Gerenciamento de discos EVS criptografados
O que é a criptografia de disco EVS?
O EVS permite criptografar dados em discos recém-criados conforme necessário. Para mais detalhes, consulte Compra de um disco EVS.
Ele usa o algoritmo criptográfico XTS-AES-256 padrão do setor e chaves para criptografar discos EVS. As chaves usadas para criptografar discos EVS são fornecidas pelo Key Management Service (KMS) do Data Encryption Workshop (DEW), que é seguro e conveniente. Você não precisa estabelecer e manter a infraestrutura de gerenciamento de chaves. O KMS usa o Hardware Security Module (HSM) que está em conformidade com os requisitos do FIPS 140-2 nível 3 para proteger as chaves. Todas as chaves de usuário são protegidas pela chave raiz no HSM para evitar a exposição de chaves.
Princípios de criptografia
O sistema de criptografia usa uma estrutura de chave de duas camadas. A chave da primeira camada é a chave mestra do cliente (CMK) e a chave da segunda camada é a chave de dados (DK). A CMK criptografa e descriptografa a DK para garantir sua segurança em trânsito e em repouso. A DK criptografa e descriptografa os dados de serviço. Os detalhes são os seguintes:
- Criptografar a DK
Antes de ser usada para criptografar dados de serviço, uma DK é primeiro criptografada por uma CMK. Somente DKs criptografadas podem ser armazenadas ou transferidas. Se um invasor obtiver acesso a uma DK criptografada e aos dados de serviço, não poderá descriptografar os dados devido à falta da CMK.
- Criptografar dados em trânsito e em repouso
Para ler dados criptografados, uma solicitação de descriptografia é enviada primeiro ao KMS para obter a DK em texto simples. O KMS verifica a validade da solicitação e, em seguida, usa a CMK para descriptografar a DK e retorna a DK em texto não criptografado. A descriptografia é feita na memória, portanto, a DK em texto não criptografado não será armazenada persistentemente em nenhum meio de armazenamento. O sistema usa a DK em texto não criptografado na memória para descriptografar os dados de I/O do disco para garantir a segurança dos dados em trânsito e em repouso.
Chaves usadas para criptografia de disco
- Chave padrão: uma chave que é criada automaticamente pelo EVS por meio do KMS e denominada evs/default.
Ela não pode ser desativada e não é compatível com a exclusão agendada.
- Chaves personalizadas: chaves criadas pelos usuários. Você pode usar chaves existentes ou criar novas para criptografar discos. Para obter detalhes, consulte "Key Management Service" > "Criação de uma CMK" no Guia de usuário do Data Encryption Workshop.
- Chaves compartilhadas: você pode usar o DEW para criar concessões para compartilhar chaves com outras contas. Para obter detalhes, consulte Criação de uma concessão.
Quando um disco criptografado é anexado, o EVS acessa o KMS, e o KMS envia a DK para a memória do host para uso. O EVS usa a DK de texto não criptografado para criptografar e descriptografar I/Os de disco. A DK de texto não criptografado é armazenada apenas na memória do host que abriga o ECS e não é armazenado persistentemente na mídia. Se uma chave personalizada for desativada ou excluída no KMS, o disco criptografado usando essa chave personalizada ainda poderá usar a DK de texto não criptografado armazenado na memória do host. Se esse disco for desanexado posteriormente, a DK de texto não criptografado será excluída da memória e os dados não poderão mais ser lidos ou gravados no disco. Antes de reanexar esse disco criptografado, certifique-se de que a chave personalizada esteja ativada.
| Status da chave personalizada | Impacto | Como restaurar |
|---|---|---|
| Disabled |
| Ative a chave personalizada. Para obter detalhes, consulte Ativação de uma ou mais chaves personalizadas. |
| Scheduled deletion | Cancele a exclusão agendada para a chave personalizada. Para obter detalhes, consulte Cancelamento da exclusão agendada de uma ou mais chaves personalizadas. | |
| Deleted | Os dados nos discos nunca podem ser restaurados. |
Você será cobrado pelas chaves personalizadas que usar. Se as chaves de pagamento por uso forem usadas, certifique-se de que você tenha saldo suficiente na conta. Se chaves anuais/mensais forem usadas, renove seu pedido em tempo hábil. Caso contrário, seus serviços poderão ser interrompidos e os dados poderão nunca ser restaurados se os discos criptografados se tornarem inacessíveis.
Cenários de criptografia
- Criptografia de disco do sistema
Os discos do sistema são adquiridos junto com os ECSes não podem ser adquiridos separadamente. Portanto, se um disco do sistema é criptografado ou não depende da imagem que você seleciona ao criar o ECS.
