Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
O Azure Disk Encryption está programado para ser descontinuado a 15 de setembro de 2028. Até essa data, pode continuar a usar o Azure Disk Encryption sem interrupções. A 15 de setembro de 2028, cargas de trabalho com ADE continuarão a funcionar, mas os discos encriptados não conseguirão desbloquear após o reinício da VM, resultando em interrupção do serviço.
Use encriptação no host para novas VMs. Todas as VMs habilitadas por ADE (incluindo backups) devem migrar para encriptação no host antes da data de desativação para evitar interrupções do serviço. Consulte Migrar de Encriptação de Disco Azure para Encriptação no Host para mais detalhes.
O Azure Disk Encryption usa o Azure Key Vault para controlar e gerenciar chaves e segredos de criptografia de disco. Para obter mais informações sobre cofres de chaves, consulte Introdução ao Cofre de Chaves do Azure e Proteger seu cofre de chaves.
Criar e configurar um cofre de chaves para uso com o Azure Disk Encryption envolve três etapas:
- Criação de um grupo de recursos, se necessário.
- Criação de um cofre de chaves.
- Definição de políticas avançadas de acesso do cofre de chaves.
Você também pode, se desejar, gerar ou importar uma chave de criptografia de chave (KEK).
Instalar ferramentas e conectar-se ao Azure
As etapas neste artigo podem ser concluídas com a CLI do Azure, o módulo Az do Azure PowerShell ou o portal do Azure.
Criar um grupo de recursos
Se já tiver um grupo de recursos, pode saltar para Criar um cofre de chaves.
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.
Crie um grupo de recursos usando o comando az group create Azure CLI, o comando New-AzResourceGroup Azure PowerShell ou a partir do portal do Azure.
Azure CLI (Interface de Linha de Comando da Azure)
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Criar um cofre de chaves
Se já tiver um cofre de chaves, pode saltar para Definir políticas de acesso avançado do cofre de chaves.
Crie um cofre de chaves usando o comando az keyvault create Azure CLI, o comando New-AzKeyvault Azure PowerShell, o portal do Azure ou um modelo do Resource Manager.
Advertência
Para garantir que os segredos de criptografia não ultrapassem os limites regionais, você deve criar e usar um cofre de chaves que esteja na mesma região e locatário que as VMs a serem criptografadas.
Cada Cofre de Chaves deve ter um nome exclusivo. Substitua <your-unique-keyvault-name> pelo nome do seu cofre de chaves nos exemplos seguintes.
Azure CLI (Interface de Linha de Comando da Azure)
Ao criar um cofre de chaves com o Azure CLI, adicione o parâmetro "--enabled-for-disk-encryption".
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Ao criar um cofre de chaves usando o Azure PowerShell, adicione o sinalizador "-EnabledForDiskEncryption".
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
modelo do Resource Manager
Você também pode criar um cofre de chaves usando o modelo do Gerenciador de Recursos.
- No Modelo de Início Rápido do Azure, clique em Implantar no Azure.
- Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, o nome do Cofre da Chave, a ID do objeto, os termos legais e o contrato e clique em Comprar.
Definir as políticas avançadas de acesso do cofre de chaves
Importante
Os cofres de chaves recém-criados têm a exclusão suave ativada por padrão. Se estiver a utilizar um cofre de chaves pré-existente, tem de ativar a eliminação suave. Consulte Visão geral da exclusão suave do Azure Key Vault.
A plataforma Azure precisa de acesso às chaves de encriptação ou segredos no seu cofre de chaves para disponibilizá-los à VM para arranque e desencriptação dos volumes.
Se você não habilitou seu cofre de chaves para criptografia de disco, implantação ou implantação de modelo no momento da criação (como demonstrado na etapa anterior), deverá atualizar suas políticas de acesso avançadas.
Azure CLI (Interface de Linha de Comando da Azure)
Use az keyvault update para habilitar a criptografia de disco para o cofre de chaves.
Habilitar o Key Vault para criptografia de disco: É necessário que esteja habilitado para a criptografia de disco.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Habilite o Cofre da Chave para implantação, se necessário: Permite que o provedor de recursos Microsoft.Compute recupere segredos desse cofre de chaves quando esse cofre de chaves é referenciado na criação de recursos, por exemplo, ao criar uma máquina virtual.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"Habilite o Cofre da Chave para implantação de modelo, se necessário: permita que o Gerenciador de Recursos recupere segredos do cofre.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
Utilize o cmdlet do PowerShell Set-AzKeyVaultAccessPolicy para habilitar a encriptação de disco para o cofre de chaves.
Habilitar o Cofre da Chave para criptografia de disco: EnabledForDiskEncryption é necessário para a criptografia de disco do Azure.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionHabilite o Cofre da Chave para implantação, se necessário: Permite que o provedor de recursos Microsoft.Compute recupere segredos desse cofre de chaves quando esse cofre de chaves é referenciado na criação de recursos, por exemplo, ao criar uma máquina virtual.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentHabilitar o Cofre da Chave para implantação de modelo, se necessário: Permite que o Azure Resource Manager obtenha segredos desse cofre de chaves quando esse cofre de chaves é referenciado em uma implantação de modelo.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
portal do Azure
Selecione o seu cofre de chaves e vá para Políticas de acesso.
Em "Habilitar acesso a", selecione a caixa chamada Azure Disk Encryption para criptografia de volume.
Selecione Máquinas Virtuais do Azure para implantação e/ou Azure Resource Manager para implantação de modelo, se necessário.
Clique em Salvar.
Azure Disk Encryption e rotação automática
Embora o Azure Key Vault agora tenha rotação automática de chaves, ele não é compatível com a Criptografia de Disco do Azure. Especificamente, o Azure Disk Encryption continuará a usar a chave de criptografia original, mesmo depois que ela tiver sido girada automaticamente.
Girar uma chave de criptografia não quebrará a Criptografia de Disco do Azure, mas desabilitar a chave de criptografia "antiga" (em outras palavras, a chave que a Criptografia de Disco do Azure ainda está usando) irá.
Configurar uma chave de encriptação (KEK)
Importante
A conta utilizada para habilitar a criptografia de disco no cofre de chaves deve ter permissões de "leitor".
Se você quiser usar uma chave de criptografia de chave (KEK) para uma camada adicional de segurança para chaves de criptografia, adicione um KEK ao seu cofre de chaves. Quando uma chave de criptografia principal é especificada, o Azure Disk Encryption usa essa chave para encapsular os segredos de criptografia antes de armazenar no Azure Key Vault.
Você pode gerar um novo KEK usando o comando da CLI az keyvault key create do Azure, o cmdlet Add-AzKeyVaultKey do Azure PowerShell ou o portal do Azure. Você deve gerar um tipo de chave RSA; Atualmente, o Azure Disk Encryption não oferece suporte ao uso de chaves de curva elíptica.
Em vez disso, você pode importar um KEK do HSM de gerenciamento de chaves local. Para obter mais informações, consulte Documentação do Key Vault.
As URLs do KEK do cofre de chaves devem estar versionadas. O Azure impõe essa restrição de controle de versão. Para URLs secretas e KEK válidas, consulte os seguintes exemplos:
- Exemplo de um URL secreto válido:
https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx - Exemplo de um URL KEK válido:
https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI (Interface de Linha de Comando da Azure)
Use o comando CLI az keyvault key create do Azure para gerar um novo KEK e armazená-lo em seu cofre de chaves.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
Em vez disso, você pode importar uma chave privada usando o comando Azure CLI az keyvault key import:
Em ambos os casos, forneça o nome do seu KEK ao parâmetro --key-encryption-key da Azure CLI az vm encryption enable.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
Use o cmdlet Add-AzKeyVaultKey do Azure PowerShell para gerar um novo KEK e armazená-lo em seu cofre de chaves.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
Em vez disso, você pode importar uma chave privada usando o comando Azure PowerShell az keyvault key import .
Em ambos os casos, você fornecerá a ID do seu Cofre de chave KEK e a URL do seu KEK para os parâmetros -KeyEncryptionKeyVaultId e -KeyEncryptionKeyUrl Set-AzVMDiskEncryptionExtension do Azure PowerShell. Este exemplo pressupõe que você esteja usando o mesmo cofre de chaves para a chave de criptografia de disco e o KEK.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All