Com o anúncio da disponibilidade geral (GA) do suporte a Encryption at Host e Disk Encryption Sets no Node Auto-Provisioning do Azure Kubernetes Service (AKS), a Microsoft endereça uma lacuna crítica para empresas que operam sob regulações rígidas de conformidade (como LGPD, PCI-DSS ou HIPAA).
Historicamente, times de engenharia que dependiam de políticas de segurança estritas para armazenamento de dados no disco do SO (OS disk) eram obrigados a abrir mão da flexibilidade do Node Auto-Provisioning. Isso forçava a gestão manual de node pools, o que contraria princípios de eficiência operacional e elasticidade em arquiteturas modernas. Sem suporte para essas chaves de criptografia gerenciadas, o auto-scaling tornava-se um desafio de governança.
Na prática, ao habilitar o Encryption at Host, os dados armazenados no host da VM do AKS agora são criptografados em repouso e trafegam criptografados para o storage backend. A integração com Disk Encryption Sets permite que você gerencie suas próprias chaves através do Azure Key Vault, mantendo o controle total sobre o ciclo de vida da criptografia, mesmo quando novos nós são provisionados dinamicamente pelo Kubernetes. Para arquitetos de soluções, isso significa alinhar agilidade de scale-out com requisitos corporativos de Data-at-Rest Encryption.
Essa mudança é um passo importante para simplificar ambientes multi-tenant e aplicações que manipulam dados sensíveis no Brasil. Ao remover a barreira entre automação e segurança (o clássico conflito do shift-left), a Azure permite que clusters rodem de forma mais autônoma, reduzindo o overhead administrativo de equipes de platform engineering que, até então, precisavam gerenciar essas configurações de forma proibitiva no provisioning pipeline.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
