Determinar a criptografia de Armazenamento do Azure

  • 4 minutos

A criptografia do Armazenamento do Azure para dados inativos protege seus dados garantindo que seus compromissos de segurança e conformidade organizacional sejam atendidos. Os processos de criptografia e descriptografia ocorrem automaticamente. Como seus dados são protegidos por padrão, você não precisa modificar o código nem os aplicativos.

Quando você cria uma conta de armazenamento, o Azure gera duas chaves de acesso de conta de armazenamento de 512 bits para a conta. Essas chaves podem ser usadas para autorizar o acesso aos dados em sua conta de armazenamento por meio da autorização de chave compartilhada ou por meio de tokens SAS assinados com a chave compartilhada.

A Microsoft recomenda usar o Azure Key Vault para gerenciar suas chaves de acesso e girar e regenerar suas chaves com frequência. O uso do Azure Key Vault facilita a rotação das chaves sem interrupções em seus aplicativos. Você também pode girar suas chaves manualmente.

Informações sobre a criptografia no Armazenamento do Azure

Examine as seguintes características de criptografia do Armazenamento do Azure.

  • Os dados são criptografados automaticamente antes de serem gravados no armazenamento do Azure.

  • Os dados são descriptografados automaticamente quando recuperados.

  • A criptografia do Armazenamento do Azure, a criptografia em repouso, a descriptografia e o gerenciamento de chaves são transparentes para os usuários.

  • Todos os dados gravados no Armazenamento do Azure são criptografados por meio da criptografia AES (advanced encryption standard) de 256 bits. AES é uma das codificações de bloco mais fortes disponíveis.

  • A criptografia do Armazenamento do Azure está habilitada para todas as contas de armazenamento novas e existentes e não pode ser desabilitada.

Configurar a criptografia de Armazenamento do Azure

No portal do Azure, você configura a criptografia do Armazenamento do Azure especificando o tipo de criptografia. Você pode gerenciar as chaves por conta própria ou pode ter as chaves gerenciadas pela Microsoft. Considere como você pode implementar a criptografia do Armazenamento do Azure para segurança de armazenamento.

Captura de tela que mostra a criptografia do Armazenamento do Azure, incluindo chaves gerenciadas pela Microsoft e chaves gerenciadas pelo cliente.

  • Criptografia da infraestrutura. Criptografia da infraestrutura pode ser habilitada para toda a conta de armazenamento ou para um escopo de criptografia dentro de uma conta. Quando a criptografia da infraestrutura é habilitada para uma conta de armazenamento ou um escopo de criptografia, os dados são criptografados duas vezes: uma vez no nível do serviço e outra no nível da infraestrutura, com dois algoritmos de criptografia diferentes e duas chaves diferentes.

  • Chaves gerenciadas pela plataforma. As chaves de criptografia gerenciadas pela plataforma (PMKs) são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure. Os clientes não interagem com PMKs. As chaves usadas para a Criptografia em repouso de Dados do Azure, por exemplo, são PMKs por padrão.

  • Chaves gerenciadas pelo cliente. Chaves gerenciadas pelo cliente (CMK), por outro lado, são chaves lidas, criadas, excluídas, atualizadas e/ou administradas por um ou mais clientes. As chaves armazenadas em um cofre de chaves de propriedade do cliente ou um HSM (módulo de segurança de hardware) são CMKs. Bring Your Own Key (BYOK) é um cenário de CMK no qual um cliente importa (traz) chaves de um local de armazenamento externo.