Criptografia de disco do Azure no host

Você pode criar um catálogo de máquinas MCS com capacidade de criptografia no host. Atualmente, o MCS oferece suporte apenas ao fluxo de trabalho de perfil de máquina para este recurso. Você pode usar uma VM ou uma especificação de modelo como entrada para um perfil de máquina.

Este método de criptografia não criptografa os dados por meio do armazenamento do Azure. O servidor que hospeda a VM criptografa os dados e, em seguida, os dados criptografados fluem pelo servidor de armazenamento do Azure. Assim, este método de criptografia criptografa os dados de ponta a ponta.

• Limitações

A criptografia de disco do Azure no host:

• Não é compatível com todos os tamanhos de máquina do Azure
  • É incompatível com a criptografia de disco do Azure

Criar um catálogo de máquinas com capacidade de criptografia no host

Para criar um catálogo de máquinas com capacidade de criptografia no host:

1. Verifique se a assinatura tem o recurso de criptografia no host habilitado. Para fazer isso, consulte https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/. Se não estiver habilitado, você deve habilitar o recurso para a assinatura. Para obter informações sobre como habilitar o recurso para sua assinatura, consulte https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/.
   • 1. Verifique se um tamanho de VM específico do Azure oferece suporte à criptografia no host. Para fazer isso, em uma janela do PowerShell, execute um dos seguintes comandos:

   
   PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder>
   
   <!--NeedCopy-->
   

   
   PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder>
   
   <!--NeedCopy-->
   

2. Crie uma VM ou uma especificação de modelo, como entrada para o perfil de máquina, no portal do Azure com a criptografia no host habilitada.

   • Se você quiser criar uma VM, selecione um tamanho de VM que ofereça suporte à criptografia no host. Depois de criar a VM, a propriedade da VM Criptografia no host é habilitada.
   • Se você quiser usar uma especificação de modelo, atribua o parâmetro Encryption at Host como true dentro de securityProfile.

3. Crie um catálogo de máquinas MCS com o fluxo de trabalho de perfil de máquina, selecionando uma VM ou uma especificação de modelo.

   • Disco do SO / Disco de Dados: É criptografado por meio de chave gerenciada pelo cliente e chave gerenciada pela plataforma
   • Disco do SO Efêmero: É criptografado apenas por meio de chave gerenciada pela plataforma
   • Disco de Cache: É criptografado por meio de chave gerenciada pelo cliente e chave gerenciada pela plataforma

   Você pode criar o catálogo de máquinas usando a interface de Configuração Completa ou executando comandos do PowerShell.

Recuperar informações de criptografia no host de um perfil de máquina

Você pode recuperar as informações de criptografia no host de um perfil de máquina ao executar o comando do PowerShell com o parâmetro AdditionalData. Se o parâmetro EncryptionAtHost for True, isso indica que a criptografia no host está habilitada para o perfil de máquina.

Por exemplo: Quando a entrada do perfil de máquina é uma VM, execute o seguinte comando:

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData

<!--NeedCopy-->

Por exemplo: Quando a entrada do perfil de máquina é uma especificação de modelo, execute o seguinte comando:

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData

<!--NeedCopy-->