Habilitando a criptografia de disco em máquinas virtuais no Azure

O Azure Disk Encryption ajuda a proteger seus dados e a atender aos compromissos de conformidade e segurança de sua organização. Ele usa o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e os discos de dados das VMs (máquinas virtuais) do Azure e é integrado ao Azure Key Vault para ajudar você a controlar e gerenciar as chaves de criptografia de disco e os segredos.

Sistemas operacionais e VMs com suporte

As VMs do Windows estão disponíveis em uma série de tamanhos. Azure Disk Encryption tem suporte em VMs de Geração 1 e Geração 2. O Azure Disk Encryption também está disponível para VMs com armazenamento premium.

Azure Disk Encryption está disponível em VMs básicas da série A ou em máquinas virtuais com menos de 2 GB de memória. Azure Disk Encryption também não está disponível em imagens de VM sem discos temporários (Dv4, Dsv4, Ev4 e Esv4).

Sistemas operacionais compatíveis

  • Cliente Windows: Windows 8 e posterior.
  • Windows Server: Windows Server 2008 R2 e posterior.

Observação:

O Windows Server 2008 R2 requer que o .NET Framework 4.5 seja instalado para criptografia; instale-o do Windows Update com a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas baseados no Windows Server 2008 R2 x64(KB2901983).

O Windows Server 2012 R2 Core e o Windows Server 2016 Core exigem que o componente bdehdcfg seja instalado na VM para criptografia.

Requisitos de armazenamento de chave de criptografia

O Azure Disk Encryption requer um Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.

O que é Azure Key Vault?

O Azure Key Vault é serviço de nuvem para armazenar e acessar segredos de maneira segura. Um segredo é qualquer coisa a qual você queira controlar rigidamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço do Key Vault oferece suporte a dois tipos de contêineres: cofres e pools HSM (módulo de segurança de hardware) gerenciados. Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM.

Ambiente Microsof Azure

No Microsoft Azure temos uma máquina virtual chamada VM-Dev-001 com o tamanho Standard_DS1_v2 1 vcpu, 3.5 Gib memory, sistema operacional Windows Server 2019 Datacenter, essa máquina tem dois discos, um disco é o sistema operacional e o outro disco é de dados.

Passo a Passo

Configurando Key vault

01 – Faça login no portal do Azure.

02 – No portal do Azure pesquise por Key vaults.

03 – Na tela Key vaults clique em + Create.

04 – Na tela Create Key vault, em Basics selecione a assinatura e grupo de recursos.

Em Instance details, em Key vault name selecione um nome para o recurso, em Region selecione a região que deseja provisionar o recurso, em Pricing tier podemos selecionar entre Standard e Premium.

Em Recovery options, vamos deixar a opção padrão de 90 e Disable purge protection (allow key vault and objects to be purged during retention period), em seguida clique em Next: Access policy.

05 – Em Access policy, marque a opção Azure Disk Encryption for volumes encryption, para a opção Permission model deixe selecionado policy.

Em Current Access Policies, percebam que meu usuário foi adicionado a politica com as permissões necessárias, clique em Next: Networking.

06 – Em Networking deixe a configuração padrão selecionada Publuc endpoint (all networks) e clique em Review + create.

07 – Na tela Review + create, verifique se todas as informações estão corretas e clique em Create.

08 – Aguarde o recurso ser provisionado.

09 – Como podemos observar o recurso foi provisionado com sucesso, clique em Go to resource.

10 – Após selecionar o Key vault, clique em Settings e clique em Keys.

11 – Na tela Keys, clique em + Generate/Import.

12 – Na tela Create a Key selecione um nome para a chave, em RSA Key size podemos alterar o tamanho da chave e podemos definir o período de expiração para essa chave habilitando Set activation date, vamos deixar as configurações padrão, em seguida clique em Create.

Habilitando a criptografia de disco

13 – No portal do Azure pesquise por Virtual machines

14 – Selecione a máquina virtual que deseja habilitar a criptografia de disco, em nosso exemplo vamos selecionar a máquina virtual VM-Dev-001.

15 – Após selecionar a VM em Settings clique em Disks.

16 – Na tela Disks clique em Additional settings.

17 – Na tela Disk settings, em Disk to encrypt selecione Os and data disks, em Key vault selecione o Key vault que criamos, em Key selecione keyms em Version selecione a Current version em seguida clique em Next.

18 – Aguarde a finalização da validação.

Verificando a criptografia dos discos

19 – Abra o File Explorer, clique em This PC e observe que os discos foram criptografados.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post

Deixe um comentário

O seu endereço de e-mail não será publicado.