Use chaves de encriptação geridas pelo cliente para o Azure HPC Cache

Pode usar o Azure Key Vault para controlar a propriedade das chaves usadas para encriptar os seus dados no Azure HPC Cache. Este artigo explica como usar chaves geridas pelo cliente para encriptação de dados de cache.

O Azure HPC Cache também está protegido por encriptação do host VM nos discos geridos que guardam os seus dados em cache, mesmo que adicione uma chave de cliente para os discos de cache. Adicionar uma chave gerida pelo cliente para dupla encriptação proporciona um nível extra de segurança para clientes com necessidades elevadas de segurança. Leia Encriptação do lado do servidor do armazenamento em disco Azure para mais detalhes.

Existem três passos para permitir a encriptação de chaves gerida pelo cliente para o Azure HPC Cache:

1. Cria um Azure Key Vault para guardar as chaves.

2. Ao criar a cache HPC do Azure, escolha a encriptação de chaves gerida pelo cliente e especifique o cofre de chaves e a chave a utilizar. Opcionalmente, forneça uma identidade gerida para a cache usar para aceder ao cofre de chaves.

   Dependendo das escolhas que fizeres neste passo, podes conseguir saltar o passo 3. Leia Escolher uma opção de identidade gerida para a cache para mais detalhes.

3. Se usar uma identidade gerida atribuída pelo sistema ou uma identidade atribuída pelo utilizador que não esteja configurada com acesso ao cofre de chaves: Vá à cache recém-criada e autorize-a a aceder ao cofre de chaves.

   Se a identidade gerida ainda não tiver acesso ao Azure Key Vault, a sua encriptação só está completamente configurada depois de a autorizar a partir da cache recém-criada (passo 3).

   Se usar uma identidade gerida pelo sistema, a identidade é criada quando a cache é criada. Tem de passar a identidade da cache para o cofre de chaves para a tornar um utilizador autorizado após a criação da cache.

   Pode ignorar este passo se atribuir uma identidade gerida pelo utilizador que já possua acesso ao cofre de chaves.

Depois de criar a cache, não pode alternar entre chaves geridas pelo cliente e chaves geridas pela Microsoft. No entanto, se a sua cache usar chaves geridas pelo cliente, pode alterar a chave de encriptação, a versão da chave e o cofre de chaves conforme necessário.

Compreender o cofre de chaves e os requisitos das chaves

O cofre de chaves e a chave devem cumprir estes requisitos para funcionar com o Azure HPC Cache.

Propriedades chave do cofre:

• Subscrição - Use a mesma subscrição que é usada para a cache.
• Região - O cofre de chaves deve estar na mesma região do Azure HPC Cache.
• Escalão de preços - O nível Standard é suficiente para utilização com cache HPC do Azure.
• Soft delete - O Azure HPC Cache vai ativar soft delete se ainda não estiver configurado no cofre de chaves.
• Proteção contra purgas - A proteção contra purgas deve estar ativada.
• Política de acesso - As definições padrão são suficientes.
• Conectividade de rede - O Azure HPC Cache deve conseguir aceder ao cofre de chaves, independentemente das definições do endpoint que escolher.

Propriedades principais:

• Tipo de chave - RSA
• Tamanho da chave RSA - 2048
• Ativado - Sim

Permissões de acesso ao cofre de chaves:

• O utilizador que cria a Azure HPC Cache deve ter permissões equivalentes ao papel de contribuidor do Key Vault. As mesmas permissões são necessárias para configurar e gerenciar o Azure Key Vault.

  Leia Acesso Seguro a um cofre de chaves para mais informações.

Escolha uma opção de identidade gerida para a cache

O seu HPC Cache utiliza a sua credencial de identidade gerida para se ligar ao cofre de chaves.

O Azure HPC Cache pode usar dois tipos de identidades geridas:

• Identidade gerida pelo sistema - Uma identidade única criada automaticamente para a sua cache. Esta identidade gerida só existe enquanto a Cache HPC existe, e não pode ser gerida ou modificada diretamente.

• Identidade gerida atribuída pelo utilizador - Uma credencial de identidade autónoma que gere separadamente da cache. Pode configurar uma identidade gerida atribuída pelo utilizador que tenha exatamente o acesso que deseja e usá-la em múltiplos caches HPC.

Se não atribuires uma identidade gerida à cache ao criá-la, o Azure cria automaticamente uma identidade gerida atribuída pelo sistema para a cache.

Com uma identidade gerida atribuída pelo utilizador, pode fornecer uma identidade que já tenha acesso ao seu cofre de chaves. (Por exemplo, foi adicionado a uma política de acesso ao cofre de chaves ou tem um papel Azure RBAC que permite o acesso.) Se usar uma identidade atribuída pelo sistema, ou fornecer uma identidade gerida que não tem acesso, terá de solicitar acesso à cache após a criação. Este é um passo manual, descrito abaixo no passo 3.

