMs confidenciais podem ter a nova chave e outras podem ter a chave antiga.

Para resolver esse problema, repita as etapas para atualizar o conjunto de criptografia de disco.

Limitações

  • Atualmente, não há suporte para a rotação automática de chaves para VMs confidenciais.
  • A rotação de chaves não é suportada para discos efêmeros. É recomendável ter um conjunto de criptografia de disco separado para VMs confidenciais com um disco efêmero. Se VMs confidenciais com discos efêmeros e não efêmeros compartilharem o mesmo Conjunto de Criptografia de Disco, você deverá excluir as VMs confidenciais com discos efêmeros antes de girar as chaves para as VMs confidenciais com discos não efêmeros.