Criptografia de disco do Azure no host
É possível criar um catálogo de máquinas MCS com capacidade de criptografia no host. Atualmente, o MCS oferece suporte apenas ao fluxo de trabalho de perfil de máquina para esse recurso. Você pode usar uma VM ou uma especificação de modelo como entrada para um perfil de máquina.
Esse método de criptografia não criptografa os dados por meio do armazenamento do Azure. O servidor que hospeda a VM criptografa os dados e, em seguida, os dados criptografados fluem pelo servidor de armazenamento do Azure. Assim, esse método de criptografia criptografa os dados de ponta a ponta.
Limitações
A criptografia de disco do Azure no host:
- Não é compatível com todos os tamanhos de máquina do Azure
- É incompatível com a criptografia de disco do Azure
Criar um catálogo de máquinas com capacidade de criptografia no host
Para criar um catálogo de máquinas com capacidade de criptografia no host
- Verifique se o recurso de criptografia no host está habilitado para a assinatura. Para fazer isso, consulte https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/. Se não estiver habilitado, você deve habilitar o recurso para a assinatura. Para obter informações sobre como habilitar o recurso para sua assinatura, consulte https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/.
-
Verifique se um determinado tamanho de VM do Azure oferece suporte à criptografia no host. Para fazer isso, em uma janela do PowerShell, execute um dos seguintes:
PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder> <!--NeedCopy-->PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder> <!--NeedCopy--> -
Crie uma VM ou uma especificação de modelo, como entrada para o perfil de máquina, no portal do Azure com a criptografia no host habilitada.
- Se você quiser criar uma VM, selecione um tamanho de VM que ofereça suporte à criptografia no host. Depois de criar a VM, a propriedade da VM Criptografia no host será habilitada.
- Se você quiser usar uma especificação de modelo, atribua o parâmetro
Encryption at Hostcomo true dentro desecurityProfile.
-
Crie um catálogo de máquinas MCS com o fluxo de trabalho de perfil de máquina selecionando uma VM ou uma especificação de modelo.
- Disco do SO/Disco de Dados: É criptografado por meio de chave gerenciada pelo cliente e chave gerenciada pela plataforma
- Disco do SO Efêmero: É criptografado apenas por meio de chave gerenciada pela plataforma
- Disco de Cache: É criptografado por meio de chave gerenciada pelo cliente e chave gerenciada pela plataforma
Você pode criar o catálogo de máquinas usando a interface de Configuração Completa ou executando comandos do PowerShell.
Recuperar informações de criptografia no host de um perfil de máquina
Você pode recuperar as informações de criptografia no host de um perfil de máquina ao executar o comando do PowerShell com o parâmetro AdditionalData. Se o parâmetro EncryptionAtHost for True, isso indica que a criptografia no host está habilitada para o perfil de máquina.
Por exemplo: Quando a entrada do perfil de máquina é uma VM, execute o seguinte comando:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->
Por exemplo: Quando a entrada do perfil de máquina é uma especificação de modelo, execute o seguinte comando:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->