Criptografia baseada em host no AKS

Com a criptografia baseada em host, os dados armazenados no host da VM de suas VMs dos nós do agente AKS são criptografados em repouso e fluem criptografados para o serviço de armazenamento. Isso significa que os discos temporários são criptografados em repouso com chaves de criptografia gerenciadas pela plataforma. O cache do SO (sistema operacional) e dos discos de dados é criptografado em repouso com chaves de criptografia gerenciadas pela plataforma ou chaves gerenciadas pelo cliente, dependendo do tipo de criptografia definido nesses discos.

Por padrão, ao usar o AKS, o sistema operacional e os discos de dados usam a criptografia do servidor com chaves gerenciadas pela plataforma. Os caches desses discos são criptografados em repouso com chaves gerenciadas pela plataforma. Você pode especificar as próprias chaves gerenciadas seguindo BYOK (Bring Your Own Key) com discos do Azure no Serviço de Kubernetes do Azure. Os caches desses discos também são criptografados usando a chave que você especificar.

A criptografia baseada em host é diferente da SSE (criptografia do lado do servidor), que é usada pelo Armazenamento do Microsoft Azure. Os discos gerenciados pelo Azure usam o Armazenamento do Microsoft Azure para criptografar dados inativos automaticamente ao salvar dados. A criptografia baseada em host usa o host da VM para lidar com a criptografia antes de os dados fluirem por meio do Armazenamento do Microsoft Azure.

Antes de começar

Antes de começar, examine os pré-requisitos e limitações a seguir.

Pré-requisitos

• Verifique se você tem a extensão CLI v2.23 ou superior instalada.

Limitações

• Este recurso só pode ser definido no momento da criação do cluster ou do pool de nós.
• Esse recurso só pode ser habilitado nas regiões do Azure que oferecem suporte à criptografia no lado do servidor dos discos gerenciados do Azure e somente com tamanhos de VMs com suporte específicos.
• Esse recurso requer um cluster AKS e um pool de nós com base em Conjuntos de Dimensionamento de Máquinas Virtuais como tipo de conjunto de VMs.

Habilitar Criptografia no Host para seu cluster do AKS

Antes de adicionar um pool de nós com criptografia baseada em host, verifique se o recurso EncryptionAtHost está habilitado para sua assinatura:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

Usar a criptografia baseada em host em novos clusters

• Crie um novo cluster e configure os nós do agente de cluster para usar a criptografia baseada em host usando o comando az aks create com o sinalizador --enable-encryption-at-host.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Usar criptografia baseada em host em clusters existentes

• Habilite a criptografia baseada em host em um cluster existente adicionando um novo pool de nós usando o comando az aks nodepool add com o sinalizador --enable-encryption-at-host.

  az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host
  

  Resultados:

  {
      "agentPoolProfile": {
          "enableEncryptionAtHost": true,
          "name": "hostencrypt",
          "nodeCount": 1,
          "osDiskSizeGB": 30,
          "vmSize": "Standard_DS2_v2"
      },
      ...
  }
  

Próximas etapas

• Examine as práticas recomendadas para segurança do cluster AKS.
• Leia mais sobre a criptografia baseada em host.