Chi ha accesso alle chiavi delle mie VM?

By Luigi Pandolfino on 18/07/2024

Nell’intricato mondo della sicurezza nel cloud, la crittografia rimane una pietra miliare della protezione dei dati.
Azure offre metodi di crittografia affidabili, ma capire quale strategia di gestione delle chiavi utilizzare, ovvero Platform-managed keys (PMK) o Customer-managed keys (CMK), può essere un po’ impegnativo.

Le chiavi di crittografia gestite dalla piattaforma (PMK) sono generate, archiviate e gestite interamente da Microsoft e non vi è modo per i clienti di accedervi.
Le chiavi gestite dal cliente (CMK), invece, sono chiavi lette, create, cancellate, aggiornate e amministrate direttamente dal cliente.

Chiaramente entrambi gli approcci hanno pro e contro: con PMK è tutto più semplice perché è direttamente il provider a occuparsi della gestione, di contro con CMK abbiamo un maggior controllo (e di conseguenza anche la responsabilità) delle nostre chiavi. Nel secondo caso potrebbero esserci anche dei costi derivanti dalla necessità di un Azure Key Vault.

Ora potrebbe sorgere un dubbio, che infatti mi è stato posto da un collega (thanks Carlo!): se ho già creato le mie macchine virtuali con PMK posso associare le mie chiavi o devo rifare tutto?
Per pigrizia avrei voluto rispondere “rifare tutto” ma si sa che noi Architect abbiamo un animo gentile…

Innanzitutto è necessario creare un Key Vault:

Tramite il link Generate/Import procedere alla creazione della chiave (per questo esempio lascerò tutte le impostazioni di default).
Come nota, per procedere alle attività è necessario aggiungere il ruolo Key Vault Administrator, Owner o Contributor.

Prima di iniziare a lavorare sui dischi delle nostre VM è necessario creare un Disk Encryption Set:

Nota: prima di andare avanti con la procedura dovremo tornare nella home del Disk Encryption Set e cliccare sull’alert così da abilitare i ruoli necessari: