A Microsoft anunciou recentemente a disponibilidade geral (GA) da criptografia com Customer-Managed Keys (CMK) cross-tenant para os discos de alta performance do Azure: Premium SSD v2 e Ultra Disks. Para empresas brasileiras que operam com estruturas complexas de governança ou ambientes multi-filial (onde diferentes unidades operam sob tenants distintos de Microsoft Entra ID), este movimento é um passo importante para centralizar o controle de chaves sem sacrificar a performance de storage.
Historicamente, a exigência de que o Azure Key Vault estivesse no mesmo tenant que o recurso de armazenamento gerado por disco criava atritos operacionais consideráveis, especialmente em cenários de fusões, aquisições ou separação lógica por unidades de negócio. Com essa atualização, o provisionamento torna-se mais flexível, permitindo que uma central de cibersegurança ou um time de governança centralizado mantenha o ciclo de vida das chaves de criptografia em um tenant dedicado, isolado e controlado, enquanto os dados sensíveis permanecem nos tenants de produção.
Do ponto de vista de arquitetura, essa mudança remove a necessidade de replicar infraestrutura de gerenciamento de chaves ou recorrer a workarounds complexos para manter a conformidade (compliance). Para times de DevOps e infraestrutura, a implementação simplifica o pipeline de deployment: ao utilizar Managed Disks em cenários de larga escala, o gerenciamento centralizado de chaves via cross-tenant reduz o risco de erro humano na configuração de permissões IAM e otimiza a gestão de identidades entre diferentes assinaturas.
Na prática, isso significa que organizações que buscam cumprir requisitos rigorosos de segurança de dados (como exigido pela LGPD ou setores regulados pelo Banco Central) podem agora escalar sua infraestrutura de storage de alta performance (Premium SSD v2 e Ultra Disks) mantendo políticas de criptografia unificadas, independentemente da complexidade da organização no Azure AD. Ao planejar essa transição, é fundamental monitorar a latência de acesso aos segredos do Key Vault e garantir que as políticas de RBAC Cross-tenant estejam corretamente configuradas para não comprometer a disponibilidade dos volumes.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
