Criptografia do EVS
O que é criptografia do EVS?
Caso os seus serviços necessitem de criptografia para os dados armazenados nos discos do EVS, o EVS disponibiliza-lhe a função de criptografia. Você pode criptografar discos do EVS recém-criados.
O EVS utiliza o algoritmo de criptografia XTS-AES-256 padrão da indústria e chaves para encriptar discos do EVS. As chaves usadas por discos criptografados são fornecidas pelo Serviço de Gerenciamento de Chaves (KMS) do Data Encryption Workshop (DEW), que é seguro e conveniente. Portanto, você não precisa estabelecer e manter a infra-estrutura de gerenciamento de chaves. O KMS usa o Hardware Security Module (HSM) que está consoante os requisitos FIPS 140-2 nível 3 para proteger chaves. Todas as chaves de usuário são protegidas pela chave raiz no HSM para evitar a exposição da chave.
O atributo de criptografia de um disco não pode ser alterado após a compra do disco.
Para obter detalhes sobre como criar um disco encriptado, consulte Comprar um disco do EVS.
Chaves usadas para criptografia do EVS
- Chave mestra padrão: uma chave que é criada automaticamente pelo EVS por meio do KMS e denominada evs/default.
A chave mestra padrão não pode ser desabilitada e não suporta exclusão agendada.
- CMKs: chaves criadas pelos usuários. Você pode usar CMKs existentes ou criar novas CMKs para criptografar discos. Para obter detalhes, consulte no Guia de usuário do Data Encryption Workshop.
Status do CMK |
Impacto |
Como restaurar |
---|---|---|
Desabilitado |
Habilite o CMK. Para obter detalhes, consulte Habilitação de uma ou mais CMKs. |
|
Exclusão agendada |
Cancele a exclusão programada para a CMK. Para obter detalhes, consulte Cancelamento da exclusão agendada de uma ou mais CMKs. |
|
Excluída |
Os dados nos discos nunca podem ser restaurados. |
Você será cobrado pelas CMKs que usar. Se forem usadas chaves básicas, certifique-se de que você tenha saldo suficiente na conta. Se forem utilizadas chaves profissionais, renove a sua encomenda em tempo útil. Ou, seus serviços podem ser interrompidos e seus dados podem nunca ser restaurados, pois os discos criptografados se tornam inacessíveis.
Relações entre discos criptografados, backups, imagens e snapshots
- a criptografia de disco do sistema depende da imagem usada para criar o ECS.
- Se uma imagem criptografada for usada para criar o ECS, a criptografia será ativada para o disco do sistema por padrão, e o disco do sistema e a imagem compartilharão o mesmo método de criptografia. Para obter detalhes, consulte Gerenciamento de imagens privadas > Criptografia de imagens no Guia de usuário do Image Management Service.
- se um disco vazio for criado, você poderá determinar se deseja criptografar o disco ou não. O atributo de criptografia do disco não pode ser alterado após a criação do disco.
- se um disco for criado a partir de um snapshot, o atributo de criptografia do disco será o mesmo do disco de origem do snapshot.
- se um disco for criado a partir de um backup, o atributo de criptografia do disco não precisa ser o mesmo que o do backup.
- se um disco for criado a partir de uma imagem, o atributo de criptografia do disco será o mesmo do disco de origem da imagem.
- se um backup for criado para um disco, o atributo de criptografia do backup será o mesmo que o do disco.
- Se um snapshot for criado para um disco, o atributo de criptografia do snapshot é o mesmo que o do disco.
Quem pode usar a função de criptografia?
- O administrador de segurança (com permissões de administrador de segurança) pode conceder os direitos de acesso do KMS ao EVS para usar a função de criptografia.
- Quando um usuário que não tem as permissões de Administrador de segurança precisa usar a função de criptografia, a condição varia dependendo se o usuário é o primeiro na região ou projeto atual a usar essa função.
- Se o usuário for o primeiro na região ou projeto atual a usar essa função, ele deverá entrar em contato com um usuário que tenha as permissões de administrador de segurança para conceder os direitos de acesso do KMS ao EVS. Em seguida, o usuário pode usar criptografia.
- Se o usuário não for o primeiro na região ou projeto atual a usar essa função, o usuário poderá usar a criptografia diretamente.
Do ponto de vista de um locatário, desde que os direitos de acesso do KMS tenham sido concedidos ao EVS em uma região, todos os usuários na mesma região podem usar diretamente a função de criptografia.
Se houver vários projetos na região atual, os direitos de acesso do KMS precisam ser concedidos a cada projeto nessa região.
Cenários de aplicação de criptografia do EVS
Figura 1mostra as relações do usuário em regiões e projetos a partir da perspectiva de um locatário. O exemplo a seguir usa a região B para descrever os dois cenários de uso da função de criptografia.
- Se o administrador de segurança usar a função de criptografia pela primeira vez, o processo de operação será o seguinte:
- Conceda os direitos de acesso do KMS ao EVS.
Após a concessão dos direitos de acesso ao KMS, o sistema cria automaticamente uma chave mestra padrão e a nomeia como evs/default. O DMK pode ser usado para criptografar discos do EVS.
A criptografia do EVS depende do KMS. Quando a função de criptografia é usada pela primeira vez, os direitos de acesso do KMS precisam ser concedidos ao EVS. Depois que os direitos de acesso do KMS forem concedidos, todos os usuários dessa região poderão usar a função de criptografia, sem exigir que os direitos de acesso do KMS sejam concedidos novamente.
- Selecione uma chave.
Você pode selecionar uma das seguintes teclas:
- DMK: evs/default
- CMKs: CMKs existentes ou recém-criadas. Para obter detalhes, consulte Criação de uma CMK.
Depois que o administrador de segurança tiver usado a função de criptografia, todos os usuários na Região B poderão usar a criptografia diretamente.
- Conceda os direitos de acesso do KMS ao EVS.
- Se o usuário E (usuário comum) usa a função de criptografia pela primeira vez, o processo de operação é o seguinte:
- Quando o usuário E usa criptografia, o sistema solicita uma mensagem indicando que os direitos de acesso do KMS não foram concedidos ao EVS.
- Entre em contato com o administrador de segurança para conceder os direitos de acesso do KMS ao EVS.
Depois que os direitos de acesso do KMS forem concedidos ao EVS, o Usuário E, assim como todos os usuários da Região B, poderão usar diretamente a função de criptografia e não precisarão entrar em contato com o administrador de segurança para conceder os direitos de acesso do KMS ao EVS novamente.