• Saiba mais sobre identidades geridas

• Aprenda os fundamentos do Azure Key Vault

1. Configurar o Azure Key Vault

Podes configurar um cofre de chaves e uma chave antes de criares a cache, ou fazê-lo como parte da criação da cache. Certifique-se de que estes recursos cumprem os requisitos acima descritos.

No momento da criação do cache, deve especificar um cofre, chave e uma versão de chave para usar na encriptação do cache.

Leia a documentação do Azure Key Vault para mais detalhes.

2. Criar a cache com chaves geridas pelo cliente ativadas

Deve especificar a fonte da chave de encriptação ao criar a sua cache HPC Azure. Siga as instruções em Criar uma Cache HPC Azure e especifique o cofre de chaves e a chave na página de chaves de encriptação de disco . Podes criar um novo cofre de chaves e uma chave durante a criação do cache.

O utilizador que cria a cache deve ter privilégios iguais ao papel de contribuidor do Key Vault ou superiores.

1. Clique no botão para ativar chaves geridas privadamente. Depois de alterar esta definição, aparecem as definições do cofre de chaves.

2. Clique em Selecionar um cofre de chaves para abrir a página de seleção de chaves. Escolha ou crie o cofre de chaves e a chave para encriptar dados nos discos deste cache.

   Se o seu Azure Key Vault não aparecer na lista, verifique estes requisitos:

   • A cache está na mesma subscrição do cofre de chaves?
   • A cache está na mesma região do cofre de chaves?
   • Existe conectividade de rede entre o portal do Azure e o cofre da chave?

3. Depois de selecionar um cofre, selecione a chave individual entre as opções disponíveis ou então crie uma nova chave. A chave deve ser uma chave RSA de 2048 bits.

4. Especifique a versão para a chave selecionada. Saiba mais sobre versionamento na documentação do Azure Key Vault.

Estas configurações são opcionais:

• Marque a caixa Sempre usar a versão atual da chave se quiser usar a rotação automática de chaves.

• Se quiser usar uma identidade gerida específica para esta cache, selecione Utilizador atribuído na secção de Identidades Geridas e selecione a identidade a utilizar. Leia a documentação de identidades geridas para obter ajuda.

  Tip

  Uma identidade gerida atribuída pelo utilizador pode simplificar a criação de cache se passar uma identidade já configurada para aceder ao seu cofre de chaves. Com uma identidade gerida atribuída pelo sistema, você deve realizar um passo adicional após a criação do cache para autorizar a nova identidade do sistema a utilizar o seu cofre de chaves.

  Note

  Não é possível alterar a identidade atribuída depois de criar o cache.

Continue com o resto das especificações e crie a cache conforme descrito em Criar uma cache HPC Azure.

3. Autorizar a encriptação do Azure Key Vault a partir da cache (se necessário)

Após alguns minutos, a nova Cache HPC Azure aparece no seu portal Azure. Vá à página de Visão Geral para autorizar o acesso ao seu Azure Key Vault e ativar a encriptação de chaves gerida pelo cliente.

A cache mostra o estado À espera da chave. Clique no botão Ativar encriptação no topo da página para autorizar a cache a aceder ao cofre de chaves especificado.

Clique em Ativar encriptação e depois no botão Sim para autorizar a cache a usar a chave de encriptação. Esta ação também permite a proteção contra eliminação suave e purga (se não estiver já ativada) no cofre de chaves.

Depois de a cache solicitar acesso ao cofre de chaves, pode criar e encriptar os discos que armazenam dados em cache.

Depois de autorizar a encriptação, o Azure HPC Cache passa por mais alguns minutos de configuração para criar os discos encriptados e a infraestrutura relacionada.

Atualizar definições de teclas

Podes alterar o cofre de chaves, chave ou a versão da chave para o teu cache a partir do portal Azure. Clique no link de Definições de Encriptação da cache para abrir a página de definições da chave do cliente .

Não pode alterar uma cache entre chaves geridas pelo cliente e chaves geridas pelo sistema.

Clique no link Alterar chave , depois clique em Alterar o cofre de chaves, chave ou versão para abrir o seletor de chaves.

Cofres de chaves na mesma subscrição e na mesma região deste cache são exibidos na lista.

Depois de escolher os novos valores-chave de encriptação, clique em Select. Aparece uma página de confirmação com os novos valores. Clique em Guardar para finalizar a seleção.

Leia mais sobre chaves geridas pelo cliente no Azure

Estes artigos explicam mais sobre como usar o Cofre de Chaves do Azure e chaves gerenciadas pelo cliente para criptografar dados no Azure:

• Visão geral da criptografia de armazenamento do Azure
• Encriptação de disco com chaves geridas pelo cliente - Documentação para utilização do Azure Key Vault com discos geridos, que é um cenário semelhante ao Azure HPC Cache

Passos seguintes

Depois de criar o Azure HPC Cache e autorizar a encriptação baseada no Key Vault, continue a configurar a cache dando-lhe acesso às suas fontes de dados.

• Adicionar destinos de armazenamento