O Azure Disk Encryption ajuda a proteger seus dados e a atender aos compromissos de conformidade e segurança de sua organização. Ele usa o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e os discos de dados das VMs (máquinas virtuais) do Azure e é integrado ao Azure Key Vault para ajudar você a controlar e gerenciar as chaves de criptografia de disco e os segredos.
Sistemas operacionais e VMs com suporte
As VMs do Windows estão disponíveis em uma série de tamanhos. Azure Disk Encryption tem suporte em VMs de Geração 1 e Geração 2. O Azure Disk Encryption também está disponível para VMs com armazenamento premium.
Azure Disk Encryption está disponível em VMs básicas da série A ou em máquinas virtuais com menos de 2 GB de memória. Azure Disk Encryption também não está disponível em imagens de VM sem discos temporários (Dv4, Dsv4, Ev4 e Esv4).
Sistemas operacionais compatíveis
- Cliente Windows: Windows 8 e posterior.
- Windows Server: Windows Server 2008 R2 e posterior.
Observação:
O Windows Server 2008 R2 requer que o .NET Framework 4.5 seja instalado para criptografia; instale-o do Windows Update com a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas baseados no Windows Server 2008 R2 x64(KB2901983).
O Windows Server 2012 R2 Core e o Windows Server 2016 Core exigem que o componente bdehdcfg seja instalado na VM para criptografia.
Requisitos de armazenamento de chave de criptografia
O Azure Disk Encryption requer um Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.
O que é Azure Key Vault?
O Azure Key Vault é serviço de nuvem para armazenar e acessar segredos de maneira segura. Um segredo é qualquer coisa a qual você queira controlar rigidamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço do Key Vault oferece suporte a dois tipos de contêineres: cofres e pools HSM (módulo de segurança de hardware) gerenciados. Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM.
Ambiente Microsof Azure
No Microsoft Azure temos uma máquina virtual chamada VM-Dev-001 com o tamanho Standard_DS1_v2 1 vcpu, 3.5 Gib memory, sistema operacional Windows Server 2019 Datacenter, essa máquina tem dois discos, um disco é o sistema operacional e o outro disco é de dados.
Passo a Passo
Configurando Key vault
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Key vaults.
03 – Na tela Key vaults clique em + Create.
04 – Na tela Create Key vault, em Basics selecione a assinatura e grupo de recursos.
Em Instance details, em Key vault name selecione um nome para o recurso, em Region selecione a região que deseja provisionar o recurso, em Pricing tier podemos selecionar entre Standard e Premium.
Em Recovery options, vamos deixar a opção padrão de 90 e Disable purge protection (allow key vault and objects to be purged during retention period), em seguida clique em Next: Access policy.
05 – Em Access policy, marque a opção Azure Disk Encryption for volumes encryption, para a opção Permission model deixe selecionado policy.
Em Current Access Policies, percebam que meu usuário foi adicionado a politica com as permissões necessárias, clique em Next: Networking.
06 – Em Networking deixe a configuração padrão selecionada Publuc endpoint (all networks) e clique em Review + create.
07 – Na tela Review + create, verifique se todas as informações estão corretas e clique em Create.
08 – Aguarde o recurso ser provisionado.
09 – Como podemos observar o recurso foi provisionado com sucesso, clique em Go to resource.
10 – Após selecionar o Key vault, clique em Settings e clique em Keys.
11 – Na tela Keys, clique em + Generate/Import.
12 – Na tela Create a Key selecione um nome para a chave, em RSA Key size podemos alterar o tamanho da chave e podemos definir o período de expiração para essa chave habilitando Set activation date, vamos deixar as configurações padrão, em seguida clique em Create.
Habilitando a criptografia de disco
13 – No portal do Azure pesquise por Virtual machines
14 – Selecione a máquina virtual que deseja habilitar a criptografia de disco, em nosso exemplo vamos selecionar a máquina virtual VM-Dev-001.
15 – Após selecionar a VM em Settings clique em Disks.
16 – Na tela Disks clique em Additional settings.
17 – Na tela Disk settings, em Disk to encrypt selecione Os and data disks, em Key vault selecione o Key vault que criamos, em Key selecione keyms em Version selecione a Current version em seguida clique em Next.
18 – Aguarde a finalização da validação.
Verificando a criptografia dos discos
19 – Abra o File Explorer, clique em This PC e observe que os discos foram criptografados.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post
Graduado em Informática Licenciatura pela Universidade Tiradentes, Pós Graduado em Administração e Segurança de Sistemas Computacionais pela Universidade Estácio de Sá, MBA em Gestão de Redes de Computadores pela FANESE, membro da Ong MTAC, Certificações MCT, AZ-303: Microsoft Azure Architect Technologie, Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012, com mais de 07 anos de experiência em TI. Com conhecimento em Azure, Terraform, Ansible, Windows Server, Linux, Virtualização, Zabbix, Firewall.