Visão geral das opções de criptografia de disco gerenciado
Há vários tipos de criptografia disponíveis para seus discos gerenciados, incluindo Azure Disk Encryption (ADE), Server-Side Encryption (SSE) e criptografia no host.
A Criptografia do Lado do Servidor do Armazenamento em Disco do Azure (também conhecida como criptografia em repouso ou criptografia do Armazenamento do Azure) está sempre habilitada e criptografa automaticamente os dados armazenados nos discos gerenciados do Azure (SO e discos de dados) ao persistir nos Clusters de Armazenamento. Quando configurado com um conjunto de criptografia de disco (DES), ele também suporta chaves gerenciadas pelo cliente. Ele não criptografa discos temporários ou caches de disco. Para obter detalhes completos, consulte Criptografia do lado do servidor do Armazenamento em Disco do Azure.
A criptografia no host é uma opção de Máquina Virtual que aprimora a Criptografia do Lado do Servidor do Armazenamento em Disco do Azure para garantir que todos os discos temporários e caches de disco sejam criptografados em repouso e fluam criptografados para os clusters de Armazenamento. Para obter detalhes completos, consulte Criptografia no host - Criptografia de ponta a ponta para seus dados de VM.
O Azure Disk Encryption ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. O ADE criptografa o sistema operacional e os discos de dados das máquinas virtuais (VMs) do Azure dentro de suas VMs usando o recurso DM-Crypt do Linux ou o recurso BitLocker do Windows. O ADE é integrado ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco, com a opção de criptografar com uma chave de criptografia de chave (KEK). Para obter detalhes completos, consulte Azure Disk Encryption para VMs Linux ou Azure Disk Encryption para VMs Windows.
A criptografia de disco confidencial vincula as chaves de criptografia de disco ao TPM da máquina virtual e torna o conteúdo do disco protegido acessível apenas à VM. O estado do convidado TPM e VM é sempre criptografado em código atestado usando chaves liberadas por um protocolo seguro que ignora o hipervisor e o sistema operacional host. Atualmente disponível apenas para o disco do SO; O suporte a discos temporários está em visualização. A criptografia no host pode ser usada para outros discos em uma VM confidencial, além da criptografia de disco confidencial. Para obter detalhes completos, consulte VMs confidenciais das séries DCasv5 e ECasv5.
A criptografia faz parte de uma abordagem em camadas para a segurança e deve ser usada com outras recomendações para proteger máquinas virtuais e seus discos. Para obter detalhes completos, consulte Recomendações de segurança para máquinas virtuais no Azure e Restringir o acesso de importação/exportação a discos gerenciados.
Comparação
Aqui está uma comparação entre SSE, ADE, criptografia no host e criptografia de disco confidencial.
Criptografia do lado do servidor do Azure Disk Storage | Encriptação no Anfitrião | Azure Disk Encryption | Encriptação de disco confidencial (apenas para o disco do SO) | |
---|---|---|---|---|
Encriptação em repouso (SO e discos de dados) | ✅ | ✅ | ✅ | ✅ |
Encriptação de disco temporário | ❌ | ✅ Suportado apenas com chave gerenciada pela plataforma | ✅ | ✅Em Pré-visualização |
Criptografia de caches | ❌ | ✅ | ✅ | ✅ |
Fluxos de dados criptografados entre computação e armazenamento | ❌ | ✅ | ✅ | ✅ |
Controlo de chaves pelo cliente | ✅ Quando configurado com DES | ✅ Quando configurado com DES | ✅ Quando configurado com KEK | ✅ Quando configurado com DES |
Suporte HSM | Azure Key Vault Premium e HSM gerenciado | Azure Key Vault Premium e HSM gerenciado | Azure Key Vault Premium | Azure Key Vault Premium e HSM gerenciado |
Não usa a CPU da sua VM | ✅ | ✅ | ❌ | ❌ |
Funciona para imagens personalizadas | ✅ | ✅ | ❌ Não funciona para imagens Linux personalizadas | ✅ |
Proteção de chave aprimorada | ❌ | ❌ | ❌ | ✅ |
Status de criptografia de disco do Microsoft Defender for Cloud* | Mau estado de funcionamento | Bom estado de funcionamento | Bom estado de funcionamento | Não aplicável |
Importante
Para criptografia de disco confidencial, o Microsoft Defender for Cloud não tem atualmente uma recomendação aplicável.
* O Microsoft Defender for Cloud tem as seguintes recomendações de encriptação de disco:
- Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada (Somente deteta criptografia no host)
- As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento (deteta apenas a criptografia de disco do Azure)
- As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost (Deteta a Criptografia de Disco do Azure e a EncryptionAtHost)
- As máquinas virtuais Linux devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost (Deteta a Criptografia de Disco do Azure e a EncryptionAtHost)