• Cloud, Guide, Sicurezza
• 15 Gennaio 2020

Azure Disk Encryption permette di proteggere i dati contentui nei dischi delle VM grazie alla tecnologia Bitlocker ed è integrato con Azure Key Vault per permettere di controllare e gestire le chiavi di crittografia. La protezione dei dati permette di salvaguardare la sicurezza e allo stesso tempo permette di soddisfare i requisiti di conformità dell’azienda.

L’abilitazione di Azure Disk Encryption diventa quindi un requisito fondamentale per rispettare gli standard elevati di sicurezza richiesti dalle attuali normative nazionali ed internazionali e lo stesso Azure Security Center segnala le macchine virtuali che non utilizzano la crittografia dei dischi.

Figura 1: L’Azure Security Center segnala che la VM non hanno la crittografia dei dischi abilitata

Azure Disk Encryption è disponibile sia per macchine che utilizzano storage stanadard e sia per quelle che utilizzano storage premium, per qualsiasi dimensione tranne per le VM della serie A e per le VM con meno di 2 GB di RAM.

I sistemi operativi supportati sono:

• Windows Client: Windows 8 e successivi
• Windows Server: Windows Server 2008 R2 e successive

Per poter conservare le chiavi di cifratura è obbligatorio che le macchine virtuali abbiano accesso ad un Azure Key Vault, che permette di crittografare chiavi e password e successivamente gestirne la distribuzione, in modo tale che non vengano accidentalmente perse. Per approfondimenti su Azure Key Vault vi rimando alla lettura del mio articolo https://www.ictpower.it/guide/azure-key-vault-gestione-sicura-di-password-chiavi-crittografiche-e-certificati.htm

Abilitazione di Azure Disk Encryption

Per abilitare Azure Disk Encryption è sufficiente selezionare la VM e nella scheda Disks cliccare sul pulsante Encryption.

Figura 2: Pulsante Encryption nella scheda Disks della Azure VM

Nella scheda che si aprirà decidete se volete crittografare solo il disco del sistema operativo oppure anche i dischi dei dati (che devono essere presenti e collegati alla VM). Nel mio caso ho scelto di crittografare solo il disco del sistema operativo.

Figura 3: Scelta dei dischi da crittografare

Scegliete a questo punto l’Azure Key Vault e la chiave da utilizzare per la cifratura dei dischi.

Figura 4: Selezione dell’Azure Key Vault

Nella nuova scheda cliccate sul menu a tendina per selezionare un Azure Key Vault esistente oppure fate clic su Create New per creare un nuovo Azure Key Vault.

Figura 5: Scelta dell’Azure Key Vault

Non avendo un Azure Key Vault disponibile, ho deciso di crearne uno nuovo.

Procedete alla creazione della risorsa inserendo la sottoscrizione, il resource group, la region ed il key vault name. Azure Key Vault viene offerto in base a due livelli: Standard e Premium. Alla pagina https://azure.microsoft.com/it-it/pricing/details/key-vault/ trovate maggiori informazioni relative ai prezzi e alle differenze tra i diversi modelli.

Figura 6: Creazione dell’Azure Key Vault

Nella pagina delle Access Policy è possibile definire quali servizi potranno accedere ad Azure Key Vault e quali utenti. Selezionate la voce Azure Disk Encryption for volume encryption.

Figura 7: Access Policy di Azure Key Vault

È possibile decidere se la connessione ad Azure Key Vault deve avvenire da qualsiasi indirizzo oppure deve essere consentita soltanto da alcune reti.

Figura 8: Scelta delle reti da cui sarà possibile accedere ad Azure Key Vault

Figura 9: Configurazione di Azure Key Vault completata

La creazione di Azure Key Vault dura pochi secondi. Dopo aver cliccato su Create ritornerete alla pagina Select key from Azure Key Vault e potrete creare la Key encryption key (KEK), che deve essere RSA e che verrà utilizzata per proteggere la chiave di crittografia di Bitlocker.

Figura 10: Creazione della Key encryption key (KEK)

Figura 11: Creazione della Key encryption key (KEK) completata

Cliccate su Save per completare la procedura.

Figura 12: Completamento della procedura di crittografia del disco della Azure VM

L’abilitazione di Azure Disk Encryption richiede l’installazione dell’estensione AzureDiskEncryption nella VM e richiede il riavvio della macchina virtuale. Tenetene conto, in modo tale da effettuare la procedura senza creare troppi disservizi.

Figura 13: L’abilitazione di Azure Disk Encryption richiede il riavvio della Azure VM

Figura 14: Nella Azure VM verrà installata l’estensione AzureDiskEncryption

La Key encryption key (KEK) che è stata creata è visibile selezionando il Vault che avete utilizzato e andando nella scheda Keys.

Figura 15: La Key encryption key (KEK) è visibile selezionando l’Azure Key Vault creato

Verifica dell’abilitazione della Azure Disk Encryption

Dopo il riavvio della Azure VM potete collegarvi in desktop remoto e verificare che il disco del sistema operativo (e dei dati, se lo avete) ha cominciato in autonomia la crittografia Bitlocker.

Figura 16: Il disco del sistema operativo è crittografato con Bitlocker

Requisiti delle Group Policy

Per le macchine virtuali aggiunte a un dominio è importante che non abbiate delle Group Policy (GPO) che applichino protezioni TPM. Le GPO personalizzate devono necessariamente includere la configurazione Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. Se ci sono delle configurazioni incompatibili l’applicazione di Azure Disk Encryption fallirà.

Conclusioni

Azure Disk Encryption permette la crittografia Bitlocker dei dischi delle Azure VM e si serve di Azure Key Vault per gestire la protezione delle chiavi di crittografia. L’Azure Security Center avvisa con un alert di High Severity se i dischi delle nostre Azure VM non sono crittografati, sottolineando quanto sia importante per la sicurezza proteggere nel miglior modo possibile i dati memorizzati.