Usar o portal do Azure para habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para discos gerenciados

Aplica-se a: ✔️ VMs Linux VMs ✔️ ✔️ Windows

O Armazenamento em Disco do Azure permite que você gerencie suas próprias chaves ao usar a criptografia do lado do servidor (SSE) para discos gerenciados, se desejar. Para obter informações conceituais sobre SSE com chaves gerenciadas pelo cliente e outros tipos de criptografia de disco gerenciado, consulte a seção Chaves gerenciadas pelo cliente de nosso artigo sobre criptografia de disco: Chaves gerenciadas pelo cliente

Pré-requisitos

Nenhuma

Restrições

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

  • Se esse recurso estiver habilitado para um disco com snapshots incrementais, ele não poderá ser desabilitado nesse disco ou em seus snapshots. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não esteja usando chaves gerenciadas pelo cliente. Você pode fazer isso com a CLI do Azure ou o módulo do Azure PowerShell.
  • Um disco e todos os snapshots incrementais associados devem ter o mesmo conjunto de criptografia de disco.
  • Apenas software e chaves HSM RSA de tamanhos de 2.048 bits, 3.072 bits e 4.096 bits são suportados, sem outras chaves ou tamanhos.
    • As chaves HSM exigem a camada premium dos cofres da Chave do Azure.
  • Apenas para discos Ultra e SSD Premium v2:
    • Os discos criados a partir de instantâneos criptografados com criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados com o mesmo conjunto de criptografia de disco.
    • As identidades gerenciadas atribuídas pelo usuário não são suportadas para discos Ultra Disks e SSD Premium v2 criptografados com chaves gerenciadas pelo cliente.
    • Atualmente, não há suporte para a criptografia de discos Ultra e discos SSD Premium v2 com chaves gerenciadas pelo cliente usando os Cofres de Chaves do Azure armazenados em um locatário diferente do Microsoft Entra ID.
  • A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) deve estar na mesma assinatura e região.
    • Os Cofres de Chaves do Azure podem ser usados a partir de uma assinatura diferente, mas devem estar na mesma região do conjunto de criptografia de disco. Como visualização, você pode usar os Cofres de Chaves do Azure de diferentes locatários do Microsoft Entra.
  • Os discos criptografados com chaves gerenciadas pelo cliente só podem ser movidos para outro grupo de recursos se a VM à qual estão conectados for deslocalizada.
  • Discos, instantâneos e imagens criptografados com chaves gerenciadas pelo cliente não podem ser movidos entre assinaturas.
  • Os discos gerenciados atualmente ou anteriormente criptografados usando o Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
  • Só pode criar até 5000 conjuntos de criptografia de disco por região e por assinatura.
  • Para obter informações sobre como usar chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, consulte Visualização: usar chaves gerenciadas pelo cliente para criptografar imagens.

As seções a seguir abordam como habilitar e usar chaves gerenciadas pelo cliente para discos gerenciados:

Configurar chaves gerenciadas pelo cliente para seus discos exige que você crie recursos em uma ordem específica, se estiver fazendo isso pela primeira vez. Primeiro, você precisará criar e configurar um Cofre de Chaves do Azure.

Configurar o Azure Key Vault

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Cofres de chaves.

    Captura de ecrã do portal do Azure com a caixa de diálogo de pesquisa expandida.

    Importante

    Seu conjunto de criptografia de disco, VM, discos e instantâneos devem estar na mesma região e assinatura para que a implantação seja bem-sucedida. Os Cofres de Chaves do Azure podem ser usados a partir de uma assinatura diferente, mas devem estar na mesma região e locatário que seu conjunto de criptografia de disco.

  3. Selecione +Criar para criar um novo Cofre de Chaves.

  4. Criar um novo grupo de recursos.

  5. Insira um nome de cofre de chaves, selecione uma região e selecione uma camada de preço.

    Nota

    Ao criar a instância do Cofre da Chave, você deve habilitar a proteção contra exclusão suave e limpeza. A exclusão suave garante que o Cofre da Chave mantenha uma chave excluída por um determinado período de retenção (padrão de 90 dias). A proteção contra limpeza garante que uma chave excluída não possa ser excluída permanentemente até que o período de retenção expire. Estas definições protegem-no contra a perda de dados devido à eliminação acidental. Essas configurações são obrigatórias ao usar um Cofre de Chaves para criptografar discos gerenciados.

  6. Selecione Rever + Criar, verifique as suas escolhas e, em seguida, selecione Criar.

    Captura de ecrã da experiência de criação do Azure Key Vault, mostrando os valores específicos que cria.

  7. Quando a implantação do cofre de chaves terminar, selecione-o.

  8. Selecione Chaves em Objetos.

  9. Selecione Gerar/Importar.

    A captura de tela do painel de configurações de recursos do Cofre da Chave mostra o botão gerar/importar dentro das configurações.

  10. Deixe o Tipo de Chave definido como RSA e o Tamanho da Chave RSA definido como 2048.

  11. Preencha as seleções restantes como quiser e selecione Criar.

    Captura de ecrã do painel de teclas Criar uma chave que aparece quando o botão Gerar/Importar é selecionado.

