Pular para o conteúdo principal

Laboratório Técnico: Configure encryption at host for Azure virtual machines

Questões

Questão 1 — Múltipla Escolha

Uma equipe de segurança exige que os dados temporários armazenados nos discos de cache de SO e de dados de uma VM sejam criptografados em repouso usando chaves gerenciadas pelo cliente. A VM já usa Azure Disk Encryption (ADE). Qual afirmação descreve corretamente a relação entre ADE e encryption at host nesse cenário?

A) ADE e encryption at host cobrem exatamente os mesmos componentes, portanto habilitar os dois é redundante e desnecessário.

B) Encryption at host complementa o ADE ao criptografar os discos de cache do SO e de dados no host físico, cobrindo uma lacuna que o ADE não preenche.

C) O ADE já criptografa os discos de cache no hipervisor, tornando desnecessário habilitar encryption at host para esse fim.

D) Encryption at host substitui completamente o ADE, portanto o ADE deve ser desabilitado antes de ativar encryption at host.

Questão 2 — Cenário Técnico

Um administrador tenta registrar o provedor de recursos necessário para usar encryption at host e executa o seguinte comando:

az feature register \
  --name EncryptionAtHost \
  --namespace Microsoft.Compute

Após alguns minutos, ele verifica o status e obtém "state": "Registered". Em seguida, tenta criar uma VM com encryption at host habilitado, mas recebe um erro indicando que o recurso não está disponível na assinatura.

Qual é a causa mais provável do problema?

A) O comando registrou apenas a feature flag, mas o administrador não executou az provider register --namespace Microsoft.Compute após o registro da feature.

B) O SKU da VM escolhido não suporta encryption at host, independentemente do registro da feature.

C) Encryption at host só pode ser habilitado via portal do Azure, não por CLI.

D) A feature flag EncryptionAtHost foi descontinuada e substituída por uma configuração direta na política de disco.

Questão 3 — Verdadeiro ou Falso

Encryption at host pode ser habilitado em uma VM existente que esteja em estado Running, sem necessidade de desalocar a VM antes de aplicar a configuração.

Questão 4 — Cenário Técnico

Uma organização utiliza chaves gerenciadas pelo cliente (CMK) armazenadas no Azure Key Vault para criptografia de discos gerenciados. O administrador deseja estender essa proteção para que os discos de cache e o disco temporário também sejam cobertos pelo mesmo conjunto de CMK, usando encryption at host.

Qual configuração é obrigatória para que o encryption at host respeite as CMK definidas no Disk Encryption Set associado aos discos da VM?

A) Habilitar soft delete e purge protection no Key Vault antes de associar o Disk Encryption Set à VM.

B) Associar o mesmo Disk Encryption Set à VM no momento em que encryption at host é habilitado; os discos de cache herdarão automaticamente as chaves do conjunto.

C) Criar um segundo Disk Encryption Set exclusivo para os discos de cache, pois encryption at host não reutiliza o conjunto associado aos discos de dados.

D) Configurar uma política de acesso no Key Vault que conceda permissão direta à identidade gerenciada da VM, sem necessidade de Disk Encryption Set.

Questão 5 — Múltipla Escolha

Qual das seguintes afirmações descreve corretamente o escopo de proteção oferecido pelo encryption at host em comparação com a criptografia padrão de discos gerenciados do Azure (SSE com PMK)?

A) A criptografia padrão protege os dados no disco físico, enquanto encryption at host adiciona proteção apenas durante a transferência de dados entre a VM e o Azure Storage.

B) A criptografia padrão protege os dados persistidos no Azure Storage, enquanto encryption at host garante que os dados nos caches de disco e no disco temporário também sejam criptografados antes de sair do host físico.

C) Ambas as abordagens oferecem o mesmo nível de proteção; encryption at host é relevante apenas para conformidade regulatória, não para segurança técnica adicional.

D) Encryption at host substitui a criptografia padrão do Azure Storage, sendo necessário desabilitar o SSE ao ativar encryption at host para evitar dupla criptografia.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Azure Disk Encryption (ADE) opera dentro do sistema operacional da VM usando BitLocker (Windows) ou DM-Crypt (Linux) e não cobre os discos de cache de SO e de dados armazenados temporariamente no host físico. O encryption at host atua na camada do hipervisor, garantindo que esses dados em cache também sejam criptografados em repouso antes de qualquer persistência. Os dois recursos se complementam em vez de se sobreporem completamente.

O principal equívoco dos distratores é assumir equivalência ou substituição entre os dois mecanismos. Na prática, organizações com requisitos rigorosos de proteção de dados em repouso frequentemente habilitam ambos: ADE protege o volume do SO e dos dados no guest, enquanto encryption at host fecha a lacuna dos caches e do disco temporário no host.

Gabarito — Questão 2

Resposta: A

O processo de habilitação do encryption at host exige dois passos distintos: registrar a feature flag com az feature register e, após o registro ser confirmado, executar az provider register --namespace Microsoft.Compute para que o provedor reflita a mudança na assinatura. Sem o segundo comando, o plano de controle do Azure Compute não reconhece a feature como disponível, mesmo que o status da flag seja Registered.

Os demais distratores são incorretos: restrições de SKU geram mensagens de erro diferentes e mais específicas; a CLI suporta plenamente a criação de VMs com encryption at host; e a feature flag EncryptionAtHost é o mecanismo atual e oficial.

Gabarito — Questão 3

Resposta: Falso

Para habilitar ou desabilitar encryption at host em uma VM existente, a VM deve estar desalocada (Deallocated). Tentar aplicar a configuração com a VM em estado Running ou Stopped (sem desalocação) resulta em erro. Isso ocorre porque a alteração afeta a configuração do host físico subjacente, que só pode ser modificada quando o hipervisor não está ativo para aquela VM.

Esse comportamento contrasta com outras operações de disco, como a adição de discos de dados, que podem ser feitas com a VM em execução. Compreender esse limite operacional é essencial para planejar janelas de manutenção ao implementar encryption at host em VMs de produção existentes.

Gabarito — Questão 4

Resposta: B

Quando encryption at host é habilitado em uma VM que possui discos associados a um Disk Encryption Set com CMK, os discos de cache de SO e de dados herdam automaticamente as chaves definidas nesse conjunto. O disco temporário, quando coberto, utiliza PMK por padrão, salvo configuração explícita. Não é necessário criar um Disk Encryption Set separado para os caches.

O distrator A aborda requisitos reais do Key Vault (soft delete e purge protection são obrigatórios para uso de CMK), mas eles são pré-requisitos para o funcionamento do Disk Encryption Set em geral, não uma configuração específica do encryption at host. Escolher A demonstraria confusão entre pré-requisitos gerais de CMK e o mecanismo específico de herança de chaves no encryption at host.

Gabarito — Questão 5

Resposta: B

A criptografia padrão do Azure (SSE com PMK ou CMK) protege os dados no momento em que são persistidos no Azure Storage, mas os dados que residem temporariamente nos caches de disco e no disco temporário no host físico ficam fora desse escopo. O encryption at host resolve essa lacuna ao garantir que a criptografia ocorra ainda no host, antes que qualquer dado saia em direção ao armazenamento persistente ou permaneça em cache.

O distrator D é um equívoco crítico: encryption at host e SSE coexistem e se complementam. Não há conflito entre eles e o SSE não deve ser desabilitado. O distrator C subestima o valor técnico do recurso ao reduzi-lo a conformidade, ignorando a superfície de ataque real que os caches de host representam em modelos de ameaça que consideram acesso físico ou comprometimento do hipervisor.