Criptografia baseada em host no Serviço Kubernetes do Azure (AKS)

Com a criptografia baseada em host, os dados armazenados no host de VM das VMs dos nós do agente AKS são criptografados em repouso e transferidos de forma criptografada para o serviço de armazenamento. Isto significa que os discos temporários são encriptados em inatividade com chaves geridas pela plataforma. A cache do SO e dos discos de dados é encriptada em inatividade com chaves geridas pela plataforma ou chaves geridas pelo cliente, dependendo do tipo de encriptação definido nesses discos.

Por padrão, ao usar AKS, o sistema operacional e os discos de dados usam criptografia do lado do servidor com chaves gerenciadas pela plataforma. Os caches desses discos são criptografados em repouso com chaves gerenciadas pela plataforma. Você pode especificar as suas próprias chaves geridas seguindo Bring your own keys (BYOK) com discos do Azure no Azure Kubernetes Service. Os caches desses discos também são criptografados usando a chave especificada.

A criptografia baseada em host é diferente da criptografia do lado do servidor (SSE), que é usada pelo Armazenamento do Azure. Os discos gerenciados pelo Azure usam o Armazenamento do Azure para criptografar automaticamente os dados em repouso ao salvar dados. A criptografia baseada em host usa o host da VM para manipular a criptografia antes que os dados fluam pelo Armazenamento do Azure.

Antes de começar

Antes de começar, revise os seguintes pré-requisitos e limitações.

Pré-requisitos

• Certifique-se de ter a extensão CLI v2.23 ou superior instalada.

Limitações

• Esse recurso só pode ser definido no momento da criação do cluster ou do pool de nós.
• Esse recurso só pode ser ativado em regiões do Azure que suportam a criptografia do lado do servidor de discos geridos pelo Azure e apenas com tamanhos de VM suportados específicos.
• Esse recurso requer um cluster AKS e um pool de nós baseados em Conjuntos de Escala de Máquina Virtual com o tipo de conjunto de VM.

Habilite a criptografia no host para seu cluster AKS

Antes de adicionar um pool de nós com criptografia baseada em host, verifique se o recurso EncryptionAtHost está habilitado para sua assinatura:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

Usar criptografia baseada em host em novos clusters

• Crie um novo cluster e configure os nós do agente de cluster para usar a encriptação baseada em host usando o comando az aks create com o sinalizador --enable-encryption-at-host.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Usar criptografia baseada em host em clusters existentes

• Habilite a criptografia baseada em host em um cluster existente adicionando um novo pool de nós usando o az aks nodepool add comando com o --enable-encryption-at-host sinalizador.

  az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host
  

  Resultados:

  {
      "agentPoolProfile": {
          "enableEncryptionAtHost": true,
          "name": "hostencrypt",
          "nodeCount": 1,
          "osDiskSizeGB": 30,
          "vmSize": "Standard_DS2_v2"
      },
      ...
  }
  

Próximos passos

• Analise as práticas recomendadas para a segurança do cluster AKS.
• Leia mais sobre criptografia baseada em host.