Adicionar uma função RBAC do Azure

Agora que você criou o cofre de chaves do Azure e uma chave, você deve adicionar uma função RBAC do Azure para poder usar seu cofre de chaves do Azure com seu conjunto de criptografia de disco.

  1. Selecione Controle de acesso (IAM) e adicione uma função.
  2. Adicione as funções de Administrador, Proprietário ou Colaborador do Cofre da Chave.

Configurar o conjunto de encriptação de disco

  1. Procure por Conjuntos de Criptografia de Disco e selecione-o.

  2. No painel Conjuntos de Criptografia de Disco , selecione +Criar.

  3. Selecione seu grupo de recursos, nomeie seu conjunto de criptografia e selecione a mesma região do cofre de chaves.

  4. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

    Nota

    Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se pretender utilizar um tipo de encriptação diferente, tem de criar um novo conjunto de encriptação de disco.

  5. Certifique-se de que Selecionar cofre de chaves do Azure e chave está selecionado.

  6. Selecione o cofre de chaves e a chave que você criou anteriormente e a versão.

  7. Se quiser ativar a rotação automática de chaves gerenciadas pelo cliente, selecione Rotação automática de chaves.

  8. Selecione Rever + Criar e, em seguida, clique em Criar.

    Captura de ecrã do painel de criação de encriptação de disco. Mostrando a assinatura, o grupo de recursos, o nome do conjunto de criptografia de disco, a região e o cofre de chaves + seletor de chaves.

  9. Navegue até o conjunto de criptografia de disco depois de implantado e selecione o alerta exibido.

    Captura de ecrã do utilizador a selecionar o alerta 'Para associar um disco, imagem ou instantâneo a este conjunto de encriptação de disco, tem de conceder permissões ao cofre de chaves'.

  10. Isso concederá permissões ao cofre de chaves para o conjunto de criptografia de disco.

    Captura de ecrã com a confirmação de que as permissões foram concedidas.

Implementar uma VM

Agora que você criou e configurou seu cofre de chaves e o conjunto de criptografia de disco, você pode implantar uma VM usando a criptografia. O processo de implantação da VM é semelhante ao processo de implantação padrão, as únicas diferenças são que você precisa implantar a VM na mesma região que seus outros recursos e opta por usar uma chave gerenciada pelo cliente.

  1. Procure máquinas virtuais e selecione + Criar para criar uma VM.

  2. No painel Básico, selecione a mesma região do conjunto de criptografia de disco e do Cofre da Chave do Azure.

  3. Preencha os outros valores no painel Básico como desejar.

    Captura de tela da experiência de criação de VM, com o valor da região realçado.

  4. No painel Discos, para Gerenciamento de chaves, selecione o conjunto de criptografia de disco, o cofre de chaves e a chave na lista suspensa.

  5. Faça as seleções restantes como quiser.

    Captura de tela da experiência de criação de VM, o painel de discos, chave gerenciada pelo cliente selecionada.

Ativar em um disco existente

Atenção

Habilitar a criptografia de disco em qualquer disco conectado a uma VM exige que você pare a VM.

  1. Navegue até uma VM que esteja na mesma região de um dos conjuntos de criptografia de disco.

  2. Abra a VM e selecione Parar.

Captura de ecrã da sobreposição principal da sua VM de exemplo, com o botão Parar realçado.

  1. Depois que a VM terminar de parar, selecione Discos e selecione o disco que deseja criptografar.

Captura de tela da sua VM de exemplo, com o painel Discos aberto, o disco do sistema operacional é realçado, como um disco de exemplo para você selecionar.

  1. Selecione Criptografia e, em Gerenciamento de chaves, selecione o cofre de chaves e a chave na lista suspensa, em Chave gerenciada pelo cliente.

  2. Selecione Guardar.

Captura de ecrã do seu disco de SO de exemplo, o painel de encriptação está aberto, a encriptação em repouso com uma chave gerida pelo cliente está selecionada, bem como o seu exemplo Azure Key Vault.

  1. Repita esse processo para quaisquer outros discos conectados à VM que você deseja criptografar.

  2. Quando os discos terminarem de alternar para chaves gerenciadas pelo cliente, se não houver outros discos conectados que você gostaria de criptografar, inicie sua VM.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Quando você configura chaves gerenciadas pelo cliente, uma identidade gerenciada é automaticamente atribuída aos seus recursos sob as cobertas. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o disco gerenciado de um diretório do Microsoft Entra para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente podem não funcionar mais. Para obter mais informações, consulte Transferindo uma assinatura entre diretórios do Microsoft Entra.

Habilitar a rotação automática de chaves em um conjunto de criptografia de disco existente

  1. Navegue até o conjunto de criptografia de disco no qual você deseja habilitar a rotação automática de chaves.

  2. Em Configurações, selecione Chave.

  3. Selecione Rotação automática da chave e selecione Guardar.