Tabela 2 Relação entre imagens e criptografia de disco do sistema Se o servidor deve ser criado a partir de uma imagem criptografada
Se o disco do sistema será criptografado
Descrição
Sim
Sim
Para obter detalhes, consulte Criptografia de imagens.
Não
Não
Se você quiser usar uma imagem não criptografada para criar um disco de sistema criptografado, replique a imagem como uma imagem criptografada e, em seguida, use-a para criar um ECS. Para obter detalhes, consulte Replicação de imagens dentro de uma região.
- Criptografia de disco de dados
Discos de dados podem ser comprados juntamente com servidores ou separadamente. Se os discos de dados são criptografados ou não depende de suas fontes de dados. Consulte a tabela a seguir para obter detalhes.
Tabela 3 Relação entre backups, instantâneos, imagens e criptografia de disco de dados Comprar disco em
Método de compra
Se o disco de dados será criptografado
Descrição
Console do ECS
Compra junto com um servidor
Sim/Não
Quando um disco de dados é comprado junto com um servidor, você pode optar por criptografar o disco ou não. Para obter detalhes, consulte "Primeiros passos" > "Criação de um ECS" > "Etapa 1: configuração de configurações básicas" no Guia de usuário do Elastic Cloud Server.
Console do EVS
Nenhuma fonte de dados selecionada
Sim/Não
Quando um disco vazio é criado, você pode escolher se deseja criptografar o disco ou não. O atributo de criptografia do disco não pode ser alterado após a criação do disco.
Criação a partir de um backup
Sim/Não
- Quando um disco é criado a partir de um backup, você pode escolher se deseja criptografar o disco ou não. Os atributos de criptografia do disco e do backup não precisam ser os mesmos.
- Quando você cria um backup para um sistema ou disco de dados, o atributo de criptografia do backup será o mesmo do disco.
Criando a partir de um snapshot
(O disco de origem do snapshot é criptografado.)
Sim
Um snapshot criado a partir de um disco criptografado também é criptografado.
Criando a partir de um snapshot
(O disco de origem do snapshot não é criptografado.)
Não
Um snapshot criado a partir de um disco não criptografado não é criptografado.
Criando a partir de uma imagem
(O disco de origem da imagem está criptografado.)
Sim
-
Criação a partir de uma imagem
(O disco de origem da imagem não está criptografado.)
Não
-
Restrições
| Item | Descrição |
|---|---|
| Tipos de disco que suportam criptografia | Todos os tipos de disco suportam criptografia, mas o atributo de criptografia de um disco existente não pode ser alterado. |
| Criptografia de disco |
|
| Permissões de usuário | Quando um usuário utiliza criptografia, a condição varia dependendo se ele é o primeiro na região ou projeto atual a usar essa função.
|
| Criptografia de imagem |
|
Cobrança
Se a criptografia KMS for usada, o que você usar além da cota gratuita fornecida pelo KMS será cobrado. Para obter detalhes, consulte Cobrança do DEW.
Criação de um disco EVS criptografado
Antes de usar a função de criptografia, os direitos de acesso do KMS precisam ser concedidos ao EVS. Se você tiver as permissões de Administrador de segurança, conceda os direitos de acesso do KMS ao EVS diretamente. Se você não tiver essa permissão, entre em contato com um usuário com as permissões de administrador de segurança para conceder os direitos de acesso do KMS ao EVS e, em seguida, selecione a opção de criptografia para criar um disco criptografado.
Para obter detalhes sobre como criar um disco criptografado, consulte Compra de um disco EVS.
Desanexação de um disco EVS criptografado
Antes de desanexar um disco criptografado por uma chave personalizada, verifique se a chave personalizada está desabilitada ou agendada para exclusão.
- Se a chave personalizada estiver disponível, o disco poderá ser desanexado e reanexado, e os dados no disco não serão perdidos.
- Se a chave personalizada não estiver disponível, o disco ainda poderá ser usado, mas não há garantia de quanto tempo ele será utilizável. Se o disco for desanexado, será impossível reanexá-lo posteriormente. Nesse caso, não desanexe o disco sem uma chave personalizada.
O método de restauração varia de acordo com o status da CMK. Para mais detalhes, consulte Chaves usadas para criptografia de disco.
Para obter detalhes sobre como desanexar um disco criptografado, consulte Desanexação de um disco EVS.
Links relacionados
Para saber mais sobre chaves do KMS, consulte Visão geral do KMS.