Habilite a criptografia dupla em repouso para discos gerenciados

Aplica-se a: ✔️ VMs Linux VMs ✔️ ✔️ Windows

O Armazenamento em Disco do Azure dá suporte à criptografia dupla em repouso para discos gerenciados. Para obter informações conceituais sobre criptografia dupla em repouso e outros tipos de criptografia de disco gerenciado, consulte a seção Criptografia dupla em repouso de nosso artigo sobre criptografia de disco.

Restrições

A criptografia dupla em repouso não é suportada atualmente com discos Ultra ou SSD Premium v2.

Pré-requisitos

Se você for usar a CLI do Azure, instale a CLI do Azure mais recente e entre em uma conta do Azure com az login.

Se você for usar o módulo do Azure PowerShell, instale a versão mais recente do Azure PowerShell e entre em uma conta do Azure usando Connect-AzAccount.

Introdução

Portal do Azure

1. Inicie sessão no portal do Azure.

2. Procure e selecione Conjuntos de criptografia de disco.

   

3. Selecione + Criar.

4. Selecione uma das regiões suportadas.

5. Em Tipo de criptografia, selecione Criptografia dupla com chaves gerenciadas pela plataforma e gerenciadas pelo cliente.

   Nota

   Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se pretender utilizar um tipo de encriptação diferente, tem de criar um novo conjunto de encriptação de disco.

6. Preencha as informações restantes.

   

7. Selecione um Cofre da Chave do Azure e uma chave, ou crie um novo, se necessário.

   Nota

   Se você criar uma instância do Cofre da Chave, deverá habilitar a proteção de exclusão suave e limpeza. Essas configurações são obrigatórias ao usar um Cofre de Chaves para criptografar discos gerenciados e protegê-lo de perder dados devido à exclusão acidental.

   

8. Selecione Criar.

9. Navegue até o conjunto de criptografia de disco criado e selecione o erro exibido. Isso configurará o conjunto de criptografia de disco para funcionar.

   

   Uma notificação deve aparecer e ter êxito. Isso permitirá que você use o conjunto de criptografia de disco com seu cofre de chaves.

   

10. Navegue até o disco.

11. Selecione Criptografia.

12. Para Gerenciamento de chaves, selecione uma das chaves em Chaves gerenciadas pela plataforma e gerenciadas pelo cliente.

13. selecione Salvar.

    

Agora você habilitou a criptografia dupla em repouso no disco gerenciado.

CLI do Azure

1. Crie uma instância do Cofre da Chave do Azure e uma chave de criptografia.

   Ao criar a instância do Cofre da Chave, você deve habilitar a proteção contra exclusão suave e limpeza. A exclusão suave garante que o Cofre da Chave mantenha uma chave excluída por um determinado período de retenção (padrão de 90 dias). A proteção contra limpeza garante que uma chave excluída não possa ser excluída permanentemente até que o período de retenção expire. Estas definições protegem-no contra a perda de dados devido à eliminação acidental. Essas configurações são obrigatórias ao usar um Cofre de Chaves para criptografar discos gerenciados.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Obtenha o URL da chave que você criou com az keyvault key showo .

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Crie um DiskEncryptionSet com encryptionType definido como EncryptionAtRestWithPlatformAndCustomerKeys. Substitua yourKeyURL pelo URL recebido de az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Conceda ao recurso DiskEncryptionSet acesso ao cofre de chaves.

Nota

Pode levar alguns minutos para o Azure criar a identidade do seu DiskEncryptionSet em sua ID do Microsoft Entra. Se você receber um erro como "Não é possível localizar o objeto do Ative Directory" ao executar o seguinte comando, aguarde alguns minutos e tente novamente.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Crie uma instância do Cofre da Chave do Azure e uma chave de criptografia.

   Ao criar a instância do Cofre da Chave, você deve habilitar a proteção contra exclusão suave e limpeza. A exclusão suave garante que o Cofre da Chave mantenha uma chave excluída por um determinado período de retenção (padrão de 90 dias). A proteção contra limpeza garante que uma chave excluída não possa ser excluída permanentemente até que o período de retenção expire. Estas definições protegem-no contra a perda de dados devido à eliminação acidental. Essas configurações são obrigatórias ao usar um Cofre de Chaves para criptografar discos gerenciados.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Recupere o URL da chave que você criou, você precisará dele para os comandos subsequentes. A saída de ID de é a URL da Get-AzKeyVaultKey chave.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Obtenha o ID do recurso para a instância do Cofre da Chave que você criou, você precisará dele para os comandos subsequentes.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Crie um DiskEncryptionSet com encryptionType definido como EncryptionAtRestWithPlatformAndCustomerKeys. Substitua yourKeyURL e yourKeyVaultURL pelos URLs recuperados anteriormente.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Conceda ao recurso DiskEncryptionSet acesso ao cofre de chaves.

   Nota

   Pode levar alguns minutos para o Azure criar a identidade do seu DiskEncryptionSet em sua ID do Microsoft Entra. Se você receber um erro como "Não é possível localizar o objeto do Ative Directory" ao executar o seguinte comando, aguarde alguns minutos e tente novamente.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Próximos passos

• Azure PowerShell – Ativar as chaves geridas pelo cliente com a encriptação do lado do servidor – discos geridos
• Exemplos de modelo do Azure Resource Manager
• Habilitar chaves gerenciadas pelo cliente com criptografia do lado do servidor - Exemplos