Microsoft anunció en mayo que admitía el cifrado completo del disco para máquinas virtuales. Recientemente fusionaron una github en la rama de Azure Powershell para permitir esto.
La teoría básica es que almacena las claves de cifrado en un Azure Key Vault HSM, le apunta la máquina virtual, recupera sus claves, desbloquea el disco y usted está ausente.
Sin embargo, no estoy completamente seguro de a qué me está protegiendo esto. El único caso que se me ocurre es que alguien obtiene mis credenciales de almacenamiento de blob y las utiliza para descargar el disco de VM (o alguien se infiltra en la infraestructura de almacenamiento de blob subyacente; esto parece poco probable). No puedo imaginar que esto ofrezca protección contra cualquier una especie de solicitud de aplicación de la ley, ya que Microsoft posee el hardware que contiene mi clave y, por lo tanto, podría entregar todo el asunto.
¿Cuál es el vector de ataque contra el que me protege el cifrado de disco completo basado en la nube? (¡Qué me estoy perdiendo!)
* note que esto no es específicamente una pregunta de Azure, ya que la respuesta debería aplicarse a todos los proveedores de la nube.