Recursos de criptografia
Os recursos de criptografia protegem o conteúdo de máquinas virtuais contra ataques de convidados mal-intencionados em um host de máquina virtual compartilhado e contra ataques lançados pelo software de controle do hipervisor que gerencia todas as máquinas virtuais no host.
Consulte o seguinte para obter mais informações sobre os serviços de nuvem compatíveis:
- Recursos de criptografia na AWS
- Recursos de criptografia no Google Cloud Platform
- Recursos de criptografia no Microsoft Azure
Recursos de criptografia na AWS
Esta seção descreve os recursos de criptografia em ambientes de virtualização da AWS.
Criptografia automática
Você pode ativar a criptografia automática de novos volumes do Amazon EBS e cópias de snapshot criadas em sua conta. Para obter mais informações, consulte Criptografia automática.
Recursos de criptografia no Google Cloud Platform
Esta seção descreve os recursos de criptografia em ambientes de virtualização do Google Cloud Platform (GCP).
Se você precisar de mais controle sobre as operações de chave do que o permitido pelas chaves de criptografia gerenciadas pelo Google, poderá usar chaves de criptografia gerenciadas pelo cliente. Ao usar uma chave de criptografia gerenciada pelo cliente, um objeto é criptografado com a chave pelo Cloud Storage no momento em que é armazenado em um bucket, e o objeto é automaticamente descriptografado pelo Cloud Storage quando é entregue aos solicitantes. Para obter mais informações, consulte Chaves de criptografia gerenciadas pelo cliente.
Você pode usar Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) para catálogos MCS. Para obter mais informações, consulte Usando Chaves de Criptografia Gerenciadas pelo Cliente (CMEK).
Recursos de criptografia no Microsoft Azure
Esta seção descreve os recursos de criptografia em ambientes de virtualização do Azure.
Criptografia do lado do servidor do Azure
A maioria dos discos gerenciados do Azure é criptografada com a criptografia do Armazenamento do Azure, que usa criptografia do lado do servidor (SSE) para proteger seus dados e ajudá-lo a cumprir seus compromissos de segurança e conformidade. O Citrix Virtual Apps and Desktops oferece suporte a chaves de criptografia gerenciadas pelo cliente para discos gerenciados do Azure por meio do Azure Key Vault. Para obter mais informações, consulte Criptografia do lado do servidor do Azure.
Criptografia de disco do Azure no host
Você pode criar um catálogo de máquinas MCS com capacidade de criptografia no host.
Este método de criptografia não criptografa os dados através do armazenamento do Azure. O servidor que hospeda a VM criptografa os dados e, em seguida, os dados criptografados fluem através do servidor de armazenamento do Azure. Assim, este método de criptografia criptografa os dados de ponta a ponta.
Para obter mais informações sobre como criar um catálogo de máquinas MCS com capacidade de criptografia no host, consulte Criptografia de disco do Azure no host.
Criptografia dupla do Azure
A criptografia dupla é a criptografia do lado da plataforma (padrão) e a criptografia gerenciada pelo cliente (CMEK). Portanto, se você é um cliente altamente sensível à segurança e preocupado com o risco associado a qualquer algoritmo de criptografia, implementação ou chave comprometida, pode optar por essa criptografia dupla. Discos de SO e dados persistentes, instantâneos e imagens são todos criptografados em repouso com criptografia dupla. Para obter mais informações, consulte Criptografia dupla em disco gerenciado.
VMs confidenciais do Azure
As VMs de computação confidencial do Azure garantem que seu desktop virtual seja criptografado na memória e protegido em uso.
Você pode usar o MCS para criar um catálogo com VMs confidenciais do Azure. Você deve usar o fluxo de trabalho de perfil de máquina para criar tal catálogo. Você pode usar tanto a VM quanto a especificação de modelo ARM como entrada de perfil de máquina.
Para obter mais informações, consulte VMs confidenciais do Azure.