Compartilhar via

Usar chaves de criptografia gerenciadas pelo cliente com o Lustre Gerenciado do Azure

  • Artigo

Você pode usar o Azure Key Vault para controlar a propriedade das chaves usadas para criptografar seus dados armazenados em um sistema de arquivos do Azure Managed Lustre. Este artigo explica como usar chaves gerenciadas pelo cliente para criptografia de dados com o Azure Managed Lustre.

Observação

Todos os dados armazenados no Azure são criptografados em repouso usando chaves gerenciadas pela Microsoft por padrão. Você só precisa seguir as etapas neste artigo se quiser gerenciar as chaves usadas para criptografar seus dados quando eles estiverem armazenados no cluster do Azure Managed Lustre.

A criptografia de host de VM protege todas as informações nos discos gerenciados que contêm seus dados em um sistema de arquivos do Azure Managed Lustre, mesmo se você adicionar uma Chave do Cliente para os discos do Lustre. A adição de uma chave gerenciada pelo cliente oferece um nível extra de segurança para necessidades de alta segurança. Para obter mais informações, consulte Criptografia do lado do servidor do armazenamento em disco do Azure.

Há três etapas para habilitar a criptografia de chave gerenciada pelo cliente para o Azure Managed Lustre:

  1. Configure um Azure Key Vault para armazenar as chaves.
  2. Crie uma identidade gerenciada que possa acessar esse cofre de chaves.
  3. Ao criar o sistema de arquivos, escolha a criptografia de chave gerenciada pelo cliente e especifique o cofre de chaves, a chave e a identidade gerenciada a serem usadas.

Este artigo explica essas etapas com mais detalhes.

Depois de criar o sistema de arquivos, você não poderá alternar entre chaves gerenciadas pelo cliente e chaves gerenciadas pela Microsoft.

Pré-requisitos

Você pode usar um cofre de chaves e uma chave pré-existentes ou pode criar novos para usar com o Azure Managed Lustre. Consulte as configurações necessárias a seguir para garantir que você tenha um cofre de chaves e uma chave configurados corretamente.

Criar um cofre de chaves e uma chave

Configure um cofre de chaves do Azure para armazenar suas chaves de criptografia. O cofre de chaves e a chave devem atender a esses requisitos para funcionar com o Azure Managed Lustre.

Propriedades do cofre de chaves

As configurações a seguir são necessárias para uso com o Azure Managed Lustre. Você pode configurar opções que não estão listadas conforme necessário.

Noções básicas:

  • Assinatura – use a mesma assinatura usada para o cluster do Azure Managed Lustre.
  • Região – o cofre de chaves deve estar na mesma região que o cluster do Azure Managed Lustre.
  • Tipo de preço – a camada Standard é suficiente para uso com o Azure Managed Lustre.
  • Exclusão reversível – o Azure Managed Lustre habilitará a exclusão reversível se ainda não estiver configurado no cofre de chaves.
  • Proteção contra purga - Habilite a proteção contra purga.

Política de acesso:

  • Configuração de acesso – defina como controle de acesso baseado em função do Azure.

Rede:

  • Acesso público - Deve estar habilitado.

  • Permitir acesso - Selecione Todas as redes ou, se precisar restringir o acesso, selecione Redes selecionadas

    • Se Redes selecionadas for escolhida, você deverá habilitar a opção Permitir que serviços confiáveis da Microsoft ignorem esse firewall na seção Exceção abaixo.

Captura de tela mostrando como restringir o acesso do cofre de chaves a redes selecionadas, permitindo o acesso a serviços confiáveis da Microsoft.

Observação

Se você estiver usando um cofre de chaves existente, poderá examinar a seção de configurações de rede para confirmar se Permitir acesso de está definido como Permitir acesso público de todas as redes ou fazer alterações, se necessário.

Principais propriedades

  • Tipo de chave – RSA
  • Tamanho da Chave RSA – 2048
  • Habilitado – Sim

Permissões de acesso ao cofre de chaves:

  • O usuário que cria o sistema Azure Managed Lustre deve ter permissões equivalentes à função de colaborador do Key Vault. As mesmas permissões são necessárias para configurar e gerenciar o Azure Key Vault.

    Para saber mais, consulte Acesso seguro a um cofre de chaves.

Saiba mais sobre as noções básicas do Azure Key Vault.

Criar uma identidade gerenciada atribuída ao usuário

O sistema de arquivos do Azure Managed Lustre precisa de uma identidade gerenciada atribuída pelo usuário para acessar o cofre de chaves.

As identidades gerenciadas são credenciais de identidade autônomas que substituem as identidades de usuário ao acessar os serviços do Azure por meio da ID do Microsoft Entra. Como outros usuários, eles podem receber funções e permissões. Saiba mais sobre as identidades gerenciadas.

Crie essa identidade antes de criar o sistema de arquivos e conceda a ela acesso ao cofre de chaves.

Observação

Se você fornecer uma identidade gerenciada que não possa acessar o cofre de chaves, não poderá criar o sistema de arquivos.

Para obter mais informações, consulte a documentação de identidades gerenciadas:

Criar o sistema de arquivos do Azure Managed Lustre com chaves de criptografia gerenciadas pelo cliente

Ao criar seu sistema de arquivos do Azure Managed Lustre, use a guia Chaves de criptografia de disco para selecionar Cliente gerenciado na configuração Tipo de chave de criptografia de disco. Outras seções são exibidas para configurações de Chave do Cliente e Identidades gerenciadas.

Captura de tela da interface do portal do Azure para criar um novo sistema Lustre Gerenciado do Azure, com o gerenciamento do cliente selecionado.

Lembre-se de que você só pode configurar chaves gerenciadas pelo cliente no momento da criação. Você não pode alterar o tipo de chaves de criptografia usadas para um sistema de arquivos existente do Azure Managed Lustre.

Configurações da chave do cliente

Selecione o link nas configurações de chave do cliente para selecionar as configurações de cofre de chaves, chave e versão. Você também pode criar um novo Azure Key Vault nesta página. Se você criar um novo cofre de chaves, lembre-se de conceder acesso à sua identidade gerenciada a ele.

Se o Azure Key Vault não aparecer na lista, verifique estes requisitos:

  • O sistema de arquivos está na mesma assinatura que o cofre de chaves?
  • O sistema de arquivos está na mesma região que o cofre de chaves?
  • Há conectividade de rede entre o portal do Azure e o cofre de chaves?

Depois de selecionar um cofre, selecione a chave individual nas opções disponíveis ou crie uma nova chave. A chave deve ser uma RSA de 2048 bits.

Especifique a versão para a chave selecionada. Para obter mais informações sobre controle de versão, consulte a documentação do Azure Key Vault.

Configurações de identidades gerenciadas

Selecione o link em Identidades gerenciadas e selecione a identidade que o sistema de arquivos do Azure Managed Lustre usa para acesso ao cofre de chaves.

Depois de definir essas configurações de chave de criptografia, vá para a guia Examinar + criar e conclua a criação do sistema de arquivos como de costume.

Próximas etapas

Estes artigos explicam mais sobre como usar o Azure Key Vault e chaves gerenciadas pelo cliente para criptografar dados no Azure: