Azure Disk Encryption para Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Descrição geral
O Azure Disk Encryption aproveita o subsistema dm-crypt no Linux para fornecer criptografia de disco completo em distribuições Linux do Azure selecionadas. Esta solução está integrada com o Azure Key Vault para gerir chaves e segredos de encriptação de disco.
Pré-requisitos
Para obter uma lista completa de pré-requisitos, consulte Azure Disk Encryption for Linux VMs, especificamente as seguintes seções:
- VMs e sistemas operacionais suportados
- Requisitos adicionais da VM
- Requisitos de rede
- Requisitos do armazenamento de chaves de encriptação
Esquema de extensão
Há duas versões do esquema de extensão para o Azure Disk Encryption (ADE):
- v1.1 - Um esquema recomendado mais recente que não usa as propriedades do Microsoft Entra.
- v0.1 - Um esquema mais antigo que requer propriedades do Microsoft Entra.
Para selecionar um esquema de destino, a typeHandlerVersion propriedade deve ser definida como igual à versão do esquema que você deseja usar.
Esquema v1.1: Sem ID do Microsoft Entra (recomendado)
O esquema v1.1 é recomendado e não requer propriedades do Microsoft Entra.
Nota
O DiskFormatQuery parâmetro foi preterido. Sua funcionalidade foi substituída pela opção EncryptFormatAll, que é a maneira recomendada de formatar discos de dados no momento da criptografia.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Esquema v0.1: com ID do Microsoft Entra
O esquema 0.1 requer AADClientID e ou AADClientSecret AADClientCertificate.
Utilização de AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Utilização de AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valores de propriedade
Nota: Todos os valores de propriedade diferenciam maiúsculas de minúsculas.
| Nome | Valor / Exemplo | Tipo de Dados |
|---|---|---|
| apiVersion | 2019-07-01 | data |
| editora | Microsoft.Azure.Segurança | string |
| tipo | AzureDiskEncryptionForLinux | string |
| typeHandlerVersion | 1.1, 0.1 | número inteiro |
| (esquema 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (esquema 0.1) AADClientSecret | password | string |
| (esquema 0.1) AADClientCertificate | impressão digital | string |
| (facultativo) (esquema 0.1) Frase secreta | password | string |
| DiskFormatQuery | {"dev_path":"","nome":"","file_system":""} | Dicionário JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
| (opcional - padrão RSA-OAEP) KeyEncryptionAlgorithm | «RSA-OAEP», «RSA-OAEP-256», «RSA1_5» | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (facultativo) KeyEncryptionKeyURL | url | string |
| (facultativo) KekVaultResourceId | url | string |
| (facultativo) SequenceVersion | uniqueidentifier | string |
| VolumeType | SO, Dados, Todos | string |
Implementação de modelos
Para obter um exemplo de implantação de modelo com base no esquema v1.1, consulte o Modelo de Início Rápido do Azure encrypt-running-linux-vm-without-aad.
Para obter um exemplo de implantação de modelo com base no esquema v0.1, consulte Azure Quickstart Template encrypt-running-linux-vm.
Aviso
- Se já tiver utilizado o Azure Disk Encryption com o Microsoft Entra ID para encriptar uma VM, terá de continuar a utilizar esta opção para encriptar a VM.
- Ao encriptar os volumes do SO Linux, a VM deverá ser considerada indisponível. Recomendamos vivamente evitar inícios de sessão SSH enquanto a encriptação está a decorrer para evitar problemas que bloqueiem ficheiros abertos que precisem de ser acedidos durante o processo de encriptação. Para verificar o progresso, use o cmdlet Get-AzVMDiskEncryptionStatus PowerShell ou o comando vm encryption show CLI. Este processo deve demorar algumas horas para um volume de SO de 30 GB, mais tempo adicional para encriptar os volumes de dados. O tempo de encriptação do volume de dados será proporcional ao tamanho e à quantidade dos volumes de dados; A opção é mais rápida do que a
encrypt format allcriptografia in-loco, mas resultará na perda de todos os dados nos discos. - A desativação da encriptação nas VMs do Linux só é suportada para os volumes de dados. Não será suportada em volumes de dados ou de SO se o volume de SO tiver sido encriptado.
Nota
Além disso, se VolumeType o parâmetro for definido como Todos, os discos de dados serão criptografados somente se estiverem montados corretamente.
Solução de problemas e suporte
Resolver problemas
Para obter a resolução de problemas, veja o Guia de resolução de problemas do Azure Disk Encryption.
Suporte
Se precisar de mais ajuda em qualquer ponto deste artigo, entre em contato com os especialistas do Azure nos fóruns MSDN Azure e Stack Overflow.
Como alternativa, você pode registrar um incidente de suporte do Azure. Vá para Suporte do Azure e selecione Obter suporte. Para obter informações sobre como usar o Suporte do Azure, leia as Perguntas frequentes de Suporte do Microsoft Azure.
Próximos passos
- Para obter mais informações sobre extensões de VM, consulte Extensões de máquina virtual e recursos para Linux.
- Para obter mais informações sobre o Azure Disk Encryption para Linux, consulte Máquinas virtuais Linux.