O Azure Disk Encryption ajuda a proteger seus dados e a atender aos compromissos de conformidade e segurança de sua organização. Ele usa o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e os discos de dados das VMs (máquinas virtuais) do Azure e é integrado ao Azure Key Vault para ajudar você a controlar e gerenciar as chaves de criptografia de disco e os segredos.
Sistemas operacionais e VMs com suporte
As VMs do Windows estão disponíveis em uma série de tamanhos. Azure Disk Encryption tem suporte em VMs de Geração 1 e Geração 2. O Azure Disk Encryption também está disponível para VMs com armazenamento premium.
Azure Disk Encryption está disponível em VMs básicas da série A ou em máquinas virtuais com menos de 2 GB de memória. Azure Disk Encryption também não está disponível em imagens de VM sem discos temporários (Dv4, Dsv4, Ev4 e Esv4).
Sistemas operacionais compatíveis
- Cliente Windows: Windows 8 e posterior.
- Windows Server: Windows Server 2008 R2 e posterior.
Observação:
O Windows Server 2008 R2 requer que o .NET Framework 4.5 seja instalado para criptografia; instale-o do Windows Update com a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas baseados no Windows Server 2008 R2 x64(KB2901983).
O Windows Server 2012 R2 Core e o Windows Server 2016 Core exigem que o componente bdehdcfg seja instalado na VM para criptografia.
Requisitos de armazenamento de chave de criptografia
O Azure Disk Encryption requer um Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.
O que é Azure Key Vault?
O Azure Key Vault é serviço de nuvem para armazenar e acessar segredos de maneira segura. Um segredo é qualquer coisa a qual você queira controlar rigidamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço do Key Vault oferece suporte a dois tipos de contêineres: cofres e pools HSM (módulo de segurança de hardware) gerenciados. Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM.
Ambiente Microsof Azure
No Microsoft Azure temos uma máquina virtual chamada VM-Dev-001 com o tamanho Standard_DS1_v2 1 vcpu, 3.5 Gib memory, sistema operacional Windows Server 2019 Datacenter, essa máquina tem dois discos, um disco é o sistema operacional e o outro disco é de dados.
Passo a Passo
Configurando Key vault
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Key vaults.
03 – Na tela Key vaults clique em + Create.
04 – Na tela Create Key vault, em Basics selecione a assinatura e grupo de recursos.
Em Instance details, em Key vault name selecione um nome para o recurso, em Region selecione a região que deseja provisionar o recurso, em Pricing tier podemos selecionar entre Standard e Premium.
Em Recovery options, vamos deixar a opção padrão de 90 e Disable purge protection (allow key vault and objects to be purged during retention period), em seguida clique em Next: Access policy.
05 – Em Access policy, marque a opção Azure Disk Encryption for volumes encryption, para a opção Permission model deixe selecionado policy.
Em Current Access Policies, percebam que meu usuário foi adicionado a politica com as permissões necessárias, clique em Next: Networking.
06 – Em Networking deixe a configuração padrão selecionada Publuc endpoint (all networks) e clique em Review + create.
07 – Na tela Review + create, verifique se todas as informações estão corretas e clique em Create.
08 – Aguarde o recurso ser provisionado.
09 – Como podemos observar o recurso foi provisionado com sucesso, clique em Go to resource.
10 – Após selecionar o Key vault, clique em Settings e clique em Keys.
11 – Na tela Keys, clique em + Generate/Import.
12 – Na tela Create a Key selecione um nome para a chave, em RSA Key size podemos alterar o tamanho da chave e podemos definir o período de expiração para essa chave habilitando Set activation date, vamos deixar as configurações padrão, em seguida clique em Create.
Habilitando a criptografia de disco
13 – No portal do Azure pesquise por Virtual machines
14 – Selecione a máquina virtual que deseja habilitar a criptografia de disco, em nosso exemplo vamos selecionar a máquina virtual VM-Dev-001.
15 – Após selecionar a VM em Settings clique em Disks.
16 – Na tela Disks clique em Additional settings.
17 – Na tela Disk settings, em Disk to encrypt selecione Os and data disks, em Key vault selecione o Key vault que criamos, em Key selecione keyms em Version selecione a Current version em seguida clique em Next.
18 – Aguarde a finalização da validação.
Verificando a criptografia dos discos
19 – Abra o File Explorer, clique em This PC e observe que os discos foram criptografados.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br